Alle artikler
DORAcompliancefinanssektorIKT-risikostyring

DORA-overholdelse: Tjekliste og trin-for-trin guide for finansielle enheder

Hvad er DORA-overholdelse?

DORA (Digital Operational Resilience Act) er EU-forordning 2022/2554, der har været direkte gældende i hele EU siden 17. januar 2025. Forordningen stiller harmoniserede krav til finansielle enheders digitale modstandsdygtighed — og overholdelse er et lovkrav, ikke en best practice.

DORA-overholdelse betyder, at jeres organisation kan dokumentere effektive processer for IKT-risikostyring, hændelsesrapportering, resiliens-testning, tredjepartsstyring og informationsdeling — fem søjler, som alle skal være på plads.

Forordningen er allerede i kraft

DORA har været gældende siden 17. januar 2025. Finanstilsynet fører tilsyn med danske finansielle enheders DORA-overholdelse, og ESA'erne (EBA, EIOPA, ESMA) overvåger kritiske IKT-tredjepartsleverandører direkte.

Er I omfattet?

DORA omfatter over 20 typer finansielle enheder — fra store banker til mindre fintech-aktører. Hovedkategorierne er:

20+ typer finansielle enheder omfattet
5 søjler i DORA-rammen
4 t til første hændelsesvarsling
2% af daglig omsætning som dagsbøde
  • Kreditinstitutter (banker, realkreditinstitutter)
  • Betalingsinstitutter og e-pengeinstitutter
  • Investeringsselskaber og fondsmæglere
  • Forsikrings- og genforsikringsselskaber
  • Pensionskasser og forvaltere af alternative investeringsfonde
  • Kryptoaktiv-tjenesteudbydere (CASP’er)
  • Centrale modparter, handelsplatforme og dataindberetningstjenester
  • Kritiske IKT-tredjepartsleverandører (udpeget af ESA’erne)

Proportionalitetsprincippet gælder: kravene skæres til efter enhedens størrelse, risikoprofil og kompleksitet. Mikrofinansielle enheder har lempede krav, men er ikke undtaget.

De fem søjler i DORA-overholdelse

DORA bygger på fem søjler. Alle skal være implementeret og dokumenteret for at I er compliant.

1. IKT-risikostyring
Governance-ramme, risikoidentifikation, beskyttelse, detektion, respons og genopretning. Ledelsen er ansvarlig.
2. Hændelseshåndtering
Klassificering og rapportering af væsentlige IKT-hændelser til Finanstilsynet i tre trin.
3. Resiliens-testning
Årlig testning af kritiske systemer. Større enheder skal gennemføre TLPT (trusselsbaseret penetrationstest) hvert tredje år.
4. Tredjepartsrisiko
Register over alle IKT-leverandører, kontraktkrav, exit-strategier og koncentrationsrisikovurdering.

5. Informationsdeling — frivillige ordninger for deling af cybertrussels-information mellem finansielle enheder. Ikke obligatorisk, men anbefalet for at styrke sektorens samlede modstandsdygtighed.

Hændelsesrapportering: Tre-trins-modellen

Ved en væsentlig IKT-relateret hændelse skal I rapportere til Finanstilsynet i tre trin. Tidsfristerne er stramme:

Inden 4 timer efter klassificering
Initial varsling
Senest 24 timer efter I opdager hændelsen. Kort beskrivelse — ingen detaljeret analyse kræves endnu.
Inden 72 timer
Mellemrapport
Opdateret status: omfang, påvirkning på kunder og forretning, midlertidige foranstaltninger.
Inden 1 måned
Endelig rapport
Fuld årsagsanalyse, samlet påvirkning, permanente afbødende foranstaltninger og læring.

En hændelse klassificeres som væsentlig ud fra kriterier som antal berørte kunder, varighed, geografisk udbredelse, datatab og økonomisk påvirkning. Kommissionen har vedtaget tekniske standarder (RTS) med de præcise tærskler.

Tjekliste til DORA-overholdelse

Brug denne tjekliste til at vurdere, hvor I står. Hver linje skal kunne dokumenteres — mundtlige aftaler tæller ikke.

IKT-risikostyring

  • Godkendt IKT-risikostyringsramme med klart ledelsesansvar
  • Identifikation og klassificering af alle IKT-aktiver og kritiske funktioner
  • Dokumenteret risikoanalyse, opdateret mindst årligt
  • Politikker for IKT-sikkerhed, adgangskontrol og kryptografi
  • Plan for forretningskontinuitet og IKT-genopretning, testet årligt
  • Bevidsthedstræning for alle medarbejdere — inkl. ledelsen

Hændelseshåndtering

  • Klassificeringsproces, der følger de RTS-fastsatte tærskler
  • Defineret rapporteringskæde til Finanstilsynet
  • Skabeloner og dataindsamling klar til 4-timers-, 72-timers- og 1-måneds-rapporter
  • Post-incident-review-proces med dokumenteret læring

Resiliens-testning

  • Årligt testprogram for alle kritiske IKT-systemer
  • Sårbarhedsscanninger, penetrationstests og scenariebaserede tests
  • TLPT (Threat-Led Penetration Testing) hvert tredje år — gælder kun større/systemiske enheder
  • Dokumenterede afhjælpningsplaner for fundne sårbarheder

Tredjepartsrisiko

  • Komplet register over informations- og kommunikationsteknologiske kontrakter (skal kunne sendes til Finanstilsynet)
  • Risikovurdering af hver IKT-leverandør før kontraktindgåelse
  • Kontraktklausuler med DORA-krav (audit-ret, sikkerhedsniveau, exit-betingelser)
  • Exit-strategi og overgangsplan for hver kritisk leverandør
  • Vurdering af koncentrationsrisiko på tværs af jeres leverandørportefølje
Leverandørregisteret er ikke valgfrit

Finanstilsynet kan til enhver tid anmode om jeres komplette register over IKT-tredjepartskontrakter. Det skal indeholde alle leverandører, ikke kun de kritiske — og det skal være struktureret efter ESA'ernes skabelon. Mange enheder undervurderer arbejdsbyrden ved denne søjle. Se hvordan RiskFinder hjælper med leverandørstyring.

Trin-for-trin: Sådan kommer I i mål

1 Scoping Afklar hvilken enhedstype I er, og hvilke krav der gælder.
2 Gap-analyse Sammenlign jeres nuværende setup mod DORA-kravene.
3 Roadmap Prioriteret plan med ejerskab, deadlines og budget.
4 Implementering Politikker, processer, leverandørregister og testning.
  1. Dokumentation — Saml politikker, registre og testrapporter i én struktureret pakke, som Finanstilsynet kan anmode om.
  2. Drift og forbedring — DORA-overholdelse er ikke et engangsprojekt. Årlig revurdering, tests og rapportering skal være en fast del af driften.
Start med tredjepartsregisteret

De fleste organisationer har allerede en form for risikostyring og hændelsesproces. Det de mangler er det komplette IKT-leverandørregister og de kontraktuelle DORA-klausuler. Start der — det er det område, hvor Finanstilsynet først vil bede om dokumentation.

Sanktioner ved manglende overholdelse

Manglende DORA-overholdelse kan udløse:

  • Administrative bøder på op til 2% af enhedens daglige omsætning for hver dag, overtrædelsen varer
  • Personligt ansvar for ledelsesmedlemmer, der har godkendt eller ignoreret manglerne
  • Påbud fra Finanstilsynet om at rette op inden en frist
  • Offentliggørelse af overtrædelsen — med tilhørende omdømmerisiko
  • For kritiske IKT-tredjepartsleverandører: direkte tilsyn og bøder fra ESA’erne

Almindelige faldgruber

  • At behandle DORA som et IT-projekt. Det er et governance- og forretningsprojekt. Ledelsen skal være involveret fra start.
  • At undervurdere leverandørregisteret. Mange enheder har 50–200 IKT-leverandører. Identificering, klassificering og kontraktopdatering er måneders arbejde.
  • At glemme exit-strategier. Hver kritisk leverandør skal have en dokumenteret exit-plan. Det er en af de hyppigst forsømte krav.
  • At nøjes med en gap-analyse uden roadmap. Analysen er værdiløs, hvis den ikke følges af konkrete tiltag med ejerskab og deadlines.

Næste skridt

Gratis DORA gap-analyse (Word)

Hent vores struktureret gap-analyse-skabelon med tjekliste over alle fem søjler — status, gaps og prioriteret handlingsplan. Download skabelonen gratis →

Læs mere om DORA-forordningen og hvordan RiskFinder dækker kravene, eller se hvordan vi understøtter systematisk leverandørstyring og risikovurdering som del af jeres DORA-compliance-program.

Del denne artikel

Relaterede sider

Dora Leverandoerer Risikovurdering

Er I klar til at tage næste skridt?

Kontakt os i dag og hør, hvordan RiskFinder kan hjælpe jer med Business Continuity, beredskab og risikostyring.

Eller ring til os på +45 42 40 40 70 · [email protected]

Book Demo