DORA
DORA

Lov om digital driftssikkerhed

Når din banks it-systemer går ned, er det ikke bare en ulempe – det udgør en systemisk risiko

Loven om digital driftssikkerhed (DORA) er EU's svar på et simpelt spørgsmål: Hvad sker der, når den finansielle sektors it-systemer bryder sammen? DORA skaber en fælles ramme for it-risikostyring, indberetning af hændelser, test af driftssikkerhed og styring af tredjepartsrisici for hele den finansielle sektor i EU. For når en bank, et forsikringsselskab eller en betalingsudbyder går offline, er det ikke blot et it-problem – det er en systemisk risiko.

Omfang

Stort set alle finansielle virksomheder i EU: banker, forsikringsselskaber, investeringsselskaber, betalingsudbydere, udbydere af tjenester vedrørende kryptoaktiver og – ikke mindst – deres eksterne it-tjenesteudbydere. Hvis du leverer cloud-, software- eller datatjenester til den finansielle sektor, gælder DORA også for dig.

Geografisk dækning

EU-dækkende forordning med direkte virkning. Gælder for alle finansielle virksomheder, der er godkendt i EU, samt deres kritiske it-tjenesteudbydere, uanset hvor udbyderne er hjemmehørende.

Trådt i kraft den

17. januar 2025

Formål

For at sikre, at den finansielle sektor kan modstå, reagere på og komme sig efter it-relaterede forstyrrelser. Tænk på det som en konditionstest for din banks it-infrastruktur – og træneren er Den Europæiske Tilsynsmyndighed, så du bør tage det alvorligt.

Gå til din rolle:

Finansiel enhed

Du er en reguleret finansiel enhed: en bank, et forsikringsselskab, et investeringsselskab, et betalingsinstitut, et institut for elektroniske penge, en værdipapircentral, et kreditvurderingsbureau eller en udbyder af tjenester i forbindelse med kryptoaktiver. Hvis du har en finansiel licens i EU, finder DORA anvendelse på dig.

Dine forpligtelser

  • Indføre og vedligeholde en omfattende ramme for risikostyring inden for IKT (artikel 5–16)
  • Klassificering og rapportering af større IKT-relaterede hændelser: indledende rapport inden for 4 timer, foreløbig rapport inden for 72 timer, endelig rapport inden for 1 måned (artikel 17–23)
  • Gennemføre regelmæssige test af den digitale driftsrobusthed, herunder trusselsbaserede penetrationstest (TLPT) for væsentlige enheder (artikel 24–27)
  • Håndter risici forbundet med tredjeparter inden for IKT gennem struktureret due diligence, kontraktmæssige krav og løbende overvågning (artikel 28–44)
  • Deltage i ordninger for udveksling af oplysninger om cybertrusler (artikel 45)
  • Sørg for, at ledelsen påtager sig det endelige ansvar for it-risici — herunder uddannelse (artikel 5.2)
  • Føre et register over alle aftaler med tredjeparter vedrørende IKT (artikel 28, stk. 3)
  • Kortlægge IKT-aktiver, systemer og afhængigheder — herunder på tværs af koncernstrukturer (art. 8)

Vigtige artikler

§ 5–16 — Rammer for risikostyring inden for IKT§ 17–23 — Klassificering og indberetning af hændelser§ 24–27 — Test af digital modstandsdygtighed§ 28–44 — Håndtering af tredjepartsrisiko§ 45 — Udveksling af oplysninger
Et godt råd

Fristen på fire timer for indberetning af hændelser er den strammeste i hele EU-lovgivningen. Indfør automatisk hændelsesdetektering, og sørg for at have foruddefinerede skabeloner klar. Kortlæg desuden jeres it-afhængigheder allerede nu – når en hændelse opstår, skal I vide, hvilken udbyder der er berørt, og hvad kontrakterne siger om deres forpligtelser.

Tredjepartsudbyder af IKT-tjenester

Du leverer it-tjenester til finansielle virksomheder: cloud-infrastruktur, kernesystemer til bankvirksomhed, betalingshåndtering, dataanalyse, cybersikkerhedstjenester eller it-outsourcing. Hvis den finansielle sektor er afhængig af dine systemer, har DORA noget at sige til dig – især hvis du er udpeget som en »kritisk« it-udbyder af de europæiske tilsynsmyndigheder.

Dine forpligtelser

  • At støtte finansielle virksomheder i deres overholdelse af reglerne ved at stille tilstrækkelige oplysninger og sikkerhed til rådighed (artikel 28–30)
  • Accepter kontraktbestemmelser, der omfatter: beskrivelser af tjenester, dataplaceringer, sikkerhedsforanstaltninger, support ved hændelser, revisionsrettigheder og exitstrategier (artikel 30)
  • Indberet straks hændelser, der berører kunder hos finansielle virksomheder (artikel 30, stk. 2, litra e)
  • Hvis virksomheden er udpeget som kritisk: underkastes direkte tilsyn af de europæiske tilsynsmyndigheder (artikel 31–44)
  • Hvis det er kritisk: oprethold passende sikkerhedsstandarder, gennemgå vurderinger og videregiv risikooplysninger til myndighederne (artikel 33–36)
  • Sørg for, at aftaler om underleverandører ikke svækker den finansielle enheds evne til at overholde kravene (artikel 30, stk. 2, litra a))

Vigtige artikler

§ 28 — Generelle principper for tredjepartsrisici inden for IKT§ 30 — Vigtige kontraktbestemmelser§§ 31–44 — Rammerne for tilsyn med kritiske udbydere
Et godt råd

Hvis du arbejder i den finansielle sektor, bør du allerede nu begynde at gennemgå dine kontrakter i forhold til kravene i artikel 30 i DORA. Finansielle virksomheder vil videregive disse krav til dig – vær proaktiv frem for reaktiv. At have DORA-kompatible kontraktskabeloner vidner om modenhed og sparer tid i forhandlingsforløbet.

Hvordan Euregas kan hjælpe

Tilgængelige værktøjer

  • Risikovurderinger af IKT — strukturerede vurderinger i overensstemmelse med kravene i DORA, artikel 5–16
  • Hændelsesstyring — overvåg it-hændelser med automatiske påmindelser om frister på 4 timer og 72 timer
  • Risikostyring i forbindelse med tredjeparter (artikel 28–44) — vurdering og overvågning af it-tjenesteudbydere

AI-understøttede funktioner

  • Semantisk søgning i DORA-artikler og -betragtninger
  • AI-udfyldte sagsfaser til DORA-relaterede compliance-sager
Bemærk

DORA-modulet tilbyder manuelle, strukturerede arbejdsgange. AI-understøttede funktioner (f.eks. klassificering af hændelsers alvorlighed og automatisk afgrænsning af TLPT) er planlagt til kommende versioner.

Alle eksempler er fiktive og tjener udelukkende til illustrative formål.