Hvad er Digital Operational Resilience Act (DORA)?
DORA er et lovforslag fra EU, der har til formål at etablere regler for at styrke robustheden og håndteringen af cybertrusler og hændelser i den finansielle sektor. Initiativet er en del af EU’s samlede indsats for at sikre en sikker og stabil digital infrastruktur i finanssektoren.
Hvem gælder DORA for?
DORA gælder for alle EU’s medlemslande. Virksomheder, der anses for at være i den finansielle sektor, er omfattet af DORA, ligesom kritiske ICT-underleverandører, der også er direkte reguleret.
- Kreditinstitutter, herunder banker og realkreditinstitutter
- Betalingsvirksomheder
- Informationsagenter
- E-pengeinstitutter
- Investeringsselskaber
- Udbydere af kryptotjenester, der er omfattet af MiCA
- Handelsregistre
- Centrale modparter
- Handelssteder (dvs. regulerede markeder, multilaterale handelsfaciliteter (MHF’er) og mellemmænd)
- Centrale værdipapirdepoter
- Forvaltere af alternative investeringsfonde
- Administrationsselskaber for investeringsfonde
- Udbydere af datarapporteringstjenester
- Forsikrings- og genforsikringsselskaber
- Forsikringsmæglere, genforsikringsmæglere og tilknyttede forsikringsmæglere
- Selskaber for arbejdsmarkedsrelaterede pensionsordninger
- Kreditvurderingsbureauer
- Administratorer af kritiske benchmarks
- Tjenesteudbydere til crowdfunding
- Opbevaringssteder for sikkerhedsstillelse
Hvilke krav stiller DORA til organisationer?
-
Rapportering af hændelser Implementering af robuste mekanismer til at forebygge, opdage og håndtere digitale hændelser, herunder etablering af effektive reaktionsprocedurer. Alvorlige IKT-hændelser skal rapporteres til tilsynsmyndighederne, og organisationen skal fremlægge både en anmeldelse/indledende rapport og en endelig rapport.
-
Styring af IKT-risici DORA kræver, at selskabets ledelse påtager sig det »fulde og endelige ansvar« for IKT-risikostyring. Dette omfatter godkendelse af en strategi for digital operationel modstandsdygtighed samt gennemgang og godkendelse af selskabets politikker for brug af tredjeparts ICT-leverandører.
-
Risici fra tredjepartsleverandører Organisationer skal implementere risikostyring for tredjepartsleverandører, der er involveret i kritiske tjenester, for at sikre hele forsyningskæden. Desuden skal organisationer inkludere en række vilkår og betingelser i deres kontrakter med deres kritiske leverandører inden DORA's implementeringsfrist.
-
Test af modenhed Alle organisationer skal årligt gennemføre passende sikkerheds- og robusthedstests af deres kritiske IKT-systemer og -applikationer. For organisationer, der er defineret som tilstrækkeligt vigtige, kræves der også avancerede penetrationstests hvert tredje år. Certificerede eksperter skal udføre testene for at sikre tilstrækkelig kompetence, og eventuelle svagheder, der opdages under testningen, skal »håndteres fuldt ud« i overensstemmelse med reglerne.
-
Samarbejde og informationsdeling Der vil blive etableret et samarbejde i sektoren for at sikre, at information om digitale trusler og hændelser deles, og for at styrke den generelle modstandskraft i sektoren.
Sådan bliver du klar til DORA i 2025
Afklar internt, hvem der har ejerskab til at implementere DORA i din organisation, og hvad der kræves. Succes kræver samarbejde på tværs af organisationen og ledelsesansvar.
Gennemfør en grundig analyse af jeres eksisterende ICT-infrastruktur og processer. En god analyse afdækker svagheder, sårbarheder og områder, der skal forbedres for at opfylde DORA-kravene.
Kortlæg og identificer kritiske ICT-processer og -systemer, som er afgørende for organisationens operationelle robusthed. Dokumentation af kritiske processer afslører også klare ansvarsområder i organisationen.
Alle tredjepartsleverandører, der er involveret i kritiske ICT-tjenester, skal identificeres. Kontrakter og dokumenter relateret til leverandører skal gennemgås for at sikre, at leverandørerne opfylder DORA-kravene.
Webinar: Alt du trenger å vite om Digital Operational Resilience Act (DORA)
I webinaret får du mere information om:
- Hvad er DORA, og hvad betyder det for din virksomhed?
- Er du berørt af DORA?
- Hvordan du bliver klar til DORA i 2025
Esben Dahl-Nielsen
Sådan kan vi hjælpe din organisation
Vores eksperter kan hjælpe dig med at finde gode løsninger til datasikkerhed, IT-sikkerhed og incident management. Kontakt os for at høre mere om, hvordan vi i samarbejde med Rubrik kan hjælpe din organisation med at tilpasse sig kerneprincipperne i DORA.
Sådan hjælper vores partner Rubrik dig med DORA
Rubrik hjælper organisationer med at tilpasse sig følgende krav:
- Håndtering af hændelser
- IKT-risikostyring
- Test af modstandsdygtighed
- Risiko fra tredjepartsleverandører
- Samarbejde og informationsdeling
Download produktarket for at få mere at vide om, hvordan Rubrik understøtter DORA-kravene.
Vil du vide mere om DORA, og hvordan vi kan hjælpe din organisation?
Kontakt os, hvis du vil have mere uddybende information om DORA. Vores ekspertise, i samarbejde med vores partnere, hjælper virksomheder med at blive klar til DORA.
Kontakt os direkte, eller send os en besked via formularen.