DORA – Finansiel standard

DORA er en EU-standard for cybersikkerhed rettet mod finansielle virksomheder og udbydere af informations- og kommunikationsteknologi. Den harmoniserer sikkerhedsregler på tværs af EU, styrker cybersikkerhed og reducerer cyberangrebsrisiko.

konsulent@leaveamarkgroup.com
+45 535 27000

Hvad er DORA?

Digital Operational Resilience Act (DORA) er en del af et nyt cybersikkerhedsrammeværk rettet mod den finansielle sektor. DORA er en forordning, som blev vedtaget den 28. november 2022 og trådte i kraft den 27. december 2022. Derefter er der en implementeringsperiode på 21 måneder, hvilket vil sige, at fra d. 17. januar 2024, skal kravene i DORA være tilstrækkeligt implementeret, i de berørte virksomheder.

Som med NIS2 er intentionen at styrke beskyttelsen af kritisk infrastruktur. DORA er dog målrettet den finansielle sektor, hvor der er en stor afhængighed af IKT-tjenester, som gør det muligt for brugerne at få adgang til, redigere og overføre oplysninger. Den forbedrede sikkerhed skal styrkes gennem strenge krav til håndtering af leverandører samt regelmæssige trusselsbaserede evalueringer af netværks- og informationssystemer.

Hvilke krav er der i DORA-forordningen?

  • IT-risikostyring: Principper og krav til IT-risikostyring
  • Hændelsesrapportering: En udvidelse af de finansielles enheders forpligtelser omkring hændelsesrapportering
  • Test: Krav om grundlæggende og avanceret test af digital operationel robusthed, eksempelvis penetration test og sårbarheds test
  • Leverandørstyring: Overvågning af risici, krav til kontrakter og tilsyn med kritiske leverandører
  • Informationsdeling: Frivillig udveksling af information og efterretninger vedrørende cybertrusler og angreb

hVAD ER FORMÅLET MED DORA?

  • Forbedrer virksomhedens cybersikkerhed og minimerer sårbarheder.
  • Reducerer risikoen for ødelæggende cyberangreb, der ellers kunne resulterer i ekstra omkostninger.
  • Forbedrer incidentrapporteringsprocedurer, hvilket kan fremskynde genoprettelsen efter et angreb.
  • Fremmer en proaktiv tilgang til risikostyring, hvilket hjælper med at forudsige og forhindre fremtidige trusler.
  • Gør det lettere at koordinere med andre virksomheder og organisationer i EU om cybersikkerhed.
  • Kan forbedre virksomhedens omdømme ved at demonstrere forpligtelse til høj cybersikkerhed.

Hvilke virksomhedstyper er omfattet af DORA?

  • Kreditinstitutter, betalingsinstitutter, og investeringsselskaber, elektroniske pengeinstitutter
  • Forsikrings- og pensionsselskaber
  • Værdipapircentraler
  • Kreditvurderingsbureauer
  • Udbydere af services til crypto-aktiver
  • Tjenesteudbydere af netværksfinansiering
  • Tredjepartsudbydere af it-sikkerhedstjenester.

Hvordan kommer din organisation i gang med implementerings-processen?

Digital Operationel Resilience Act (DORA) bygger på og udvider de eksisterende reguleringsmæssige krav ved at indføre nye forpligtelser for de omfattede organisationer. Selvom mange allerede har en vis erfaring med at håndtere compliance og lovgivningsmæssige krav på både nationalt og internationalt niveau, præsenterer DORA nye krav, som kan være mindre bekendte eller mere omfattende end tidligere.

For at imødekommen forordningen er det vigtigt for finansielle organisationer at anerkende behovet for digital og operationel robusthed. Uanset organisationens nuværende modenhedsniveau er det vigtigt at påbegynde eller intensivere indsatsen for at opbygge denne robusthed. Et godt udgangspunkt er at foretage en GAP-analyse for at identificere eventuelle mangler mellem nuværende processer og de krav, der er stillet i DORA-forordningen.

HAR I BEHOV FOR HJÆLP TIL IMPLEMENTERINGEN?

Hos Leave a Mark har vi erfaring med implementering af flere sikkerhedsstandarder sammen med DORA.
Ønsker I sparring eller hjælp til implementeringen, kan I klikke på nedenstående eller ringe og få en uforpligtende snak med os på +45 535 27000

Forstå kravene i DORA

I den første fase gennemgår vi DORA-forordningens krav og vurderer, hvordan de specifikt vedrører din organisations kontekst. Dette indebærer en kortlægning og GAP-analyse af de områder i din organisation, der er omfattet af forordningens bestemmelser. Dette vil give grundlaget for en implementeringsplan.

Risikostyring

På baggrund af implementeringsplanen, vil der implementeres en ramme for risikostyring. Vi vil derfor analysere det passende niveau af IT-sikkerhed samt vurdere den nuværende IT-infrastruktur, systemer og processer for at identificere risici. Dette omfatter en risikoanalyse af de identificerede risici. På baggrund af risikoanalysen, vil der blive udarbejdet og implementeret politikker, procedurer og andre foranstaltninger for at minimere eller eliminere disse risici. Efter gennemgangen af disse processer vil vi etablere en løbende overvågning for at sikre, at risici fortsat håndteres effektivt i virksomheden.

Test af beredskabsplaner & test og overvågning af IKT-sikkerhed

Et andet krav i forordningen er gennemførelsen af grundlæggende test af digital operationel robusthed ved hjælp af Threat-Led Penetration Tests (TLPT). Her vil der anvendes TLPT til at evaluere virksomhedens infrastruktur med det formål at identificere og udnytte sårbarheder. Formålet med TLPT er at simulere angreb fra en potentiel hacker eller ondsindet aktør for at afsløre svagheder og identificere områder, hvor der er risiko for uautoriseret adgang eller datatab.

Leverandør-styring

Forordningen introducerer også skærpede krav for virksomheder i den finansielle sektor for leverandør-styring. Her vil vi vurdere både eksisterende og potentielle leverandører for at sikre overholdelse af DORA-forordningens krav. Dette indebærer fastlæggelse af kriterier for valg af leverandører baseret på organisationens sikkerhedsforanstaltninger og overholdelse af sikkerhedsstandarder. I denne forbindelse vil der også indarbejdes DORA-relaterede krav i kontrakter med både nuværende og fremtidige leverandører. Herefter vil der regelmæssigt overvåges, at leverandøren lever op til de kontraktuelle forpligtelser.

Hændelse-rapportering

Et andet krav i forordningen er, at virksomheden skal have etableret specifikke procedurer for dokumentation og rapportering af IT-sikkerhedsbrud. Dette medfører en betydelig udvidelse af de finansielle enheders forpligtelser vedrørende hændelsesrapportering. Vores rådgivere vil derfor udvikle klare retningslinjer og procedurer for intern rapportering af hændelser, samt etablere rapporteringskanaler og fastsætte tidsrammer for indberetning.

Informations-deling

Der skal yderligere forholdes sig til udveksling af information og efterretninger om cybertrusler. Her vil tilsynsmyndigheden dele anonymiserede oplysninger og efterretninger om cybertrusler. Her vil vores rådgivere etableres politikker og procedurer, der sikrer, at de modtagne oplysninger fra myndighederne bliver gennemgået og håndteret effektivt på tværs af organisationen.

Brug for hjælp til DORA?

Ved at indsende din besked, giver du samtykke til, at Leave A Mark Consulting Group må gemme og behandle ovenstående oplysninger.

Bemærk, at dine oplysninger ikke anvendes til markedsføring, men udelukkende i relation til din henvendelse.

Hold dig opdateret ved at tilmelde dig vores nyhedsbrev.

Services
Kontakt
Book en samtale
Kontorer

København

Aalborg

© 2025 Leave a Mark Consulting Group ApS

CVR: 39411458

Luk menu

+45 535 27000
konsulent@leaveamarkgroup.com