DORA-ordliste

DORA samler og skjerper kravene til IKT-sikkerhet for finansforetak i Europa. Målet er at hele finanssystemet skal tåle, håndtere og komme seg etter IKT-hendelser. Forordningen dekker risikostyring, hendelsesrapportering, testing, tredjepartsrisiko og tilsyn.

DORA trådte i kraft i EU 17. januar 2025 og ble innlemmet i EØS-avtalen kort etter. I Norge er den gjeldende rett gjennom DORA-loven og DORA-forskriften.

DORA er gjennomført i norsk rett ved inkorporasjon: DORA-loven (lov 2025-05-27-18) gjør forordningen til norsk lov gjennom en henvisning, og utfyllende regler ligger i DORA-forskriften. Begge trådte i kraft 1. juli 2025.

Finanstilsynet har deretter tatt inn nivå 2-regelverk (tekniske reguleringsstandarder) i forskriften – senest i januar 2026. Det er altså denne loven og forskriften, sammen med selve forordningen, du forholder deg til i Norge.

DORA gjelder svært bredt: banker, kredittforetak, betalings- og e-pengeforetak, verdipapirforetak, forsikrings- og pensjonsforetak, forvaltningsselskaper, markedsplasser, kredittvurderingsbyråer og flere. Også enkelte IKT-tredjepartsleverandører trekkes inn gjennom tilsynsrammeverket.

Hvor omfattende kravene blir, avhenger av foretakets størrelse og risiko (proporsjonalitet).

DORA skal anvendes forholdsmessig. Et lite foretak med enkel IKT-bruk skal ikke pålegges like omfattende tiltak som en stor, kompleks aktør. Prinsippet går igjen i hele regelverket.

For de minste foretakene finnes et eget forenklet IKT-risikostyringsrammeverk.

IKT-risiko omfatter alt fra cyberangrep og systemfeil til menneskelige feil og leverandørsvikt som kan gå ut over tilgjengelighet, integritet eller konfidensialitet. DORA gjør håndtering av denne risikoen til en kjerneoppgave for finansforetak.

Begrepet er bredt og dekker både tekniske og organisatoriske årsaker.

Hjertet i DORA. Foretaket må ha et dokumentert rammeverk med strategier, retningslinjer, prosedyrer og verktøy for å beskytte alle IKT-ressurser, oppdage trusler, respondere og gjenopprette. Rammeverket skal gjennomgås minst årlig.

Det skal være integrert i foretakets samlede risikostyring og forankret i ledelsen.

DORA legger ansvaret tydelig på ledelsesorganet: det skal godkjenne og følge opp IKT-risikostrategien, sette av ressurser og holde seg oppdatert gjennom opplæring. Ansvaret kan ikke skyves ned i IT-avdelingen.

Dette speiler utviklingen i annet regelverk (som NIS2), der cybersikkerhet løftes til styrenivå.

Visse små foretak kan følge et forenklet IKT-risikostyringsrammeverk med færre formelle krav, som et utslag av proporsjonalitetsprinsippet. De grunnleggende pliktene består, men omfanget er tilpasset.

Finanstilsynet har laget veiledning og informasjonsmateriell om det forenklede rammeverket.

Foretaket må ha planer som sikrer at kritiske funksjoner kan opprettholdes og gjenopprettes raskt etter en hendelse. Det omfatter sikkerhetskopiering, gjenopprettingsprosedyrer og regelmessig testing av planene.

Målet er at en alvorlig hendelse ikke skal sette foretaket – eller finanssystemet – ut av spill.

En IKT-hendelse er en enkelthendelse eller serie hendelser som kompromitterer sikkerheten og påvirker tilgjengelighet, autentisitet, integritet eller konfidensialitet. Begrepet dekker både angrep og driftsfeil.

Hendelser skal håndteres i en strukturert prosess og klassifiseres etter alvorlighet.

DORA fastsetter kriterier for å klassifisere hendelser – blant annet antall berørte kunder, varighet, geografisk spredning, datatap og økonomisk virkning. Klassifiseringen avgjør om en hendelse er «alvorlig» og dermed rapporteringspliktig.

De nærmere tersklene er fastsatt i nivå 2-regelverk (tekniske standarder).

Alvorlige hendelser skal rapporteres til Finanstilsynet i flere trinn: en første melding, en mellomrapport og en endelig rapport, etter fastsatte frister og maler. Hensikten er rask oversikt og læring på tvers av sektoren.

Rapporteringen følger felleseuropeiske maler fastsatt i nivå 2-regelverk.

DORA åpner for frivillig rapportering av vesentlige cybertrusler – altså trusler som kunne ha blitt en alvorlig hendelse. Dette gir myndighetene et tidlig bilde og lar sektoren forberede seg.

Frivillig deling støtter opp under den bredere informasjonsdelingen i regelverket.

Foretak må ha et program for testing av digital operasjonell motstandsdyktighet, tilpasset størrelse og risiko. Grunnleggende tester omfatter blant annet sårbarhetsvurderinger, scenariotester og penetrasjonstesting.

Testing skal skje regelmessig og resultatene skal følges opp med tiltak.

TLPT (threat-led penetration testing) er realistiske angrepstester basert på faktisk trusseletterretning, rettet mot foretakets produksjonssystemer. De mest kritiske foretakene må gjennomføre slik testing med jevne mellomrom, ofte i tråd med TIBER-rammeverket.

TLPT er betydelig mer krevende enn ordinær penetrasjonstesting og involverer tilsynsmyndighetene.

Sårbarhetsvurderinger og -skanninger er blant de grunnleggende testene alle omfattede foretak skal gjennomføre. De avdekker kjente svakheter som kan utnyttes, slik at de kan lukkes før de blir et problem.

Slike vurderinger er mindre omfattende enn TLPT, men skal gjøres jevnlig.

DORA stiller egne krav til styring av risiko knyttet til IKT-leverandører. Foretaket må ha en strategi for tredjepartsrisiko, vurdere leverandører før avtaleinngåelse og følge dem opp gjennom hele avtaleforholdet.

Dette ligner forsyningskjedekravene i NIS2, men er mer detaljert for finanssektoren.

Dette er leverandørene av tjenester som skydrift, programvare, datasentre og databehandling som finansforetak er avhengige av. DORA stiller krav både til foretakenes oppfølging av dem og – for de viktigste – til direkte tilsyn.

Leverandører innenfor samme konsern regnes også med.

DORA fastsetter hva kontrakter med IKT-leverandører som et minimum skal regulere: tjenestebeskrivelse, tilgang og revisjonsrett, sikkerhetskrav, bistand ved hendelser, exit-strategier og – for kritiske funksjoner – ytterligere krav.

Foretaket må gå gjennom og om nødvendig reforhandle eksisterende avtaler for å oppfylle kravene.

Foretak må føre og vedlikeholde et register over alle avtaler om IKT-tjenester, med detaljer om leverandører, tjenester og hvilke som understøtter kritiske funksjoner. Registeret rapporteres til Finanstilsynet etter felles maler.

Registeret er et sentralt verktøy for både foretakets egen oversikt og myndighetenes tilsyn med konsentrasjonsrisiko.

Når store deler av finanssektoren bruker samme skyleverandør eller datasenter, kan svikt hos én leverandør ramme mange samtidig. DORA krever at foretak vurderer slik konsentrasjonsrisiko før og under avtaleforhold.

Konsentrasjonsrisiko er også en hovedgrunn til det direkte tilsynet med kritiske leverandører.

Når en kritisk eller viktig funksjon settes ut, gjelder de strengeste kravene: grundig forhåndsvurdering, detaljerte kontraktsbestemmelser, løpende oppfølging og realistiske exit-planer slik at foretaket kan bytte leverandør uten å miste funksjonen.

Ansvaret for funksjonen forblir hos foretaket, selv om driften er utkontraktert.

De viktigste IKT-leverandørene – typisk store skyaktører – kan utpekes som «kritiske» og blir da underlagt et eget europeisk tilsynsregime, uavhengig av de enkelte finansforetakene som bruker dem.

Dette er nytt: tilsynet retter seg direkte mot leverandøren, ikke bare mot finansforetaket.

For hver kritisk leverandør utpekes en hovedtilsynsfører (Lead Overseer) blant de europeiske tilsynsmyndighetene. Denne kan kreve informasjon, gjennomføre undersøkelser og inspeksjoner og gi anbefalinger om å redusere risiko.

Rammeverket sikrer koordinert oppfølging av leverandører som er felles for mange foretak og land.

Finanstilsynet fører tilsyn med at norske finansforetak etterlever DORA, tar imot hendelsesrapporter og informasjonsregistre, og fastsetter utfyllende forskrifter. Tilsynet har også publisert veiledere og Q&A om regelverket.

For kritiske IKT-leverandører skjer det overordnede tilsynet på europeisk nivå, i samarbeid med nasjonale myndigheter.

DORA oppmuntrer foretak til å dele etterretning om cybertrusler og sårbarheter seg imellom, innenfor betrodde fellesskap. Bedre felles situasjonsforståelse styrker hele sektorens motstandsdyktighet.

Delingen er frivillig og skal skje innenfor rammene av blant annet personvern og konkurranseregler.

Ved manglende etterlevelse kan Finanstilsynet gi pålegg og bruke administrative reaksjoner. DORA krever at statene har effektive, forholdsmessige og avskrekkende sanksjoner, og rammene er tatt inn i norsk rett gjennom DORA-loven og -forskriften.

For kritiske IKT-leverandører kan tilsynsorganet på europeisk nivå ilegge tvangsmulkt.