Selmer Tech Tracker

Digital Operational Resilience Act (DORA)

På norsk

For­ord­ning om digi­tal ope­ra­sjo­nell mot­stands­dyk­tig­het i finanssektoren

Status

For­ord­nin­gen tråd­te i kraft 16. janu­ar 2023 og gjel­der i EU fra 17. janu­ar 2025.

Status i Norge

Norsk lov (lov om digi­tal ope­ra­sjo­nell mot­stands­dyk­tig­het i finans­sek­to­ren) trer i kraft 1. juli 2025.

Forordningen skal sikre at alle deltakere i det finansielle systemet har nødvendige tiltak på plass for å redusere cyberangrep og andre risikoer, og regulerer både finansaktører og finansaktørenes IKT-underleverandører.

De fleste foretakene i finanssektoren som er regulert av EU/EØS-sektorregelverket, omfattes av DORA, med enkelte unntak.

DORA har fem grunnpilarer: 

  • IKT-risikostyring: Det stilles krav til foretakenes virksomhetsstyring og et rammeverk for risikostyring.
  • Håndtering og rapportering av IKT-hendelser: Det stilles krav til prosedyrer for å avdekke, håndtere og varsle om hendelser.
  • Testing av den digitale motstandsdyktigheten: Finansforetak, med noen unntak, må gjennomføre trusselbasert penetrasjonstesting (TLPT).
  • Styring av tredjepartsrisikoer: Det stilles nærmere krav til hvilke vurderinger foretak må gjøre før inngåelse av en IKT-tjenesteavtale, hvordan avtalen skal følges opp og hva den må inneholde.
  • Informasjonsdeling: DORA regulerer ordninger for informasjonsutveksling, både mellom foretak og mellom myndigheter.

Forordningen er et sektorspesifikt regelverk, og har derfor forrang foran NIS2-direktivet.