Digital Operational Resilience Act (DORA) trådte i kraft 17. januar 2025 og er nå gjeldende rett i EU og — gjennom EØS — også i Norge. For norske finansforetak betyr det betydelige nye dokumentasjonskrav på områder som IKT-risikostyring, tredjepartshåndtering, hendelsesrapportering og motstandskraft-testing.
Mange norske foretak begynte for sent. Tilsynet (Finanstilsynet) gjorde det klart i 2024 at de forventet implementering i forkant av ikrafttredelse. I 2025 og 2026 er forventningen at foretakene skal kunne dokumentere at de etterlever — ikke bare påstå.
Denne artikkelen er en oversikt over hovedkravene og hvilken type dokumentasjon de innebærer. Den er ikke uttømmende — DORA er omfattende og endel detaljer ligger i Regulatory Technical Standards (RTS) og Implementing Technical Standards (ITS).
Hva DORA gjelder for
DORA gjelder for de fleste finansielle enheter, inkludert:
- Banker og kredittinstitusjoner
- Forsikringsforetak
- Investeringsforetak
- Verdipapirforetak
- Sentral verdipapirregister
- Pengeoverføringsforetak og betalingsinstitusjoner
- E-pengeforetak
- Kryptotjenesteleverandører
- Tredjeparts IKT-tjenesteleverandører til finansforetak (CTPP — Critical Third-Party Providers)
Det er vide unntak for små og mindre kompliserte foretak — særlig under proporsjonalitetsprinsippet — men selv små foretak må implementere kjernene.
De fem søylene i DORA
DORA er strukturert rundt fem hovedområder:
1. IKT-risikostyring
Foretakene skal ha en omfattende IKT-risikostyringsramme som inkluderer:
- Identifisering av IKT-eiendeler og funksjoner
- Klassifisering av eiendeler etter kritikalitet
- Kontinuerlig risikovurdering
- Tiltak for å begrense risiko
- Beredskaps- og kontinuitetsplaner
Dokumentasjon som forventes:
- IKT-strategi godkjent av styret
- Risikoregister med tilknytning til IKT-eiendeler
- Klassifiseringsmatrise for eiendeler
- Beredskaps- og recovery-planer
2. Hendelsesrapportering
Det er innført en harmonisert prosess for klassifisering og rapportering av IKT-relaterte hendelser. Foretak må rapportere alvorlige hendelser til tilsynsmyndigheten innen frister som er definert i RTS.
Dokumentasjon som forventes:
- Definert hendelsesklassifisering
- Rutiner for vurdering av alvorlighetsgrad
- Rapporteringsrutiner med definerte frister og roller
- Logg over hendelser og rapporteringer
3. Digital motstandskrafttesting
Foretakene må gjennomføre regelmessig testing av digital motstandskraft. For større foretak inkluderer dette såkalt "threat-led penetration testing" (TLPT) som baserer seg på TIBER-EU-rammeverket.
Dokumentasjon som forventes:
- Testprogram med årlig oppdatering
- Resultater og oppfølgingstiltak fra tester
- TLPT-dokumentasjon for foretak hvor det er aktuelt
4. Håndtering av tredjeparts-IKT-risiko
Dette er typisk det mest arbeidsintensive området. Foretakene må kjenne sine kritiske IKT-tjenesteleverandører og dokumentere risiko, kontrakter, exit-strategier og beredskap.
Dokumentasjon som forventes:
- Register over alle IKT-tjenesteleverandører
- Risikovurdering per leverandør, særlig for kritiske
- Kontraktsmessig dekning av DORA-krav (informasjonsrettigheter, audit rights, exit-bestemmelser)
- Exit-strategier per kritisk leverandør
- Konsentrasjonsrisiko-analyse
5. Informasjonsdeling
Foretakene oppfordres til å dele informasjon om trusler og sårbarheter i etablerte fora. Dette er ikke obligatorisk i samme grad som de øvrige områdene, men er en del av rammeverket.
Hvor selskap typisk sliter
Tre områder der vi ofte ser dokumentasjonsmangler:
Tredjepartsregister er ufullstendig
Foretak vet hvilke hovedleverandører de har, men har ofte ikke et komplett register over alle IKT-tjenesteleverandører — inkludert mindre SaaS-løsninger, datasentre, og underleverandører. DORA krever at registeret er fullstendig og oppdatert.
Kontrakter dekker ikke DORA-krav
Eksisterende kontrakter med IKT-leverandører er ofte inngått før DORA og dekker ikke krav om audit rights, informasjonsdeling ved hendelser, eller exit-bestemmelser. Reforhandling tar tid — særlig med globale leverandører som er trege til å akseptere bilaterale endringer.
Hendelsesklassifisering er uklar
Foretakene har incident management, men ikke alltid en definisjon av "alvorlig hendelse" som matcher DORA-klassifiseringen. Resultatet er at vurdering av rapporteringsplikt blir improvisert.
Prosessdokumentasjon i DORA-konteksten
DORA krever god prosessdokumentasjon på flere områder:
- IKT-risikostyringsrammeverk: Hvordan gjøres risikovurdering? Hvem deltar? Hvor ofte? Dokumenteres som prosess.
- Hendelseshåndtering: End-to-end-prosess fra deteksjon til rapportering og oppfølging.
- Tredjeparts-onboarding og overvåking: Hvordan vurderes nye leverandører? Hvordan overvåkes pågående leverandører?
- Testing og oppfølging: Hvordan planlegges og gjennomføres tester? Hvordan følges funn opp?
For hver av disse er BPMN-diagrammer med tilhørende kontroll- og risikoregister praktisk verktøy. For mer om kombinasjon av kontrollregister og risikoregister, se denne artikkelen.
Praktisk tilnærming
For et finansforetak som starter relativt sent (slutten av 2025 eller i 2026):
Måned 1–2: Bestandsføring
- Komplett IKT-tjenesteleverandør-register
- Inventar over kritiske IKT-funksjoner og eiendeler
- Gap-analyse mot DORA-krav
Måned 3–4: Rammeverk og prosesser
- Oppdater IKT-risikostyringsramme
- Etabler hendelseshåndtering med DORA-klassifisering
- Definer testprogram
Måned 5–6: Kontrakter og tredjepart
- Identifiser kritiske leverandører
- Reforhandle kontrakter for å dekke DORA-krav
- Etabler exit-strategier
Måned 7–9: Testing og iterasjon
- Gjennomfør første tester
- Etabler rapporteringsrutiner
- Forbered dokumentasjon for tilsyn
Hva NorthControl kan bidra med
Vi gjør prosess-kartlegging og kontroll-/risikoregister for kjerneprosesser knyttet til DORA — særlig hendelseshåndtering, tredjeparts-onboarding og IKT-risikostyringsprosessen. Vi er ikke en spesialisert DORA-rådgiver, men leveransen vår er åpen og kan brukes som grunnlag i et større compliance-arbeid.
Se pakkene eller eksempel-leveransen.
Oppsummering
DORA er omfattende, men de fleste foretak har de fleste kompenenter på plass — de er bare ikke strukturert eller dokumentert slik DORA krever. Det er ofte mer et dokumentasjons- og governance-prosjekt enn et bygge-noe-nytt-prosjekt.
Det viktigste rådet er å starte med bestandsføring av leverandører og IKT-funksjoner. Den jobben er en forutsetning for alt annet i rammeverket, og den tar lengre tid enn de fleste tror.