·Audun Martinussen

DORA for finansforetak — hva må dokumenteres

Digital Operational Resilience Act trådte i kraft 17. januar 2025. Her er en oversikt over hva norske finansforetak må dokumentere — særlig på prosess- og IKT-siden.

Digital Operational Resilience Act (DORA) trådte i kraft 17. januar 2025 og er nå gjeldende rett i EU og — gjennom EØS — også i Norge. For norske finansforetak betyr det betydelige nye dokumentasjonskrav på områder som IKT-risikostyring, tredjepartshåndtering, hendelsesrapportering og motstandskraft-testing.

Mange norske foretak begynte for sent. Tilsynet (Finanstilsynet) gjorde det klart i 2024 at de forventet implementering i forkant av ikrafttredelse. I 2025 og 2026 er forventningen at foretakene skal kunne dokumentere at de etterlever — ikke bare påstå.

Denne artikkelen er en oversikt over hovedkravene og hvilken type dokumentasjon de innebærer. Den er ikke uttømmende — DORA er omfattende og endel detaljer ligger i Regulatory Technical Standards (RTS) og Implementing Technical Standards (ITS).

Hva DORA gjelder for

DORA gjelder for de fleste finansielle enheter, inkludert:

  • Banker og kredittinstitusjoner
  • Forsikringsforetak
  • Investeringsforetak
  • Verdipapirforetak
  • Sentral verdipapirregister
  • Pengeoverføringsforetak og betalingsinstitusjoner
  • E-pengeforetak
  • Kryptotjenesteleverandører
  • Tredjeparts IKT-tjenesteleverandører til finansforetak (CTPP — Critical Third-Party Providers)

Det er vide unntak for små og mindre kompliserte foretak — særlig under proporsjonalitetsprinsippet — men selv små foretak må implementere kjernene.

De fem søylene i DORA

DORA er strukturert rundt fem hovedområder:

1. IKT-risikostyring

Foretakene skal ha en omfattende IKT-risikostyringsramme som inkluderer:

  • Identifisering av IKT-eiendeler og funksjoner
  • Klassifisering av eiendeler etter kritikalitet
  • Kontinuerlig risikovurdering
  • Tiltak for å begrense risiko
  • Beredskaps- og kontinuitetsplaner

Dokumentasjon som forventes:

  • IKT-strategi godkjent av styret
  • Risikoregister med tilknytning til IKT-eiendeler
  • Klassifiseringsmatrise for eiendeler
  • Beredskaps- og recovery-planer

2. Hendelsesrapportering

Det er innført en harmonisert prosess for klassifisering og rapportering av IKT-relaterte hendelser. Foretak må rapportere alvorlige hendelser til tilsynsmyndigheten innen frister som er definert i RTS.

Dokumentasjon som forventes:

  • Definert hendelsesklassifisering
  • Rutiner for vurdering av alvorlighetsgrad
  • Rapporteringsrutiner med definerte frister og roller
  • Logg over hendelser og rapporteringer

3. Digital motstandskrafttesting

Foretakene må gjennomføre regelmessig testing av digital motstandskraft. For større foretak inkluderer dette såkalt "threat-led penetration testing" (TLPT) som baserer seg på TIBER-EU-rammeverket.

Dokumentasjon som forventes:

  • Testprogram med årlig oppdatering
  • Resultater og oppfølgingstiltak fra tester
  • TLPT-dokumentasjon for foretak hvor det er aktuelt

4. Håndtering av tredjeparts-IKT-risiko

Dette er typisk det mest arbeidsintensive området. Foretakene må kjenne sine kritiske IKT-tjenesteleverandører og dokumentere risiko, kontrakter, exit-strategier og beredskap.

Dokumentasjon som forventes:

  • Register over alle IKT-tjenesteleverandører
  • Risikovurdering per leverandør, særlig for kritiske
  • Kontraktsmessig dekning av DORA-krav (informasjonsrettigheter, audit rights, exit-bestemmelser)
  • Exit-strategier per kritisk leverandør
  • Konsentrasjonsrisiko-analyse

5. Informasjonsdeling

Foretakene oppfordres til å dele informasjon om trusler og sårbarheter i etablerte fora. Dette er ikke obligatorisk i samme grad som de øvrige områdene, men er en del av rammeverket.

Hvor selskap typisk sliter

Tre områder der vi ofte ser dokumentasjonsmangler:

Tredjepartsregister er ufullstendig

Foretak vet hvilke hovedleverandører de har, men har ofte ikke et komplett register over alle IKT-tjenesteleverandører — inkludert mindre SaaS-løsninger, datasentre, og underleverandører. DORA krever at registeret er fullstendig og oppdatert.

Kontrakter dekker ikke DORA-krav

Eksisterende kontrakter med IKT-leverandører er ofte inngått før DORA og dekker ikke krav om audit rights, informasjonsdeling ved hendelser, eller exit-bestemmelser. Reforhandling tar tid — særlig med globale leverandører som er trege til å akseptere bilaterale endringer.

Hendelsesklassifisering er uklar

Foretakene har incident management, men ikke alltid en definisjon av "alvorlig hendelse" som matcher DORA-klassifiseringen. Resultatet er at vurdering av rapporteringsplikt blir improvisert.

Prosessdokumentasjon i DORA-konteksten

DORA krever god prosessdokumentasjon på flere områder:

  1. IKT-risikostyringsrammeverk: Hvordan gjøres risikovurdering? Hvem deltar? Hvor ofte? Dokumenteres som prosess.
  1. Hendelseshåndtering: End-to-end-prosess fra deteksjon til rapportering og oppfølging.
  1. Tredjeparts-onboarding og overvåking: Hvordan vurderes nye leverandører? Hvordan overvåkes pågående leverandører?
  1. Testing og oppfølging: Hvordan planlegges og gjennomføres tester? Hvordan følges funn opp?

For hver av disse er BPMN-diagrammer med tilhørende kontroll- og risikoregister praktisk verktøy. For mer om kombinasjon av kontrollregister og risikoregister, se denne artikkelen.

Praktisk tilnærming

For et finansforetak som starter relativt sent (slutten av 2025 eller i 2026):

Måned 1–2: Bestandsføring

  • Komplett IKT-tjenesteleverandør-register
  • Inventar over kritiske IKT-funksjoner og eiendeler
  • Gap-analyse mot DORA-krav

Måned 3–4: Rammeverk og prosesser

  • Oppdater IKT-risikostyringsramme
  • Etabler hendelseshåndtering med DORA-klassifisering
  • Definer testprogram

Måned 5–6: Kontrakter og tredjepart

  • Identifiser kritiske leverandører
  • Reforhandle kontrakter for å dekke DORA-krav
  • Etabler exit-strategier

Måned 7–9: Testing og iterasjon

  • Gjennomfør første tester
  • Etabler rapporteringsrutiner
  • Forbered dokumentasjon for tilsyn

Hva NorthControl kan bidra med

Vi gjør prosess-kartlegging og kontroll-/risikoregister for kjerneprosesser knyttet til DORA — særlig hendelseshåndtering, tredjeparts-onboarding og IKT-risikostyringsprosessen. Vi er ikke en spesialisert DORA-rådgiver, men leveransen vår er åpen og kan brukes som grunnlag i et større compliance-arbeid.

Se pakkene eller eksempel-leveransen.

Oppsummering

DORA er omfattende, men de fleste foretak har de fleste kompenenter på plass — de er bare ikke strukturert eller dokumentert slik DORA krever. Det er ofte mer et dokumentasjons- og governance-prosjekt enn et bygge-noe-nytt-prosjekt.

Det viktigste rådet er å starte med bestandsføring av leverandører og IKT-funksjoner. Den jobben er en forutsetning for alt annet i rammeverket, og den tar lengre tid enn de fleste tror.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.