DORA er EU's fælles regelsæt for, hvordan den finansielle sektor skal kunne modstå, håndtere og komme sig efter problemer i deres it. Reglerne er en forordning, så de gælder direkte i Danmark uden at blive skrevet om til en dansk lov. De har været bindende siden 17. januar 2025, og Finanstilsynet kontrollerer, at virksomhederne følger dem.
Virksomheden skal have en dokumenteret ramme for styring af it-risici (IKT står for informations- og kommunikationsteknologi). Ledelsen har det endelige ansvar og skal godkende og føre tilsyn med rammen.
Art. 5-6Større it-hændelser skal klassificeres og indberettes til Finanstilsynet efter faste frister - en første underretning, en mellemrapport og en slutrapport.
Art. 17 og 19Virksomheden skal teste sine it-systemer regelmæssigt. De største og mest kritiske enheder skal desuden gennemføre avanceret, trusselsstyret penetrationstest (TLPT) mindst hvert tredje år. Selve TLPT-kravet hjemles i art. 26, og art. 27 sætter kravene til de testere, der udfører den.
Art. 24-26Aftaler med eksterne it-leverandører skal indeholde bestemte vilkår, og kritiske leverandører føres der særligt tilsyn med på EU-plan.
Art. 28-30DORA gælder for et bredt udsnit af den finansielle sektor og for de it-leverandører, som sektoren afhænger af. Her er de vigtigste grupper, og hvad reglerne konkret kræver af dem.
Vælg en type for at se kravene.
Den konkrete tilpasning løser vi med rådgivning. Kontakt os →
Ledelsen (bestyrelse og direktion) har det endelige og ikke-delegerbare ansvar for it-risikostyringen og skal selv holde sin viden om it-risici opdateret, blandt andet gennem løbende uddannelse.
Mikrovirksomheder (under 10 ansatte og højst 2 mio. EUR i omsætning eller balance) og visse små enheder kan følge en forenklet it-risikostyringsramme og er fritaget for kravet om avanceret penetrationstest (TLPT).
Finanstilsynet er udpeget som kompetent dansk myndighed og kontrollerer, at finansielle virksomheder overholder DORA, samt sanktionerer overtrædelser. Hjemlen kom med en ændringslov, der trådte i kraft 1. juni 2024 (fremsat som lovforslag L122), mens DORA-delene først gælder fra 17. januar 2025.
De europæiske tilsynsmyndigheder (EBA, EIOPA og ESMA) står for den særlige tilsynsramme for IKT-tredjepartsudbydere, der er udpeget som kritiske. Den 18. november 2025 udpegede de de første 19 kritiske udbydere, blandt andet store cloud-platforme. Listen opdateres årligt.
DORA er særregler (lex specialis) for den finansielle sektor og går forud for de generelle NIS2-krav for cybersikkerhed. NIS2 og CER-direktivet dækker andre kritiske sektorer, mens DORA samler it-robusthed for finansielle enheder i ét regelsæt. DORA suppleres af delegerede forordninger (RTS/ITS), der præciserer kravene, og af en ændringslov (fremsat som L122), som giver Finanstilsynet tilsyns- og sanktionshjemmel.
DORA finder direkte anvendelse fra 17. januar 2025. Fordi det er en EU-forordning og ikke et direktiv, gælder reglerne uden at blive omsat til en særskilt dansk lov.
En bred kreds af finansielle enheder, blandt andet banker, betalings- og e-pengeinstitutter, investeringsselskaber, forsikrings- og pensionsselskaber samt en række kapitalmarkedsaktører. Desuden er kritiske it-leverandører omfattet af en særlig tilsynsramme.
DORA er særregler (lex specialis) for den finansielle sektor. Hvor DORA stiller krav, går de forud for de mere generelle NIS2-krav, og finansielle enheder anses derfor i praksis for at opfylde de tilsvarende NIS2-forpligtelser gennem DORA.
Få en uforpligtende gennemgang af, hvad der gælder for jer, og hvordan I dokumenterer beredskabet.
Kontakt for en gennemgang