DORA gør din virksomhed mere modstandsdygtig – og sikrer, at du overholder EU-regler
Finansielle virksomheder og deres IT-leverandører står over for voksende cybertrusler, uforudsete driftsafbrydelser og en konstant udvikling i reguleringskrav. DORA-forordningen ruster din virksomhed til at modstå, reagere og hurtigt komme sig efter cyberangreb. Skal vi hjælpe dig i gang og i mål med DORA, der snart er et lovkrav?
Hvad er DORA?
DORA (Digital Operational Resilience Act) er en EU-forordning, der har til formål at sikre, at alle finansielle virksomheder og deres IT-leverandører kan modstå, reagere på og hurtigt komme sig efter cyberangreb og teknologiske afbrydelser.
Kort sagt handler DORA om at ruste virksomheder til at håndtere de operationelle risici i en verden, der bliver mere digitaliseret.
DORA træder i kraft den 17. januar 2025 i hele EU, og det forventes, at virksomheder skal være fuldt DORA-kompatible inden denne dato.
Er din virksomhed omfattet af DORA?
Hvilke virksomheder er omfattet af DORA? DORA gælder for et bredt spektrum af finansielle virksomheder, herunder banker, forsikringsselskaber, investeringsselskaber, betalingsinstitutter og deres IT-leverandører. Hvis din virksomhed er en del af den finansielle sektor, er det sandsynligt, at DORA vil gælde for dig.
DORA passer på din forretning - og giver større indsigt
Den stigende digitalisering og høje cybertrusselsniveau påvirker den finansielle sektor.
Manglen på beredskab for digitale angreb kan resultere i enorme omkostninger, tab af tillid fra kunder og myndigheder samt få alvorlige juridiske konsekvenser.
Hensigten med DORA er overordnet at skabe en mere sikker og effektiv digital finansiel sektor i form af et ensartet regelsæt i hele EU. Med DORA får du større indsigt i, hvordan din virksomhed står både sikkerheds- og forretningsmæssigt.
Du får også indblik i risikostyring i forhold til at analysere de risici, der kan medføre skader og værditab i din organisation. Det kan du bruge som et konkret ledelsesværktøj. Målet er at kunne passe bedre på din virksomhed.
4 fordele, når din virksomhed efterlever DORA
#1 Øget modstandsdygtighed
Øget modstandsdygtighed over for driftsafbrydelser og cyberangreb.
#2 Større tillid
Større tillid fra kunder og partnere, der ved, at deres data og tjenester er i sikre hænder.
#3 Overholdelse af regler
Bedre overholdelse af EU-regler og undgåelse af bøder.
#4 Optimerede processer
Optimerede IT-processer, der giver effektivitet og færre risici.
Myndighederne fører tilsyn, håndhæver og sanktionerer
Det er de sektoransvarlige myndigheder, der har ansvaret for at føre tilsyn og håndhæve kravene i direktivet. Der er forskellige tilsynskrav alt efter om din virksomhed vurderes til at være en væsentlig eller vigtig enhed.
Hvis din virksomhed er en væsentlig enhed, kan I forvente løbende proaktive tilsyn såsom revisioner, rapportering og peer reviews. Imens kan vigtige enheder forvente reaktive tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om at organisationen ikke lever op til kravene.
Lever din virksomhed ikke op til kravene, er der mulighed for sanktionering i form af bøder, tvungne revisioner, sanktionering af ledelse og så videre.
Hvornår træder DORA i kraft?
DORA træder i kraft den 17. januar 2025 i hele EU, og det forventes, at virksomheder skal være fuldt DORA-kompatible inden denne dato.
For at komme godt i gang med DORA er det vigtigt at sætte ind med de rigtige løsninger. Den del kan vi hjælpe dig med. Vi anbefaler, at du starter med disse fire initiativer:
#1 Vurdering
Vurdering af din cybermodenhed.
#2 GAP-analyse
En GAP-analyse.
#3 Workshop
En workshop med indsigt i din virksomheds IT-sikkerhed.
#3 Test-strategi
En teststrategi og plan for krævede tekniske sikkerhedstests.
DORA vs. NIS2
Der er mange ligheder mellem DORA-forordningen og NIS2-direktivet – på trods af at typen af lovgivning og den primære målgruppe er forskellig.
Begge initiativer har et ønske om et højt sikkerhedsniveau mod cybertrusler. Derfor har DORA og NIS2 en tæt kobling for at sikre en sammenhængende strategi indenfor cybersikkerhedsstrategi på tværs af alle sektorer.
Den primære forskel er dog, at DORA stiller yderligere og mere specifikke krav til virksomhederne – herunder tekniske tests såsom penetrationstest. Omfattede virksomheder skal følge kravstillingen i DORA de steder, hvor de overordnede krav er identitiske med kravene i NIS2.
Tilsammen udgør DORA og NIS2 en omfattende ramme for cybersikkerhed, der sikrer en koordineret indsats for at beskytte EU’s finansielle og kritiske infrastruktur.
Ofte stillede spørgsmål og svar om DORA
-
Hvad er DORA?
DORA er en EU-forordning, der skal sikre finansielle virksomheders modstandsdygtighed over for digitale trusler og driftsafbrydelser.
-
Hvad er formålet med DORA?
At skabe et ensartet regelsæt for at beskytte finansielle virksomheder mod cyberangreb og teknologiske risici.
-
Hvem bliver omfattet af DORA?
DORA gælder for finansielle virksomheder og deres IT-leverandører.
-
Hvilke krav stiller DORA?
DORA stiller krav om IT-sikkerhed, regelmæssig risikostyring og samarbejde med pålidelige IT-leverandører.
-
Hvilken myndighed fører tilsyn?
I Danmark er det Finanstilsynet, der fører tilsyn med DORA. Det vil ske i form af adgang til dokumentation og data, inspektioner og undersøgelser samt korrigerende og afhjælpende foranstaltninger.
-
Hvornår træder DORA i kraft?
DORA træder i kraft den 17. januar 2025 i hele EU.
-
Hvad er konsekvenserne ved ikke at overholde DORA?
Hvis din virksomhed ikke overholder DORA-forordningen, vil Finanstilsynet som minimum foretage sanktioner som påbud, foranstaltninger, kræve udlevering af optegnelser med mere.