Som medarbejder i en finansiel virksomhed er du sandsynligvis bekendt med betydningen af lovgivning og regulering i branchen. En af de seneste forordninger, der vil påvirke dig og din virksomhed, er DORA, også kendt som Digital Operational Resilience Act. For at hjælpe dig med at forstå DORA-forordningen og dens implikationer har vi samlet denne vejledning med 6 vigtige ting, du skal vide.

1. Overordnet formål og omfang: 

Den 16. januar 2023 trådte Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor (i.e. DORA-forordningen) i kraft. Forordningen finder anvendelse den 17. januar 2025 og giver blandt andet myndighederne beføjelser til at føre tilsyn med cyber- og IKT-risici i forbindelse med virksomhedens afhængighed af tredjepartsudbydere, så som cloud-platforme og tilhørende it-sikkerhedstjenester.

Forordningen er designet til at styrke finansielle virksomheders modstandsdygtighed over for cyberangreb, tekniske fejl og andre operationelle risici. Den stiller krav til virksomhederne om at identificere og vurdere deres operationelle risici samt etablere passende foranstaltninger til styring af disse risici. Dette indebærer udarbejdelse af klare ansvarsfordelinger samt implementering af robuste foranstaltninger til risikostyring, beredskabsplanlægning og sikkerhedskultur.

Forordningen vil gælde for det store flertal af forsikrings- og pensionsselskaber i EU, herunder kreditinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber, Værdipapircentraler, administratorer af kritiske benchmarks, crowdfundingtjenesteudbydere, kreditvurderingsbureauer og it-leverandører som er systemiske på EU-niveau.

2. Ansvarsfordeling, rapportering og dokumentation:  

DORA-forordningen kræver en klar ansvarsfordeling for operationel modstandsdygtighed. Alle medarbejdere i organisationen, uanset afdeling, skal forstå vigtigheden af at sikre en stabil og pålidelig drift, samtidig med at de effektivt kan håndtere eventuelle nødsituationer. Dertil er det afgørende, at medarbejdere og ansvarlige er bevidst om deres rolle og opgaver i forhold til at sikre, at de relevante procedurer og beredskabsplaner er på plads. 

Forordningen pålægger finansielle virksomheder at opretholde omfattende dokumentation og rapportering. Det inkluderer dokumentation af deres it-systemer, risikostyringsrammer, beredskabsplaner og sikkerhedsforanstaltninger. Som ansvarlig medarbejder er det vigtigt at være opmærksom på disse krav og sikre, at relevante dokumenter og rapporter er ajourførte og tilgængelige.

3. Implementering og styrkelse af it-sikkerhedsforanstaltninger:

Forordningen sætter krav til implementering af avancerede it-sikkerhedsforanstaltninger såsom stærk adgangskontrol, regelmæssig systemopdatering og patching, kryptering af data og overvågning af cybertrusler. Finansielle virksomheder skal også etablere processer til håndtering af sikkerhedsbrud og gennemføre test og øvelser for at sikre effektiviteten af deres sikkerhedsforanstaltninger.
Som it-driftsmedarbejder, it-sikkerhedsspecialist eller projektleder er det afgørende at være opmærksom på de nødvendige sikkerhedsforanstaltninger og bidrage til deres implementering. Det er derfor vigtigt at være proaktiv og holde sig ajour med de nyeste trusler og teknologier for at beskytte virksomhedens systemer og data.

4. Compliance og intern revision:

Compliance medarbejdere og interne revisionshold spiller en vigtig rolle i at sikre, at virksomheden overholder DORA-forordningen og de dertilhørende krav. Det indebærer at udføre regelmæssige kontrol- og revisionsaktiviteter, identificere potentielle mangler og foretage nødvendige justeringer for at sikre overensstemmelse med reglerne.

5. Samarbejde med tilsynsmyndigheder: 

DORA-forordningen indebærer et tættere samarbejde mellem finansielle virksomheder og tilsynsmyndigheder. Virksomhederne skal etablere en klar og effektiv kommunikationskanal med tilsynsmyndighederne for at rapportere om alvorlige sikkerhedshændelser og sikre overholdelse af forordningen. Der kan også være krav om regelmæssig rapportering af operationel modstandsdygtighed og it-sikkerhedsforanstaltninger.

6. Implementerings- og tidsrammer: 

DORA-forordningen er underlagt en implementeringsperiode, og det er vigtigt for berørte medarbejdere og ansvarlige at være opmærksomme på de nødvendige skridt og tidsrammer for at opfylde kravene. Det kan omfatte udarbejdelse og implementering af politikker og procedurer, uddannelse af medarbejdere, gennemgang af eksisterende systemer og sikkerhedsforanstaltninger samt opdatering af beredskabsplaner. Det er vigtigt at være opmærksom på frister og sikre en rettidig og omhyggelig overholdelse af DORA-forordningen.


Læs mere om DORA-forordningen på Finanstilsynets hjemmeside og Den Europæiske Unions hjemmeside.

Bliv klar til DORA-forordning hos Dansk IT
På Dansk IT’s nye kursus får du en dybdegående forståelse af DORA-forordningen. Du lærer bl.a. om de forskellige juridiske og tekniske krav, der er forbundet med forordningen, samt hvordan du implementerer effektive politikker og procedurer for at sikre overholdelse af reglerne. 

Kurset afholdes første gang den 27. - 28. november 2023 i København Ø. Tilmeld dig allerede nu. 

Læs mere om kurset her.