Den europæiske forordning om digital operationel modstandsdygtighed for finanssektoren (DORA) pålægger finansielle enheder - og indirekte deres IKT-udbydere - et fuldstændigt register over kontrakter, præcise kontraktvilkår og dateret revisionsbevis. SYAGA DORA-Express hjælper jer med at opfylde disse krav uden at improvisere, uanset om I er finansiel enhed eller IKT-udbyder.
DORA er en forordning, ikke et direktiv: den finder direkte anvendelse i alle medlemsstater, uden at der skal ventes på en national implementeringslov.
Forordning (EU) 2022/2554 af 14. december 2022, offentliggjort i EU-Tidende den 27. december 2022, trådt i kraft den 16. januar 2023 og gældende siden 17. januar 2025. Ingen national implementering påkrævet: den kan gøres direkte gældende.
Hver finansiel enhed skal føre og årligt indsende til myndighederne et komplet register over sine IKT-kontrakter: udbyder, tjenestens art, funktionens kritikalitet, land hvor data hostes.
Revisions- og inspektionsrettigheder, garantier for datatilgængelighed og -integritet, testede exitplaner, øjeblikkelig hændelsesnotifikation. Disse vilkår videreføres fra jeres finansielle kunde til jer, hvis I er dennes IKT-udbyder.
Før en bank, et forsikringsselskab eller en investor underskriver eller fornyer en kontrakt, sender de et cyberspørgeskema (governance, MFA, EDR, kryptering, awareness). At besvare det uden dokumenteret bevis koster jer kontrakten.
Den 18.-19. november 2025 offentliggjorde de europæiske tilsynsmyndigheder (EBA, ESMA, EIOPA) den første officielle liste over kritiske IKT-udbydere i medfør af artikel 32 i DORA. Blandt de navne der er bekræftet i de officielle meddelelser: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 andre udbydere, der ikke er navngivet i vores kilder).
Konkret konsekvens: hvis jeres kritiske tjenester bygger på en af disse udbydere, skal jeres finansielle kunde nu dokumentere dette i sit IKT-register - og kan spørge jer om jeres egen underleverandørkæde.
Kilde: officielle meddelelser fra EIOPA og ESMA, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).
Et struktureret forløb i 5 trin til at dokumentere jeres compliance - uden at love noget, som hverken et værktøj eller et konsulenthus kan certificere på jeres vegne.
Er I en finansiel enhed direkte omfattet (en af de 21 kategorier i artikel 2), eller en IKT-udbyder omfattet indirekte via jeres finansielle kunders kontraktvilkår (artikel 30)? Det nøjagtige omfang bestemmer alt det efterfølgende.
Vi besvarer jeres due diligence-spørgeskema fra bank, investor eller forsikringsselskab (governance, MFA, EDR, kryptering, awareness...) baseret på en teknisk revision af jeres Microsoft 365-tenant som dateret og verificerbart bevis.
Vi hjælper jer med at strukturere jeres register over IKT-kontrakter (art. 28 stk. 3) og med at kontrollere eller integrere de minimale og skærpede kontraktvilkår fra artikel 30 i jeres udbyderkontrakter.
Vores Beredskabsplan-Suite tilbyder en finanssektorprofil (DORA, PSD2, ACPR) der dækker kravene til test af operationel modstandsdygtighed i DORA's kapitel IV, tilpasset ISO 22301.
Aflevering til jeres ledelse, sikkerhedschef eller CFO af en konsolideret dokumentation, med præcise punkter der skal afgøres af jeres juridiske rådgiver før enhver kommunikation til myndighederne.
Konkrete, kildebelagte leverancer, uden løfte om en certificering som ingen kan garantere
10 typiske bank-/M&A-due diligence-spørgsmål, dokumenteret og kildebelagt (ILPA DDQ, CSA CAIQ, cyberforsikringsspørgeskemaer).
Kildebelagt sammenfatning af forordning (EU) 2022/2554.
Struktur for det fuldstændige register krævet af myndighederne.
Til integration eller kontrol i jeres IKT-udbyderkontrakter.
Plan for forretningskontinuitet og genopretning, dedikeret sektorprofil.
PDF- og DOCX-formater, der konsoliderer alle leverancer.
Uddrag af de 10 spørgsmål vi dokumenterer for jer, med kilden til hvert spørgsmål
| Tema | Spørgsmål | Kilde |
|---|---|---|
| Governance | Bygger jeres sikkerhedspolitik på en anerkendt standard (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Ekstern revision | Udfører I en årlig uafhængig revision og penetrationstests? | CSA CAIQ v4 |
| Beredskabsplan | Findes der en formel, dokumenteret og vedligeholdt beredskabsplan for hændelser? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | For hvilke tjenester kræver I multifaktorautentificering? | Travelers - MFA Supplement |
| Privilegerede konti | Følger adgangene princippet om mindste privilegium, med periodisk gennemgang? | CSA CAIQ v4 IAM |
| Hvilken M365-licens bruger I? Er avanceret Defender / threat hunting aktiveret? | vCSO.ai Cyber DD Checklist | |
| Kryptering | Er alle enhedernes diske fuldt krypterede? | Google VSAQ |
| Uddannelse | Er der etableret et sikkerhedsawareness-program for alle medarbejdere? | CSA CAIQ v4 HRS |
Hver leverance angiver eksplicit, hvad den dækker - og hvad den ikke dækker
IKT-register (art. 28), kontraktvilkår (art. 30), notifikationsfrister (art. 19), reference til udpegede kritiske IKT-udbydere (art. 32).
DORA er en lex specialis i forhold til NIS2 for finanssektoren: de omfattede enheder anvender DORA i stedet for de tilsvarende NIS2-foranstaltninger.
Beredskabsplan-profilen for finanssektoren er tilpasset ISO 22301, en standard for ledelse af forretningskontinuitet, der anvendes som supplement til DORA.
DORA's hændelsesnotifikation (til ACPR/AMF) er adskilt fra GDPR-notifikationen (til CNIL) ved brud på persondata: begge kan være påkrævet samtidig.
Hver DORA-sag er forskellig afhængigt af jeres status - skræddersyet tilbud i alle tilfælde
I leverer tjenester til en eller flere finansielle enheder
I er direkte omfattet af DORA (en af de 21 kategorier, art. 2)
Løbende opdatering af dokumentationen (forpligtelser, kontrakter, register)
Kontakt os for at modtage et skræddersyet tilbud afhængigt af jeres status (finansiel enhed eller IKT-udbyder).
DORA forklaret enkelt, uden juridisk jargon. Hvert punkt nedenfor henviser til den officielle tekst, der bekræfter det.
DORA gælder for europæiske finansielle aktører: banker, forsikringsselskaber, investeringsselskaber, markedsplatforme, fondsforvaltere, betalingsudbydere... samt deres it-udbydere. De mindste enheder nyder godt af lempede regler.
Forordningen dækker 6 hovedområder: styring af it-risiko, overvågning af eksterne udbydere, regelmæssige modstandsdygtighedstests, indberetning af alvorlige hændelser, deling af trusselsinformation, og overvågning af de største it-udbydere.
Teksten blev vedtaget 14. december 2022, offentliggjort i EU-Tidende 27. december 2022 (EUT L 333). Trådte i kraft 16. januar 2023. Forpligtelserne er reelt gældende siden 17. januar 2025.
De største it-udbydere (cloud, hosting...) der anses for "kritiske" for finanssektoren, kontrolleres nu direkte på europæisk niveau, med en ledende tilsynsmyndighed der kan pålægge dem foranstaltninger.
Før DORA havde hvert EU-land sine egne regler for at indberette en alvorlig it-hændelse. Nu gælder en fælles europæisk procedure: større hændelser indberettes direkte til de kompetente myndigheder.
Teksten fastsætter, at myndighederne offentliggør de administrative sanktioner, de udsteder. De præcise bødebeløb er ikke fastlagt i de kilder, der er konsulteret til dato - skal bekræftes efterhånden som der kommer officielle præciseringer.