FORORDNING (EU) 2022/2554 - GÆLDENDE SIDEN 17. JANUAR 2025

Jeres DORA-compliance,
dokumenteret og forsvarlig

Den europæiske forordning om digital operationel modstandsdygtighed for finanssektoren (DORA) pålægger finansielle enheder - og indirekte deres IKT-udbydere - et fuldstændigt register over kontrakter, præcise kontraktvilkår og dateret revisionsbevis. SYAGA DORA-Express hjælper jer med at opfylde disse krav uden at improvisere, uanset om I er finansiel enhed eller IKT-udbyder.

17/01
Gældende siden 2025
21
Kategorier af omfattede enheder (art. 2)
4t
Frist for underretning om en større hændelse
19
Allerede udpegede kritiske IKT-udbydere

Den regulatoriske kontekst

DORA er en forordning, ikke et direktiv: den finder direkte anvendelse i alle medlemsstater, uden at der skal ventes på en national implementeringslov.

DORA finder direkte anvendelse siden 17. januar 2025

Forordning (EU) 2022/2554 af 14. december 2022, offentliggjort i EU-Tidende den 27. december 2022, trådt i kraft den 16. januar 2023 og gældende siden 17. januar 2025. Ingen national implementering påkrævet: den kan gøres direkte gældende.

📋

Et fuldstændigt IKT-register kræves (art. 28 stk. 3)

Hver finansiel enhed skal føre og årligt indsende til myndighederne et komplet register over sine IKT-kontrakter: udbyder, tjenestens art, funktionens kritikalitet, land hvor data hostes.

📄

Jeres kontrakter skal indeholde præcise vilkår (art. 30)

Revisions- og inspektionsrettigheder, garantier for datatilgængelighed og -integritet, testede exitplaner, øjeblikkelig hændelsesnotifikation. Disse vilkår videreføres fra jeres finansielle kunde til jer, hvis I er dennes IKT-udbyder.

📧

Due diligence-spørgeskemaet ligger allerede i jeres indbakke

Før en bank, et forsikringsselskab eller en investor underskriver eller fornyer en kontrakt, sender de et cyberspørgeskema (governance, MFA, EDR, kryptering, awareness). At besvare det uden dokumenteret bevis koster jer kontrakten.

Udløseren fra 18. november 2025

Jeres cloud-udbydere er netop blevet officielt udpeget som "kritiske"

Den 18.-19. november 2025 offentliggjorde de europæiske tilsynsmyndigheder (EBA, ESMA, EIOPA) den første officielle liste over kritiske IKT-udbydere i medfør af artikel 32 i DORA. Blandt de navne der er bekræftet i de officielle meddelelser: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 andre udbydere, der ikke er navngivet i vores kilder).

Konkret konsekvens: hvis jeres kritiske tjenester bygger på en af disse udbydere, skal jeres finansielle kunde nu dokumentere dette i sit IKT-register - og kan spørge jer om jeres egen underleverandørkæde.

Kilde: officielle meddelelser fra EIOPA og ESMA, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).

Vores svar: DORA-Express

Et struktureret forløb i 5 trin til at dokumentere jeres compliance - uden at love noget, som hverken et værktøj eller et konsulenthus kan certificere på jeres vegne.

1
Trin 1 - Vurdering

Vi identificerer jeres reelle eksponering

Er I en finansiel enhed direkte omfattet (en af de 21 kategorier i artikel 2), eller en IKT-udbyder omfattet indirekte via jeres finansielle kunders kontraktvilkår (artikel 30)? Det nøjagtige omfang bestemmer alt det efterfølgende.

2
Trin 2 - Due diligence

Besvarelse af jeres cyberspørgeskema

Vi besvarer jeres due diligence-spørgeskema fra bank, investor eller forsikringsselskab (governance, MFA, EDR, kryptering, awareness...) baseret på en teknisk revision af jeres Microsoft 365-tenant som dateret og verificerbart bevis.

3
Trin 3 - Register og kontrakter

IKT-register og artikel 30-vilkår

Vi hjælper jer med at strukturere jeres register over IKT-kontrakter (art. 28 stk. 3) og med at kontrollere eller integrere de minimale og skærpede kontraktvilkår fra artikel 30 i jeres udbyderkontrakter.

4
Trin 4 - Kontinuitet og modstandsdygtighed

Beredskabsplan med finanssektorprofil

Vores Beredskabsplan-Suite tilbyder en finanssektorprofil (DORA, PSD2, ACPR) der dækker kravene til test af operationel modstandsdygtighed i DORA's kapitel IV, tilpasset ISO 22301.

5
Trin 5 - Aflevering

En dokumenteret compliancedokumentation

Aflevering til jeres ledelse, sikkerhedschef eller CFO af en konsolideret dokumentation, med præcise punkter der skal afgøres af jeres juridiske rådgiver før enhver kommunikation til myndighederne.

Det I modtager

Konkrete, kildebelagte leverancer, uden løfte om en certificering som ingen kan garantere

📝

Svar på cyber-due diligence

10 typiske bank-/M&A-due diligence-spørgsmål, dokumenteret og kildebelagt (ILPA DDQ, CSA CAIQ, cyberforsikringsspørgeskemaer).

  • Sikkerhedspolitik / anerkendt standard
  • MFA, mindste privilegium, privilegerede konti
  • M365-licens, EDR / threat hunting
  • Forældede protokoller, diskkryptering
  • Awareness-program
📄

DORA-referenceark

Kildebelagt sammenfatning af forordning (EU) 2022/2554.

  • Omfang: 21 kategorier af enheder (art. 2)
  • 5 forpligtelsesområder
  • Notifikationsfrister (4t / 72t / 1 måned)
  • Sammenhæng med NIS2 (lex specialis)
📋

IKT-register (skabelon art. 28 stk. 3)

Struktur for det fuldstændige register krævet af myndighederne.

  • Udbyder og tjenestens art
  • Kritikalitet af den understøttede funktion
  • Land hvor data hostes
  • Format klar til årlig indsendelse
🔐

Kontraktvilkår (skabelon art. 30)

Til integration eller kontrol i jeres IKT-udbyderkontrakter.

  • Minimale vilkår (alle kontrakter)
  • Skærpede vilkår (kritiske funktioner)
  • Revisions- og inspektionsrettigheder
  • Exitplaner og dataudtrækbarhed
🏗

Beredskabsplan, finanssektorprofil

Plan for forretningskontinuitet og genopretning, dedikeret sektorprofil.

  • Dækning af DORA kapitel IV (modstandsdygtighedstests)
  • Tilpasset ISO 22301
  • Sektorprofil DORA / PSD2 / ACPR
  • Fra vores eksisterende Beredskabsplan-Suite
💾

Dokumenteret compliancedokumentation

PDF- og DOCX-formater, der konsoliderer alle leverancer.

  • Klar til jeres ledelse / sikkerhedschef / CFO
  • Punkter til validering af jeres advokat er markeret
  • Grundlag for jeres dialog med ACPR / AMF (franske myndigheder)
  • Redigerbar til årlig opdatering

Et eksempel: bankens due diligence-spørgeskema

Uddrag af de 10 spørgsmål vi dokumenterer for jer, med kilden til hvert spørgsmål

Tema Spørgsmål Kilde
Governance Bygger jeres sikkerhedspolitik på en anerkendt standard (NIST, ISO 27001)? ILPA DDQ 2.0
Ekstern revision Udfører I en årlig uafhængig revision og penetrationstests? CSA CAIQ v4
Beredskabsplan Findes der en formel, dokumenteret og vedligeholdt beredskabsplan for hændelser? CSA CAIQ v4 / ILPA DDQ 2.0
MFA For hvilke tjenester kræver I multifaktorautentificering? Travelers - MFA Supplement
Privilegerede konti Følger adgangene princippet om mindste privilegium, med periodisk gennemgang? CSA CAIQ v4 IAM
E-mail Hvilken M365-licens bruger I? Er avanceret Defender / threat hunting aktiveret? vCSO.ai Cyber DD Checklist
Kryptering Er alle enhedernes diske fuldt krypterede? Google VSAQ
Uddannelse Er der etableret et sikkerhedsawareness-program for alle medarbejdere? CSA CAIQ v4 HRS

Tekster og standarder dækket

Hver leverance angiver eksplicit, hvad den dækker - og hvad den ikke dækker

DO

DORA (Forordning EU 2022/2554)

IKT-register (art. 28), kontraktvilkår (art. 30), notifikationsfrister (art. 19), reference til udpegede kritiske IKT-udbydere (art. 32).

N2

NIS2 - sammenhæng med DORA

DORA er en lex specialis i forhold til NIS2 for finanssektoren: de omfattede enheder anvender DORA i stedet for de tilsvarende NIS2-foranstaltninger.

ISO

ISO 22301 - forretningskontinuitet

Beredskabsplan-profilen for finanssektoren er tilpasset ISO 22301, en standard for ledelse af forretningskontinuitet, der anvendes som supplement til DORA.

RG

GDPR - separat notifikation

DORA's hændelsesnotifikation (til ACPR/AMF) er adskilt fra GDPR-notifikationen (til CNIL) ved brud på persondata: begge kan være påkrævet samtidig.

Et forløb tilpasset jeres situation

Hver DORA-sag er forskellig afhængigt af jeres status - skræddersyet tilbud i alle tilfælde

IKT-udbyder

I leverer tjenester til en eller flere finansielle enheder

Tilbud
afhængigt af omfang
  • Svar på cyber-due diligence
  • IKT-register set fra udbyderens side
  • Gennemgang af artikel 30-vilkår
  • Dokumentation klar til indsendelse
Bed om et tilbud

Årlig opfølgning

Løbende opdatering af dokumentationen (forpligtelser, kontrakter, register)

Tilbud
tilbagevendende
  • Opdatering af IKT-registeret
  • Årlig gennemgang af kontraktvilkår
  • Overvågning af udpegede kritiske udbydere
  • Support til jeres kunders due diligence
Bed om et tilbud

Ofte stillede spørgsmål

Er min virksomhed en finansiel enhed omfattet af DORA?
Artikel 2 i DORA opregner 21 kategorier af finansielle enheder: kreditinstitutter og betalingsinstitutter, investeringsselskaber, MiCA-godkendte udbydere af kryptoaktiver, forsikring og genforsikring, fondsforvaltning, kreditvurderingsbureauer, med flere. Mikrovirksomheder (under 10 ansatte, omsætning eller balance under 2 mio. EUR) nyder godt af proportionalitet på visse forpligtelser, men er ikke helt undtaget. Skal vurderes fra sag til sag med en juridisk rådgiver.
Jeg er ikke en bank, hvorfor angår DORA mig alligevel?
Hvis I leverer IKT-tjenester (it, cloud, software, hosting) til en finansiel enhed, pålægger artikel 30 jeres kunde at opføre jer i sit register og kontraktuelt pålægge jer præcise vilkår: revisionsrettigheder, øjeblikkelig hændelsesnotifikation, exitplaner. Disse forpligtelser videreføres via jeres kundes kontrakt, ikke via direkte tilsyn fra myndigheden - medmindre I selv er udpeget som kritisk IKT-udbyder (artikel 31).
Hvad er fristerne for notifikation af en større IKT-hændelse?
Artikel 19: indledende notifikation inden for 4 timer efter klassifikationen som større hændelse (senest 24 timer efter opdagelsen), mellemliggende rapport inden for 72 timer, slutrapport inden for 1 måned. Disse notifikationer er adskilt fra en eventuel GDPR-notifikation til CNIL ved brud på persondata.
Hvad er en "kritisk IKT-udbyder"?
Det er udbydere, der udtrykkeligt er udpeget af de europæiske tilsynsmyndigheder (EBA, ESMA, EIOPA) ud fra kriterier om systemisk betydning, substituerbarhed og afhængighed (artikel 31). Den første officielle liste, offentliggjort den 18.-19. november 2025, tæller 19 udbydere. De er underlagt direkte tilsyn (inspektioner, udvidet rapportering); andre IKT-udbydere er fortsat kun reguleret gennem deres finansielle kunders kontraktvilkår.
Erstatter DORA NIS2 for min sektor?
Ja, for finansielle enheder i henhold til artikel 2: DORA udgør en lex specialis i forhold til NIS2 for finanssektoren. De 21 omfattede kategorier anvender DORA i stedet for de tilsvarende NIS2-foranstaltninger vedrørende risikostyring og hændelsesnotifikation.
Udgør denne tjeneste juridisk rådgivning?
Nej. DORA-Express er et dokumentationsunderstøttende værktøj, ikke juridisk rådgivning. Den præcise vurdering af, om jeres organisation er omfattet af DORA, samt den juridiske gyldighed af jeres kontrakter, skal valideres af en specialiseret advokat før enhver bindende beslutning.

Klar til at dokumentere jeres DORA-compliance?

Kontakt os for at modtage et skræddersyet tilbud afhængigt af jeres status (finansiel enhed eller IKT-udbyder).

DORA-Express er et dokumentationsunderstøttende værktøj og udgør ikke juridisk rådgivning. Om jeres organisation er omfattet af DORA, samt den juridiske gyldighed af jeres kontrakter og registre, skal bekræftes af en specialiseret advokat.

Regulatorisk overvågning - officielle kilder

DORA forklaret enkelt, uden juridisk jargon. Hvert punkt nedenfor henviser til den officielle tekst, der bekræfter det.

Hvem er omfattet?

DORA gælder for europæiske finansielle aktører: banker, forsikringsselskaber, investeringsselskaber, markedsplatforme, fondsforvaltere, betalingsudbydere... samt deres it-udbydere. De mindste enheder nyder godt af lempede regler.

officiel kilde (EUR-Lex) ↗

Hvad DORA konkret kræver af jer

Forordningen dækker 6 hovedområder: styring af it-risiko, overvågning af eksterne udbydere, regelmæssige modstandsdygtighedstests, indberetning af alvorlige hændelser, deling af trusselsinformation, og overvågning af de største it-udbydere.

officiel kilde (EIOPA) ↗

Datoer at huske

Teksten blev vedtaget 14. december 2022, offentliggjort i EU-Tidende 27. december 2022 (EUT L 333). Trådte i kraft 16. januar 2023. Forpligtelserne er reelt gældende siden 17. januar 2025.

kilde EUR-Lex ↗ · kilde ESMA ↗

Jeres it-udbydere er også overvåget

De største it-udbydere (cloud, hosting...) der anses for "kritiske" for finanssektoren, kontrolleres nu direkte på europæisk niveau, med en ledende tilsynsmyndighed der kan pålægge dem foranstaltninger.

officiel kilde (EIOPA) ↗

En endelig harmoniseret hændelsesindberetning

Før DORA havde hvert EU-land sine egne regler for at indberette en alvorlig it-hændelse. Nu gælder en fælles europæisk procedure: større hændelser indberettes direkte til de kompetente myndigheder.

kilde EUR-Lex ↗

Og sanktionerne?

Teksten fastsætter, at myndighederne offentliggør de administrative sanktioner, de udsteder. De præcise bødebeløb er ikke fastlagt i de kilder, der er konsulteret til dato - skal bekræftes efterhånden som der kommer officielle præciseringer.

kilde EUR-Lex (betragtning 97) ↗