REGLUGERÐ (ESB) 2022/2554 - Í GILDI FRÁ 17. JANÚAR 2025

DORA-samræmi þitt,
skjalfest og varið

Evrópureglugerðin um stafrænt rekstrarþol fjármálageirans (DORA) leggur á fjármálaeiningar - og óbeint á UT-þjónustuveitendur þeirra - þá skyldu að halda tæmandi skrá yfir samninga, hafa nákvæm samningsákvæði og dagsett endurskoðunargögn. SYAGA DORA-Express hjálpar þér að uppfylla þessar kröfur án spuna, hvort sem þú ert fjármálaeining eða þjónustuveitandi.

17/01
Í gildi frá 2025
21
Flokkar eininga sem málið varðar (2. gr.)
4h
Frestur til að tilkynna alvarlegt atvik
19
Þegar tilnefndir mikilvægir UT-þjónustuveitendur

Lagalegt samhengi

DORA er reglugerð, ekki tilskipun: hún gildir milliliðalaust í öllum aðildarríkjum, án þess að bíða þurfi eftir landslöggjöf til löggildingar.

DORA gildir milliliðalaust frá 17. janúar 2025

Reglugerð (ESB) 2022/2554 frá 14. desember 2022, birt í Stjórnartíðindum ESB 27. desember 2022, tók gildi 16. janúar 2023 og hefur verið í gildi frá 17. janúar 2025. Engrar landslöggjafar er þörf: hún er beint bindandi.

📋

Tæmandi UT-skrá er krafist (28. gr. 3. mgr.)

Sérhver fjármálaeining þarf að halda við og senda árlega til yfirvalda heildarskrá yfir UT-samninga sína: þjónustuveitanda, eðli þjónustunnar, mikilvægi hlutverksins og hýsingarland gagnanna.

📄

Samningar þínir þurfa að innihalda nákvæm ákvæði (30. gr.)

Endurskoðunar- og eftirlitsréttur, ábyrgð á aðgengi og heilleika gagna, prófaðar útgönguáætlanir, tilkynning atvika án tafar. Þessi ákvæði berast frá fjármálaviðskiptavini þínum til þín ef þú ert UT-þjónustuveitandi hans.

📧

Due diligence-spurningalistinn er nú þegar kominn í pósthólfið þitt

Áður en samningur er undirritaður eða endurnýjaður sendir banki, tryggingafélag eða fjárfestir netöryggisspurningalista (stjórnarhætti, MFA, EDR, dulkóðun, vitundarvakningu). Að svara honum án skjalfestra gagna kostar samninginn.

Kveikjan þann 18. nóvember 2025

Skýjaþjónustuveitendur þínir hafa nú verið formlega tilnefndir „mikilvægir"

Dagana 18.-19. nóvember 2025 birtu evrópsku eftirlitsstofnanirnar (EBA, ESMA, EIOPA) fyrsta opinbera listann yfir mikilvæga UT-þjónustuveitendur samkvæmt 32. grein DORA. Meðal nafna sem staðfest eru í opinberum tilkynningum: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 aðrir þjónustuveitendur sem ekki eru nafngreindir í heimildum okkar).

Áþreifanleg afleiðing: ef mikilvæg þjónusta þín byggir á einum þessara þjónustuveitenda þarf fjármálaviðskiptavinur þinn nú að skjalfesta það í UT-skrá sinni - og getur spurt þig út í eigin undirverktakakeðju.

Heimild: opinberar tilkynningar EIOPA og ESMA frá 18.-19. nóvember 2025 (eiopa.europa.eu, esma.europa.eu).

Lausnin okkar: DORA-Express

Skipulögð aðstoð í 5 skrefum til að skjalfesta samræmi þitt - án þess að lofa því sem hvorki verkfæri né ráðgjafarfyrirtæki getur vottað í þínum stað.

1
Skref 1 - Greining

Greinum raunverulega áhættustöðu þína

Ert þú fjármálaeining sem fellur beint undir (einn af 21 flokki 2. greinar), eða UT-þjónustuveitandi sem málið varðar óbeint í gegnum samningsákvæði fjármálaviðskiptavina þinna (30. grein)? Nákvæmt umfang ræður öllu öðru.

2
Skref 2 - Due diligence

Svörun við netöryggisspurningalista þínum

Við svörum due diligence-spurningalista banka, fjárfestis eða tryggingafélags (stjórnarhætti, MFA, EDR, dulkóðun, vitundarvakningu...) og styðjumst við tæknilega úttekt á Microsoft 365-leigueiningu þinni sem dagsett og sannreynanleg gögn.

3
Skref 3 - Skrá og samningar

UT-skrá og ákvæði 30. greinar

Við hjálpum þér að skipuleggja UT-samningsskrá þína (28. gr. 3. mgr.) og að sannreyna eða fella lágmarks- og hertu samningsákvæði 30. greinar inn í samninga þjónustuveitenda þinna.

4
Skref 4 - Samfella og þol

BCP/DRP fyrir fjármálageirann

PRA/PCA Suite okkar býður upp á sértækt snið fyrir fjármálageirann (DORA, PSD2, ACPR) sem nær yfir kröfur um prófun á rekstrarþoli samkvæmt IV. kafla DORA, í samræmi við ISO 22301.

5
Skref 5 - Skil

Skjalfest samræmismappa

Afhending til stjórnenda þinna, upplýsingaöryggisstjóra (RSSI) eða fjármálastjóra á samandreginni möppu, með nákvæmum atriðum sem lögfræðingur þinn þarf að skera úr um áður en nokkuð er sent til yfirvalda.

Það sem þú færð

Áþreifanlegar, heimildaskráðar afurðir, án loforða um vottun sem enginn getur ábyrgst

📝

Svör við netöryggis-due diligence

10 dæmigerðar due diligence-spurningar banka/M&A, skjalfestar og heimildaskráðar (ILPA DDQ, CSA CAIQ, netöryggisspurningalistar tryggingafélaga).

  • Öryggisstefna / viðurkenndur staðall
  • MFA, lágmarksréttindi, forréttindaaðgangar
  • M365-leyfi, EDR / ógnaleit
  • Eldri samskiptareglur, diskadulkóðun
  • Vitundarvakningaráætlun
📄

DORA-viðmiðunarblað

Heimildaskráð samantekt á reglugerð (ESB) 2022/2554.

  • Umfang: 21 flokkur eininga (2. gr.)
  • 5 skyldusvið
  • Tilkynningarfrestir (4 klst. / 72 klst. / 1 mánuður)
  • Samspil við NIS2 (lex specialis)
📋

UT-skrá (snið skv. 28. gr. 3. mgr.)

Uppbygging tæmandi skrárinnar sem yfirvöld krefjast.

  • Þjónustuveitandi og eðli þjónustunnar
  • Mikilvægi þess hlutverks sem stutt er
  • Hýsingarland gagnanna
  • Snið tilbúið fyrir árlega sendingu
🔐

Samningsákvæði (snið skv. 30. gr.)

Til að fella inn eða sannreyna í samningum UT-þjónustuveitenda þinna.

  • Lágmarksákvæði (allir samningar)
  • Hert ákvæði (mikilvæg hlutverk)
  • Endurskoðunar- og eftirlitsréttur
  • Útgönguáætlanir og útdráttarhæfni gagna
🏗

PRA/PCA fjármálasnið

Rekstrarsamfellu- og endurheimtaráætlun, sértækt geirasnið.

  • Nær yfir IV. kafla DORA (þolprófanir)
  • Í samræmi við ISO 22301
  • Geirasnið DORA / PSD2 / ACPR
  • Úr núverandi PRA/PCA Suite okkar
💾

Skjalfest samræmismappa

PDF- og DOCX-snið, sem sameinar allar afurðirnar.

  • Tilbúið fyrir stjórnendur / upplýsingaöryggisstjóra / fjármálastjóra
  • Atriði sem lögfræðingur þarf að staðfesta eru merkt
  • Grunnur fyrir samskipti þín við ACPR / AMF
  • Breytanlegt fyrir árlega uppfærslu

Dæmi: due diligence-spurningalisti banka

Brot úr þeim 10 spurningum sem við skjalfestum fyrir þig, með heimild fyrir hverja spurningu

Þema Spurning Heimild
Stjórnarhættir Byggir öryggisstefna þín á viðurkenndum staðli (NIST, ISO 27001)? ILPA DDQ 2.0
Ytri úttekt Framkvæmir þú árlega óháða úttekt og innbrotsprófanir? CSA CAIQ v4
Atvikaáætlun Er til formleg viðbragðsáætlun við atvikum, skjalfest og viðhaldið? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Fyrir hvaða þjónustur krefst þú fjölþátta auðkenningar? Travelers - MFA Supplement
Forréttindaaðgangar Fylgja aðgangar reglunni um lágmarksréttindi, endurskoðuð reglulega? CSA CAIQ v4 IAM
Tölvupóstur Hvaða M365-leyfi notar þú? Er Defender / ítarlega ógnaleit virk? vCSO.ai Cyber DD Checklist
Dulkóðun Eru diskar tækjanna alfarið dulkóðaðir? Google VSAQ
Þjálfun Er komið á vitundarvakningaráætlun um öryggi fyrir allt starfsfólk? CSA CAIQ v4 HRS

Textar og staðlar sem ná er yfir

Hver afurð tilgreinir skýrt hvað hún nær yfir - og hvað ekki

DO

DORA (reglugerð ESB 2022/2554)

UT-skrá (28. gr.), samningsákvæði (30. gr.), tilkynningarfrestir (19. gr.), tilvísun til tilnefndra mikilvægra UT-þjónustuveitenda (32. gr.).

N2

NIS2 - samspil við DORA

DORA er lex specialis gagnvart NIS2 fyrir fjármálageirann: hlutaðeigandi einingar beita DORA í stað samsvarandi NIS2-ráðstafana.

ISO

ISO 22301 - rekstrarsamfella

Fjármálasnið PRA/PCA fylgir ISO 22301, stjórnunarstaðli um rekstrarsamfellu sem notaður er samhliða DORA.

RG

GDPR - aðgreind tilkynning

Tilkynning atvika samkvæmt DORA (til ACPR/AMF) er aðgreind frá GDPR-tilkynningu (til CNIL) ef um brot á persónuupplýsingum er að ræða: hvort tveggja getur verið krafist samtímis.

Aðstoð sniðin að þinni stöðu

Hvert DORA-mál er ólíkt eftir stöðu þinni - sérsniðið tilboð í öllum tilvikum

UT-þjónustuveitandi

Þú veitir þjónustu til einnar eða fleiri fjármálaeininga

Tilboð
eftir umfangi
  • Svar við netöryggis-due diligence
  • UT-skrá frá hlið þjónustuveitanda
  • Yfirlestur ákvæða 30. greinar
  • Skjalfest mappa tilbúin til sendingar
Fá tilboð

Árleg eftirfylgni

Regluleg uppfærsla möppunnar (skyldur, samningar, skrá)

Tilboð
endurtekið
  • Uppfærsla UT-skrár
  • Árleg yfirferð samningsákvæða
  • Vöktun á tilnefndum mikilvægum þjónustuveitendum
  • Stuðningur við due diligence-ferli viðskiptavina þinna
Fá tilboð

Algengar spurningar

Er fyrirtækið mitt fjármálaeining sem fellur undir DORA?
2. grein DORA telur upp 21 flokk fjármálaeininga: lána- og greiðslustofnanir, verðbréfafyrirtæki, dulritunareignaþjónustuveitendur með MiCA-leyfi, vátrygginga- og endurtryggingafélög, sjóðastýringu, matsfyrirtæki og fleiri. Örfyrirtæki (færri en 10 starfsmenn, velta eða efnahagsreikningur undir 2 millj. evra) njóta meðalhófs varðandi ákveðnar skyldur, en eru ekki alfarið undanskilin. Þarf að staðfesta í hverju tilviki með lögfræðilegri ráðgjöf.
Ég er ekki banki, hvers vegna varðar DORA mig samt?
Ef þú veitir UT-þjónustu (tölvumál, ský, hugbúnað, hýsingu) til fjármálaeiningar krefst 30. grein þess að viðskiptavinur þinn skrái þig í skrá sína og setji þér nákvæm samningsákvæði: endurskoðunarrétt, tilkynningu atvika án tafar, útgönguáætlanir. Þessar skyldur berast í gegnum samning viðskiptavinar þíns, ekki með beinu eftirliti yfirvalds - nema þú sért sjálfur tilnefndur mikilvægur UT-þjónustuveitandi (31. grein).
Hverjir eru tilkynningarfrestir alvarlegs UT-atviks?
19. grein: fyrsta tilkynning innan 4 klukkustunda frá flokkun sem alvarlegt atvik (að hámarki 24 klukkustundum eftir uppgötvun), millistig skýrslu innan 72 klukkustunda, lokaskýrsla innan 1 mánaðar. Þessar tilkynningar eru aðgreindar frá hugsanlegri GDPR-tilkynningu til CNIL ef um brot á persónuupplýsingum er að ræða.
Hvað er „mikilvægur UT-þjónustuveitandi"?
Þetta eru þjónustuveitendur sem evrópsku eftirlitsstofnanirnar (EBA, ESMA, EIOPA) tilnefna sérstaklega út frá viðmiðum um kerfislæg áhrif, staðgengishæfni og ósjálfstæði (31. grein). Fyrsti opinberi listinn, birtur 18.-19. nóvember 2025, telur 19 þjónustuveitendur. Þeir sæta beinu eftirliti (skoðunum, víðtækri skýrslugjöf); aðrir UT-þjónustuveitendur eru einungis bundnir af samningsákvæðum fjármálaviðskiptavina sinna.
Kemur DORA í stað NIS2 fyrir mína atvinnugrein?
Já, fyrir fjármálaeiningar í skilningi 2. greinar: DORA er lex specialis gagnvart NIS2 fyrir fjármálageirann. Þeir 21 flokkur sem málið varðar beita DORA í stað samsvarandi NIS2-ráðstafana varðandi áhættustjórnun og tilkynningu atvika.
Telst þessi þjónusta lögfræðileg ráðgjöf?
Nei. DORA-Express er verkfæri til skjalfestingarstuðnings, ekki lögfræðileg ráðgjöf. Nákvæm skylda stofnunar þinnar samkvæmt DORA og lagalegt samræmi samninga þinna þarf að staðfestast af sérhæfðum lögfræðingi áður en bindandi ákvörðun er tekin.

Tilbúin(n) að skjalfesta DORA-samræmi þitt?

Hafðu samband við okkur til að fá sérsniðið tilboð eftir stöðu þinni (fjármálaeining eða UT-þjónustuveitandi).

DORA-Express er verkfæri til skjalfestingarstuðnings og telst ekki lögfræðileg ráðgjöf. Skylda stofnunar þinnar samkvæmt DORA og lagalegt gildi samninga þinna og skráa þarf að staðfestast af sérhæfðum lögfræðingi.

Regluvöktun - opinberar heimildir

DORA útskýrð á einfaldan hátt, án lögfræðilegs hrognamáls. Hvert atriði hér fyrir neðan vísar til opinbera textans sem staðfestir það.

Hverjir falla undir?

DORA gildir um evrópska fjármálaaðila: banka, tryggingafélög, verðbréfafyrirtæki, markaðsvettvanga, sjóðastýringaraðila, greiðsluþjónustuveitendur... sem og UT-þjónustuveitendur þeirra. Mjög smáar einingar njóta einfaldari reglna.

opinber heimild (EUR-Lex) ↗

Það sem DORA raunverulega krefst af þér

Reglugerðin nær yfir 6 meginsvið: áhættustjórnun upplýsingatækni, eftirlit með ytri þjónustuveitendum, reglulegar þolprófanir, tilkynningu alvarlegra atvika, deilingu upplýsinga um ógnir, og eftirlit með stærstu upplýsingatækniþjónustuveitendunum.

opinber heimild (EIOPA) ↗

Mikilvægar dagsetningar

Textinn samþykktur 14. desember 2022, birtur í Stjórnartíðindum ESB 27. desember 2022 (JO L 333). Tók gildi 16. janúar 2023. Skyldurnar hafa raunverulega átt við frá 17. janúar 2025.

heimild EUR-Lex ↗ · heimild ESMA ↗

Upplýsingatækniþjónustuveitendur þínir eru einnig undir eftirliti

Stærstu upplýsingatækniþjónustuveitendurnir (ský, hýsing...) sem taldir eru „mikilvægir" fyrir fjármálageirann eru nú undir beinu eftirliti á evrópskum vettvangi, með aðaleftirlitsaðila sem getur sett þeim ráðstafanir.

opinber heimild (EIOPA) ↗

Loksins samræmd tilkynning atvika

Fyrir DORA hafði hvert ESB-land sínar eigin reglur um að tilkynna alvarleg upplýsingatækniatvik. Nú gildir eitt sameiginlegt evrópskt ferli: alvarleg atvik eru tilkynnt beint til bærra yfirvalda.

heimild EUR-Lex ↗

Og viðurlögin?

Textinn kveður á um að yfirvöld birti þau stjórnvaldsviðurlög sem þau ákveða. Nákvæmar sektarupphæðir liggja ekki endanlega fyrir í þeim heimildum sem skoðaðar hafa verið til þessa - þarf að staðfesta eftir því sem opinberar upplýsingar skýrast.

heimild EUR-Lex (formálsgrein 97) ↗