EU-forordningen om digital operasjonell motstandsdyktighet i finanssektoren (DORA) pålegger finansforetak - og indirekte deres IKT-leverandører - et fullstendig register over kontrakter, presise kontraktsklausuler og daterte revisjonsbevis. SYAGA DORA-Express hjelper deg med å oppfylle disse kravene uten improvisasjon, enten du er et finansforetak eller en IKT-leverandør.
DORA er en forordning, ikke et direktiv: den gjelder direkte i alle medlemsstater, uten at man må vente på en nasjonal implementeringslov.
Forordning (EU) 2022/2554 av 14. desember 2022, kunngjort i EU-tidende 27. desember 2022, trådte i kraft 16. januar 2023 og har gjeldt fra 17. januar 2025. Ingen nasjonal implementering kreves: den kan påberopes direkte.
Hvert finansforetak skal føre og årlig oversende myndighetene et fullstendig register over sine IKT-kontrakter: leverandør, tjenestens art, funksjonens kritikalitet, datalagringsland.
Revisjons- og inspeksjonsrettigheter, garantier for datatilgjengelighet og -integritet, testede exit-planer, varsling av hendelser uten opphold. Disse klausulene forplantes fra deres finanskunde til dere dersom dere er deres IKT-leverandør.
Før en bank, et forsikringsselskap eller en investor signerer eller fornyer en kontrakt, sender de et cyberspørreskjema (styring, MFA, EDR, kryptering, opplæring). Å svare uten dokumentert bevis medfører at man taper kontrakten.
18.-19. november 2025 publiserte de europeiske tilsynsmyndighetene (EBA, ESMA, EIOPA) den første offisielle listen over kritiske IKT-leverandører i henhold til artikkel 32 i DORA. Blant navnene bekreftet i de offisielle kunngjøringene: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 andre leverandører ikke bekreftet ved navn i våre kilder).
Konkret konsekvens: dersom deres kritiske tjenester bygger på en av disse leverandørene, må finansforetaket deres nå dokumentere dette i sitt IKT-register - og kan spørre dere om deres egen underleverandørkjede.
Kilde: offisielle kunngjøringer fra EIOPA og ESMA, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).
En strukturert oppfølging i 5 trinn for å dokumentere samsvaret deres - uten å love det verken et verktøy eller et konsulentselskap kan sertifisere på deres vegne.
Er dere et finansforetak direkte underlagt DORA (en av de 21 kategoriene i artikkel 2), eller en IKT-leverandør indirekte omfattet via kontraktsklausulene til deres finanskunder (artikkel 30)? Det eksakte omfanget bestemmer alt det øvrige.
Vi svarer på due diligence-spørreskjemaet fra bank, investor eller forsikringsselskap (styring, MFA, EDR, kryptering, opplæring...), basert på en teknisk revisjon av Microsoft 365-tenanten deres som datert og verifiserbart bevis.
Vi hjelper dere med å strukturere IKT-kontraktregisteret deres (art. 28 §3) og med å kontrollere eller innarbeide de minimale og forsterkede kontraktsklausulene i artikkel 30 i leverandørkontraktene deres.
Vår beredskapspakke tilbyr en sektorprofil for Finans (DORA, PSD2, ACPR), som dekker kravene til tester av operasjonell motstandsdyktighet i kapittel IV i DORA, i tråd med ISO 22301.
Overlevering til ledelsen, IT-sikkerhetssjefen (CISO) eller økonomidirektøren av en samlet dokumentasjon, med de presise punktene som må avgjøres av deres juridiske rådgiver før noen kommunikasjon til myndighetene.
Konkrete, kildebelagte leveranser, uten løfte om en sertifisering ingen kan garantere
10 typiske due diligence-spørsmål fra bank/M&A, dokumentert og kildebelagt (ILPA DDQ, CSA CAIQ, cyberforsikringsspørreskjemaer).
Kildebelagt sammendrag av forordning (EU) 2022/2554.
Struktur for det fullstendige registeret som kreves av myndighetene.
Til bruk eller kontroll i IKT-leverandørkontraktene deres.
Kontinuitets- og gjenopprettingsplan, dedikert sektorprofil.
PDF- og DOCX-formater, som samler alle leveransene.
Utdrag fra de 10 spørsmålene vi dokumenterer for dere, med kilden til hvert spørsmål
| Tema | Spørsmål | Kilde |
|---|---|---|
| Styring | Bygger sikkerhetspolicyen deres på et anerkjent rammeverk (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Tredjepartsrevisjon | Gjennomfører dere en årlig uavhengig revisjon og penetrasjonstester? | CSA CAIQ v4 |
| Hendelsesplan | Finnes det en formell, dokumentert og vedlikeholdt hendelsesresponsplan? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | For hvilke tjenester krever dere flerfaktorautentisering? | Travelers - MFA Supplement |
| Privilegerte kontoer | Følger tilgangene prinsippet om minste privilegium, med periodisk gjennomgang? | CSA CAIQ v4 IAM |
| E-post | Hvilken M365-lisens bruker dere? Er Defender / avansert threat hunting aktivt? | vCSO.ai Cyber DD Checklist |
| Kryptering | Er diskene på endepunktene fullt ut kryptert? | Google VSAQ |
| Opplæring | Er det etablert et sikkerhetsopplæringsprogram for alle ansatte? | CSA CAIQ v4 HRS |
Hver leveranse angir eksplisitt hva den dekker - og hva den ikke dekker
IKT-register (art. 28), kontraktsklausuler (art. 30), varslingsfrister (art. 19), referanse til utpekte kritiske IKT-leverandører (art. 32).
DORA er en lex specialis i forhold til NIS2 for finanssektoren: de omfattede enhetene anvender DORA i stedet for de tilsvarende NIS2-tiltakene.
Beredskapsprofilen for Finans er i tråd med ISO 22301, styringsstandarden for virksomhetskontinuitet som brukes som supplement til DORA.
DORA-hendelsesvarslingen (ACPR/AMF, fransk myndighet) er atskilt fra GDPR-varslingen (CNIL, fransk myndighet) ved brudd på personopplysningssikkerheten: begge kan kreves samtidig.
Hver DORA-sak er forskjellig avhengig av status deres - skreddersydd tilbud i alle tilfeller
Dere leverer tjenester til ett eller flere finansforetak
Dere er direkte underlagt DORA (en av de 21 kategoriene, art. 2)
Regelmessig oppdatering av dokumentasjonen (forpliktelser, kontrakter, register)
Kontakt oss for å motta et skreddersydd tilbud basert på status deres (finansforetak eller IKT-leverandør).
DORA forklart enkelt, uten juridisk sjargong. Hvert punkt nedenfor viser til den offisielle teksten som bekrefter det.
DORA gjelder for europeiske finansaktører: banker, forsikringsselskaper, investeringsselskaper, markedsplasser, fondsforvaltere, betalingsleverandører... samt deres IT-leverandører. De minste aktørene har lettere regler.
Forordningen dekker 6 hovedtemaer: styring av IT-risiko, overvåking av eksterne leverandører, jevnlige motstandsdyktighetstester, rapportering av alvorlige hendelser, informasjonsdeling om trusler, og tilsyn med de største IT-leverandørene.
Teksten ble vedtatt 14. desember 2022, kunngjort i EU-tidende 27. desember 2022 (OJ L 333). Trådte i kraft 16. januar 2023. Forpliktelsene har reelt vært gjeldende siden 17. januar 2025.
De største IT-leverandørene (sky, hosting...) som anses "kritiske" for finanssektoren, er nå direkte kontrollert på europeisk nivå, med en ledende tilsynsmyndighet som kan pålegge dem tiltak.
Før DORA hadde hvert EU-land sine egne regler for å melde en alvorlig IT-hendelse. Nå gjelder én felles europeisk prosedyre: større hendelser varsles direkte til kompetente myndigheter.
Teksten fastsetter at myndighetene offentliggjør de administrative sanksjonene de ilegger. De nøyaktige bøtebeløpene er ikke stabilisert i kildene vi har konsultert per i dag - bør bekreftes etter hvert som offisielle presiseringer kommer.