FORORDNING (EU) 2022/2554 - GJELDER FRA 17. JANUAR 2025

Ditt DORA-samsvar,
dokumentert og forsvarbart

EU-forordningen om digital operasjonell motstandsdyktighet i finanssektoren (DORA) pålegger finansforetak - og indirekte deres IKT-leverandører - et fullstendig register over kontrakter, presise kontraktsklausuler og daterte revisjonsbevis. SYAGA DORA-Express hjelper deg med å oppfylle disse kravene uten improvisasjon, enten du er et finansforetak eller en IKT-leverandør.

17.01
Gjelder fra 2025
21
Kategorier av omfattede enheter (art. 2)
4t
Frist for varsling av en større hendelse
19
Kritiske IKT-leverandører allerede utpekt

Den regulatoriske konteksten

DORA er en forordning, ikke et direktiv: den gjelder direkte i alle medlemsstater, uten at man må vente på en nasjonal implementeringslov.

DORA har gjeldt direkte siden 17. januar 2025

Forordning (EU) 2022/2554 av 14. desember 2022, kunngjort i EU-tidende 27. desember 2022, trådte i kraft 16. januar 2023 og har gjeldt fra 17. januar 2025. Ingen nasjonal implementering kreves: den kan påberopes direkte.

📋

Et fullstendig IKT-register kreves (art. 28 §3)

Hvert finansforetak skal føre og årlig oversende myndighetene et fullstendig register over sine IKT-kontrakter: leverandør, tjenestens art, funksjonens kritikalitet, datalagringsland.

📄

Kontraktene deres må inneholde presise klausuler (art. 30)

Revisjons- og inspeksjonsrettigheter, garantier for datatilgjengelighet og -integritet, testede exit-planer, varsling av hendelser uten opphold. Disse klausulene forplantes fra deres finanskunde til dere dersom dere er deres IKT-leverandør.

📧

Due diligence-spørreskjemaet ligger allerede i innboksen deres

Før en bank, et forsikringsselskap eller en investor signerer eller fornyer en kontrakt, sender de et cyberspørreskjema (styring, MFA, EDR, kryptering, opplæring). Å svare uten dokumentert bevis medfører at man taper kontrakten.

Utløseren 18. november 2025

Skyleverandørene deres er nettopp offisielt utpekt som "kritiske"

18.-19. november 2025 publiserte de europeiske tilsynsmyndighetene (EBA, ESMA, EIOPA) den første offisielle listen over kritiske IKT-leverandører i henhold til artikkel 32 i DORA. Blant navnene bekreftet i de offisielle kunngjøringene: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (og 14 andre leverandører ikke bekreftet ved navn i våre kilder).

Konkret konsekvens: dersom deres kritiske tjenester bygger på en av disse leverandørene, må finansforetaket deres nå dokumentere dette i sitt IKT-register - og kan spørre dere om deres egen underleverandørkjede.

Kilde: offisielle kunngjøringer fra EIOPA og ESMA, 18.-19. november 2025 (eiopa.europa.eu, esma.europa.eu).

Vårt svar: DORA-Express

En strukturert oppfølging i 5 trinn for å dokumentere samsvaret deres - uten å love det verken et verktøy eller et konsulentselskap kan sertifisere på deres vegne.

1
Trinn 1 - Kvalifisering

Vi identifiserer deres reelle eksponering

Er dere et finansforetak direkte underlagt DORA (en av de 21 kategoriene i artikkel 2), eller en IKT-leverandør indirekte omfattet via kontraktsklausulene til deres finanskunder (artikkel 30)? Det eksakte omfanget bestemmer alt det øvrige.

2
Trinn 2 - Due diligence

Svar på cyberspørreskjemaet deres

Vi svarer på due diligence-spørreskjemaet fra bank, investor eller forsikringsselskap (styring, MFA, EDR, kryptering, opplæring...), basert på en teknisk revisjon av Microsoft 365-tenanten deres som datert og verifiserbart bevis.

3
Trinn 3 - Register og kontrakter

IKT-register og klausuler i artikkel 30

Vi hjelper dere med å strukturere IKT-kontraktregisteret deres (art. 28 §3) og med å kontrollere eller innarbeide de minimale og forsterkede kontraktsklausulene i artikkel 30 i leverandørkontraktene deres.

4
Trinn 4 - Kontinuitet og motstandsdyktighet

Beredskapsplan med sektorprofil Finans

Vår beredskapspakke tilbyr en sektorprofil for Finans (DORA, PSD2, ACPR), som dekker kravene til tester av operasjonell motstandsdyktighet i kapittel IV i DORA, i tråd med ISO 22301.

5
Trinn 5 - Levering

En dokumentert samsvarsdokumentasjon

Overlevering til ledelsen, IT-sikkerhetssjefen (CISO) eller økonomidirektøren av en samlet dokumentasjon, med de presise punktene som må avgjøres av deres juridiske rådgiver før noen kommunikasjon til myndighetene.

Det dere mottar

Konkrete, kildebelagte leveranser, uten løfte om en sertifisering ingen kan garantere

📝

Svar på cyber due diligence

10 typiske due diligence-spørsmål fra bank/M&A, dokumentert og kildebelagt (ILPA DDQ, CSA CAIQ, cyberforsikringsspørreskjemaer).

  • Sikkerhetspolicy / anerkjent rammeverk
  • MFA, minste privilegium, privilegerte kontoer
  • M365-lisens, EDR / threat hunting
  • Utdaterte protokoller, diskkryptering
  • Opplæringsprogram
📄

DORA-referanseark

Kildebelagt sammendrag av forordning (EU) 2022/2554.

  • Omfang: 21 kategorier av enheter (art. 2)
  • 5 forpliktelsesområder
  • Varslingsfrister (4t / 72t / 1 måned)
  • Samspill med NIS2 (lex specialis)
📋

IKT-register (mal art. 28 §3)

Struktur for det fullstendige registeret som kreves av myndighetene.

  • Leverandør og tjenestens art
  • Kritikalitet for den understøttede funksjonen
  • Datalagringsland
  • Format klart for årlig oversendelse
🔐

Kontraktsklausuler (mal art. 30)

Til bruk eller kontroll i IKT-leverandørkontraktene deres.

  • Minimumsklausuler (alle kontrakter)
  • Forsterkede klausuler (kritiske funksjoner)
  • Revisjons- og inspeksjonsrettigheter
  • Exit-planer og dataekstraherbarhet
🏗

Beredskapsplan sektorprofil Finans

Kontinuitets- og gjenopprettingsplan, dedikert sektorprofil.

  • Dekning av DORA kapittel IV (motstandsdyktighetstester)
  • I tråd med ISO 22301
  • Sektorprofil DORA / PSD2 / ACPR
  • Fra vår eksisterende beredskapspakke
💾

Dokumentert samsvarsdokumentasjon

PDF- og DOCX-formater, som samler alle leveransene.

  • Klar for ledelsen / CISO / økonomidirektøren
  • Punkter som må valideres av advokaten deres, tydelig merket
  • Grunnlag for dialogen deres med ACPR / AMF (fransk myndighet)
  • Redigerbar for årlig oppdatering

Et eksempel: due diligence-spørreskjemaet fra en bank

Utdrag fra de 10 spørsmålene vi dokumenterer for dere, med kilden til hvert spørsmål

Tema Spørsmål Kilde
Styring Bygger sikkerhetspolicyen deres på et anerkjent rammeverk (NIST, ISO 27001)? ILPA DDQ 2.0
Tredjepartsrevisjon Gjennomfører dere en årlig uavhengig revisjon og penetrasjonstester? CSA CAIQ v4
Hendelsesplan Finnes det en formell, dokumentert og vedlikeholdt hendelsesresponsplan? CSA CAIQ v4 / ILPA DDQ 2.0
MFA For hvilke tjenester krever dere flerfaktorautentisering? Travelers - MFA Supplement
Privilegerte kontoer Følger tilgangene prinsippet om minste privilegium, med periodisk gjennomgang? CSA CAIQ v4 IAM
E-post Hvilken M365-lisens bruker dere? Er Defender / avansert threat hunting aktivt? vCSO.ai Cyber DD Checklist
Kryptering Er diskene på endepunktene fullt ut kryptert? Google VSAQ
Opplæring Er det etablert et sikkerhetsopplæringsprogram for alle ansatte? CSA CAIQ v4 HRS

Tekster og rammeverk som dekkes

Hver leveranse angir eksplisitt hva den dekker - og hva den ikke dekker

DO

DORA (Forordning EU 2022/2554)

IKT-register (art. 28), kontraktsklausuler (art. 30), varslingsfrister (art. 19), referanse til utpekte kritiske IKT-leverandører (art. 32).

N2

NIS2 - samspill med DORA

DORA er en lex specialis i forhold til NIS2 for finanssektoren: de omfattede enhetene anvender DORA i stedet for de tilsvarende NIS2-tiltakene.

ISO

ISO 22301 - virksomhetskontinuitet

Beredskapsprofilen for Finans er i tråd med ISO 22301, styringsstandarden for virksomhetskontinuitet som brukes som supplement til DORA.

RG

GDPR - separat varsling

DORA-hendelsesvarslingen (ACPR/AMF, fransk myndighet) er atskilt fra GDPR-varslingen (CNIL, fransk myndighet) ved brudd på personopplysningssikkerheten: begge kan kreves samtidig.

En oppfølging tilpasset situasjonen deres

Hver DORA-sak er forskjellig avhengig av status deres - skreddersydd tilbud i alle tilfeller

IKT-leverandør

Dere leverer tjenester til ett eller flere finansforetak

Tilbud
avhengig av omfang
  • Svar på cyber due diligence
  • IKT-register på leverandørsiden
  • Gjennomgang av klausuler i artikkel 30
  • Dokumentert dokumentasjon klar til oversendelse
Be om et tilbud

Årlig oppfølging

Regelmessig oppdatering av dokumentasjonen (forpliktelser, kontrakter, register)

Tilbud
løpende
  • Oppdatering av IKT-registeret
  • Årlig gjennomgang av kontraktsklausuler
  • Overvåking av utpekte kritiske leverandører
  • Støtte til deres kunders due diligence
Be om et tilbud

Ofte stilte spørsmål

Er virksomheten min et finansforetak omfattet av DORA?
Artikkel 2 i DORA lister opp 21 kategorier av finansforetak: kreditt- og betalingsforetak, verdipapirforetak, MiCA-godkjente kryptoaktivaleverandører, forsikring og gjenforsikring, fondsforvaltning, kredittvurderingsbyråer, og andre. Mikroforetak (færre enn 10 ansatte, omsetning eller balanse under 2 mill. EUR) nyter godt av en forholdsmessighetsregel for enkelte forpliktelser, men er ikke fullstendig unntatt. Bør sjekkes fra sak til sak med juridisk rådgiver.
Jeg er ikke en bank, hvorfor gjelder DORA meg likevel?
Dersom dere leverer IKT-tjenester (databehandling, sky, programvare, hosting) til et finansforetak, pålegger artikkel 30 deres kunde å føre dere opp i sitt register og å kontraktsfeste presise klausuler overfor dere: revisjonsrettigheter, hendelsesvarsling uten opphold, exit-planer. Disse forpliktelsene går via kundens kontrakt, ikke via direkte myndighetstilsyn - med mindre dere selv er utpekt som kritisk IKT-leverandør (artikkel 31).
Hva er fristene for varsling av en større IKT-hendelse?
Artikkel 19: første varsling innen 4 timer etter klassifisering som større hendelse (maksimalt 24 timer etter oppdagelse), foreløpig rapport innen 72 timer, sluttrapport innen 1 måned. Disse varslingene er atskilt fra en eventuell GDPR-varsling til CNIL (fransk myndighet) ved brudd på personopplysningssikkerheten.
Hva er en "kritisk IKT-leverandør"?
Dette er leverandører som er eksplisitt utpekt av de europeiske tilsynsmyndighetene (EBA, ESMA, EIOPA) etter kriterier for systemisk påvirkning, erstattbarhet og avhengighet (artikkel 31). Den første offisielle listen, publisert 18.-19. november 2025, omfatter 19 leverandører. De er underlagt direkte tilsyn (inspeksjoner, utvidet rapportering); de øvrige IKT-leverandørene reguleres kun gjennom kontraktsklausulene til sine finanskunder.
Erstatter DORA NIS2 for min sektor?
Ja, for finansforetak i henhold til artikkel 2: DORA utgjør en lex specialis i forhold til NIS2 for finanssektoren. De 21 omfattede kategoriene anvender DORA i stedet for de tilsvarende NIS2-tiltakene for risikostyring og hendelsesvarsling.
Utgjør denne tjenesten juridisk rådgivning?
Nei. DORA-Express er et dokumentasjonsstøtteverktøy, ikke juridisk rådgivning. Den eksakte vurderingen av om organisasjonen deres er underlagt DORA, og den juridiske gyldigheten av kontraktene deres, må valideres av en spesialisert advokat før enhver bindende beslutning.

Klar til å dokumentere DORA-samsvaret deres?

Kontakt oss for å motta et skreddersydd tilbud basert på status deres (finansforetak eller IKT-leverandør).

DORA-Express er et dokumentasjonsstøtteverktøy og utgjør ikke juridisk rådgivning. Om organisasjonen deres er underlagt DORA, og den juridiske gyldigheten av kontraktene og registrene deres, må bekreftes av en spesialisert advokat.

Regelverksovervåking - offisielle kilder

DORA forklart enkelt, uten juridisk sjargong. Hvert punkt nedenfor viser til den offisielle teksten som bekrefter det.

Hvem er omfattet?

DORA gjelder for europeiske finansaktører: banker, forsikringsselskaper, investeringsselskaper, markedsplasser, fondsforvaltere, betalingsleverandører... samt deres IT-leverandører. De minste aktørene har lettere regler.

offisiell kilde (EUR-Lex) ↗

Hva DORA konkret krever av dere

Forordningen dekker 6 hovedtemaer: styring av IT-risiko, overvåking av eksterne leverandører, jevnlige motstandsdyktighetstester, rapportering av alvorlige hendelser, informasjonsdeling om trusler, og tilsyn med de største IT-leverandørene.

offisiell kilde (EIOPA) ↗

Datoene å merke seg

Teksten ble vedtatt 14. desember 2022, kunngjort i EU-tidende 27. desember 2022 (OJ L 333). Trådte i kraft 16. januar 2023. Forpliktelsene har reelt vært gjeldende siden 17. januar 2025.

kilde EUR-Lex ↗ · kilde ESMA ↗

IT-leverandørene deres overvåkes også

De største IT-leverandørene (sky, hosting...) som anses "kritiske" for finanssektoren, er nå direkte kontrollert på europeisk nivå, med en ledende tilsynsmyndighet som kan pålegge dem tiltak.

offisiell kilde (EIOPA) ↗

Endelig harmonisert hendelsesvarsling

Før DORA hadde hvert EU-land sine egne regler for å melde en alvorlig IT-hendelse. Nå gjelder én felles europeisk prosedyre: større hendelser varsles direkte til kompetente myndigheter.

kilde EUR-Lex ↗

Og sanksjonene?

Teksten fastsetter at myndighetene offentliggjør de administrative sanksjonene de ilegger. De nøyaktige bøtebeløpene er ikke stabilisert i kildene vi har konsultert per i dag - bør bekreftes etter hvert som offisielle presiseringer kommer.

kilde EUR-Lex (fortalepunkt 97) ↗