Cyberangrep og tekniske feil kan skape store problemer for finansnæringen. Derfor har EU innført DORA (Digital Operational Resilience Act) – et nytt regelverk som skal styrke sikkerheten i finanssektoren og hos deres leverandører. Reglene trådte i kraft i januar 2023 og blir obligatoriske i EU fra 17. januar 2025.

Selv om DORA er et EU-regelverk, vil det også påvirke norske virksomheter – særlig de som opererer innen finans eller leverer IT-tjenester til selskaper i EU. Vi forventer DORA vil bli innført i EØS og Norge innen 2026.

Hva er DORA?

DORA er et nytt EU-regelverk som skal sikre at banker, forsikringsselskaper, betalingsleverandører og andre finansielle aktører kan håndtere, motstå og komme seg raskt etter cyberangrep og tekniske problemer.

DORA stiller krav til:

• Håndtering av IT-risiko: Bedrifter må ha kontroll på sikkerhetsrisikoer og sårbarheter.
• Testing av sikkerhet: Finansielle selskaper må jevnlig teste hvordan de håndterer cyberangrep.
• Sikkerhet i leverandørkjeden: IT-leverandører må oppfylle strenge sikkerhetskrav.
• Rapportering av hendelser: Virksomheter må raskt melde fra om cyberangrep og alvorlige IT-feil.

Hva er DORA?

DORA er et nytt EU-regelverk som skal sikre at banker, forsikringsselskaper, betalingsleverandører og andre finansielle aktører kan håndtere, motstå og komme seg raskt etter cyberangrep og tekniske problemer.

DORA stiller krav til:

• Håndtering av IT-risiko: Bedrifter må ha kontroll på sikkerhetsrisikoer og sårbarheter.
• Testing av sikkerhet: Finansielle selskaper må jevnlig teste hvordan de håndterer cyberangrep.
• Sikkerhet i leverandørkjeden: IT-leverandører må oppfylle strenge sikkerhetskrav.
• Rapportering av hendelser: Virksomheter må raskt melde fra om cyberangrep og alvorlige IT-feil.

Hvem må følge DORA?

DORA gjelder for en rekke aktører i finansnæringen, blant annet:
✅ Banker og kredittinstitusjoner
✅ Betalings- og e-pengelinstitusjoner
✅ Forsikrings- og pensjonsselskaper
✅ Kryptoselskaper og handelsplattformer
✅ IT- og skytjenesteleverandører til finanssektoren

Selv om DORA gjelder i EU, må norske virksomheter som jobber med EU-kunder eller leverandører også følge reglene.

Hva betyr DORA for norske selskaper?

For norske virksomheter i finanssektoren – eller de som leverer IT-tjenester til finans – betyr DORA:
🔹 Strengere krav til sikkerhetsstyring og IT-risikovurderinger.
🔹 Større ansvar for ledelsen, som må sørge for at kravene følges.
🔹 Hyppigere stresstester av digitale systemer.
🔹 Strengere krav til leverandører – IT-tjenester må oppfylle sikkerhetsstandarder.

For selskaper som leverer IT-tjenester til finansnæringen, betyr dette at de må forvente nye krav fra sine kunder.

Hvordan kan virksomheter forberede seg på DORA?

For å møte kravene i DORA bør norske selskaper ta grep nå:

1️⃣ Kartlegg dagens praksis – Hvordan håndterer virksomheten IT-risiko og sikkerhet i dag?
2️⃣ Styrk risikostyringen – Sørg for kontinuerlig overvåking og vurdering av risiko.
3️⃣ Test systemene – Start tidlig med stresstester og scenarioøvelser.
4️⃣ Forbered rapporteringsrutiner – Lag klare rutiner for å melde fra om hendelser.
5️⃣ Sikre samsvar hos leverandører – Sett krav til IT- og skytjenesteleverandører.

Er din virksomhet klar for DORA?

DORA stiller strengere krav til digital sikkerhet, og det er viktig å starte forberedelsene nå.

FM CyberSecurity hjelper norske virksomheter med å forstå og oppfylle kravene i DORA. Enten du trenger en sikkerhetsvurdering, bedre risikostyring eller rådgivning om samsvar, er vi her for å hjelpe deg.

📩 Kontakt oss i dag for en uforpliktende prat!