# DORA-sjekkliste for norske finansforetak

> Ti steg som tar et norsk finansforetak fra "vi har lest om DORA" til "vi kan svare Finanstilsynet", på ett kvartal.

Source: https://fmcybersecurity.com/insights/compliance/dora-sjekkliste-for-finansforetak/
Locale: Norwegian (nb-NO)
Other locale: https://fmcybersecurity.com/en/insights/compliance/dora-checklist-for-norwegian-financial-firms/

## Metadata

- Date: 2026-05-04
- Author: maximilian-sharoyan
- Topic: compliance
- Format: guide

DORA er EUs regelbok for IT-risiko og digital motstandsdyktighet i finanssektoren. Her er en sjekkliste på ti steg som tar et norsk finansforetak fra "vi har lest om DORA" til "vi kan svare Finanstilsynet", på ett kvartal.

DORA fikk virkning i EU 17. januar 2025. Norge er med i EØS, og veien hit ble derfor en annen. Den norske DORA-loven og DORA-forskriften trådte i kraft [1. juli 2025](https://www.finanstilsynet.no/tema/dora/forordning-om-digital-operasjonell-motstandsdyktighet-i-finanssektoren-dora/). Står foretaket ditt under tilsyn av Finanstilsynet, gjelder DORA nesten helt sikkert.

![DORA, FM CyberSecurity](../../../assets/news/dora-checklist-for-norwegian-financial-firms-inline.png)

## 1. Sjekk om DORA gjelder dere

DORA dekker de fleste regulerte finansforetak i Norge: banker, forsikringsselskaper, betalingsforetak, e-pengeforetak, verdipapirforetak, forvaltningsselskaper, kryptoaktører og pensjonskasser. Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er foreløpig holdt utenfor den norske versjonen, men departementet kan utvide listen.

Skriv ned om DORA gjelder for foretaket, og hvorfor. Det første en revisor spør om, er hvordan dere kom fram til konklusjonen. Er dere små og vil bruke det lettere regimet (proporsjonalitet, altså regler tilpasset størrelsen), navngi paragrafen dere lener dere på. Da slipper dere å ta diskusjonen på nytt hvert år.

## 2. Forankre IT-risikoen i styret

DORA legger det øverste ansvaret for IT-risiko på styret (artikkel 5, som også gjelder via DORA-loven). Styremedlemmene må dessuten holde IT-risikokunnskapen sin oppdatert.

Skriv et kort styrenotat som navngir den IT-risikoansvarlige, peker på rammeverket dere bruker for IT-risiko, og inneholder en opplæringsplan for styret. Vedta det i et møte der artikkel 5 nevnes ved navn i protokollen. Vedta på nytt minst én gang i året, og etter hver alvorlig hendelse.

## 3. Skriv rammeverksdokumentet for IT-risiko

Artikkel 6 til 16 lister hva rammeverket må inneholde: hvordan dere identifiserer risiko, beskytter, oppdager, responderer, gjenoppretter, lærer og kommuniserer.

Kjører dere allerede et ISO 27001-system, vil mye av kontrollene mappe over. Gjør en gap-analyse: DORA-artikkelnummer på den ene siden, deres eksisterende kontrollreferanse på den andre. De tre hullene de fleste foretak fortsatt må tette, er deteksjon (artikkel 10), forretningskontinuitet (artikkel 11) og hendelseslæring (artikkel 13). Deteksjon krever loggbevis, ikke policytekst.

## 4. Lag et beslutningstre for "er dette en alvorlig hendelse?"

Det er bare hendelser som regnes som alvorlige, som skal rapporteres. Hva som teller som alvorlig, står i EUs [regler for hendelsesklassifisering](https://eur-lex.europa.eu/eli/reg_del/2024/1772/oj). Kortversjonen: brytes to påvirkningskriterier, eller får noen uautorisert tilgang til systemer som støtter en kritisk tjeneste, er hendelsen alvorlig.

Gjør reglene om til et beslutningstre på én side som vakthavende kan kjøre klokken 03:14. Tallfest virkningen på kundene, nedetid, geografisk spredning, datatap, omdømme og kroner. Tren minst to personer på å bruke det.

## 5. Lær rapporteringsfristene, 4 timer, 24 timer, 72 timer, én måned

Når en alvorlig IT-hendelse er bekreftet, forventer Finanstilsynet:

- Første varsling, innen fire timer etter at dere har klassifisert hendelsen som alvorlig. Senest 24 timer etter at dere oppdaget den.
- Første statusrapport, innen 72 timer.
- Endelig rapport, innen én måned etter siste statusrapport.

Disse sender dere gjennom Finanstilsynets Altinn-portal. Derfra går de videre til EUs tilsynsorganer. Den norske prosessen står beskrevet i [Finanstilsynets rundskriv om hendelsesrapportering](https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2025/hendelsesrapportering-etter-dora/).

Teller planen deres fortsatt i dager, skriv den om denne uken. Fire-timersklokka starter når noen klassifiserer hendelsen som alvorlig, ikke når noen bestemmer seg for å ringe tilsynet.

## 6. Lag leverandørregisteret for IT-tjenester

Én gang i året sender dere Finanstilsynet et register over alle IT-leverandører dere bruker. Fristen i 2026 var [13. mars](https://www.finanstilsynet.no/rapportering/fellesrapporteringer/dora-rapportering-av-register-over-ikt-tjenesteavtaler-roi/), så regn med et lignende vindu neste år. Hver leverandør trenger en juridisk identifikator. EBA har avvist innsendinger på grunn av dårlig datakvalitet, så god datakvalitet er viktigere enn rask innsending.

Sett i gang med leverandøroversikten i dag. Merk hver kontrakt med om den støtter en kritisk eller viktig funksjon (etter artikkel 28(2)), eller ikke. Den merkingen styrer mye av papirarbeidet videre.

## 7. Rydd opp i kontraktene med kritiske IT-leverandører

For leverandører som støtter kritiske eller viktige funksjoner, krever DORA bestemte klausuler i kontrakten (artikkel 30): revisjonsrett, avviklingsplan, hvor data behandles, kontroll med underleverandører, tjenestenivåer, sikkerhetstiltak og hvordan leverandøren bistår dere under hendelser.

Hent fram de ti viktigste leverandørkontraktene deres etter kritikalitet. Kontroller hver klausul mot artikkel 30. Send endringsanmodning på alt som mangler. Leverandører av skytjenester, kjernebanksystemer og SaaS-tjenester (programvare levert over nett) som behandler kundedata, ligger som regel på topp ti.

## 8. Planlegg testingen av IT-motstandsdyktighet

DORA krever et testprogram med sårbarhetsskanninger, nettverkstesting, scenariotester og kodegjennomgang der det gir mening (artikkel 24). Større foretak som Finanstilsynet peker ut, må dessuten kjøre trusselbaserte penetrasjonstester hvert tredje år, etter EU-rammeverket som heter [TIBER-EU](https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html).

Vi leverer applikasjons- og infrastrukturtesting via Aikido AI Pentest som del av standardprogrammet. Trusselbaserte tester for utpekte foretak er et eget oppdrag.

## 9. Bestem hvordan dere deler informasjon med bransjekolleger

DORA oppfordrer foretak til å dele trusselinformasjon med hverandre (artikkel 45). Bestem dere for om dere går inn i Nordic Financial CERT, FS-ISAC, eller lener dere på det Finanstilsynet sender ut. Skriv beslutningen og grensene (hva dere deler, hva dere ikke deler) inn i rammeverket.

## 10. Sett sammen bevisspakken

Tar Finanstilsynet kontakt, ber de om rammeverksdokumentet, styrevedtaket, gap-analysen med artikkelhenvisninger, hendelsesregisteret, IT-leverandørregisteret, testplanen og kontraktsgjennomgangen. Hold det samlet på ett sted. Datostemple hvert dokument.

I et avgrensningsoppdrag med et betalingsforetak dette kvartalet var de tekniske kontrollene stort sett på plass, men dokumentasjonen manglet: ingen styreprotokoll som refererte til artikkel 5, intet beslutningstre, intet versjonskontrollert rammeverk. Det tekniske arbeidet tok tre uker. Dokumentasjonen tok seks.

## Neste steg

Ta kontakt med [compliance-teamet vårt](/services/compliance/) for en fokusert DORA-tilstandsanalyse mot det eksisterende IT-risikosystemet deres, med en gap-liste artikkel for artikkel. Vi jobber sammen med teamet deres, ikke over hodet på dem, så rammeverket dere ender opp med, er ett dere kan forsvare selv.

## FAQ

### Er vi omfattet av DORA i Norge?

Står dere under Finanstilsynets tilsyn etter EUs eller EØS sine finansregler (bank, forsikring, betalingsforetak, e-pengeforetak, verdipapirforetak, forvaltningsselskap, pensjonskasse, tilbyder av kryptoeiendomstjenester), så regn med at svaret er ja. Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er foreløpig holdt utenfor den norske versjonen, men departementet kan utvide. Bekreft mot [artikkel 2 i forordning (EU) 2022/2554](https://eur-lex.europa.eu/eli/reg/2022/2554/oj) og skriv konklusjonen ned.

### Når begynte DORA å gjelde for norske foretak?

DORA fikk virkning i EU fra 17. januar 2025. I Norge ble DORA innlemmet i EØS-avtalen 20. februar 2025, og den norske DORA-loven og DORA-forskriften trådte i kraft [1. juli 2025](https://www.finanstilsynet.no/tema/dora/forordning-om-digital-operasjonell-motstandsdyktighet-i-finanssektoren-dora/). Finanstilsynet har håndhevet regelverket siden.

### Hvordan skiller DORAs hendelsesrapportering seg fra GDPR?

GDPR gir dere 72 timer fra dere blir kjent med et personvernbrudd til dere må varsle tilsynsmyndigheten. DORA gir dere fire timer fra klassifisering av en alvorlig IT-hendelse, med et tak på 24 timer fra dere først oppdaget den, så en statusrapport innen 72 timer, og deretter en endelig rapport innen én måned. Utløserne, klokkene og mottakerne er forskjellige. Én hendelse utløser ofte begge regelsett, og planen deres må håndtere det.

### Hva er IT-leverandørregisteret, og når er fristen?

Dette er det årlige inventaret over hver IT-leverandør dere bruker, sendt inn til Finanstilsynet i et strukturert format gjennom e-Reg-portalen. Innsendingsfristen i 2026 var 13. mars, og Finanstilsynet videresendte til EU-tilsynet innen 31. mars. EBA har avvist innsendinger på grunn av datakvalitet, så sett i gang med leverandøroversikten nå, ikke i februar.

### Hvordan henger DORA sammen med NIS2?

For finansforetak går DORA foran NIS2 på IT-risikostyring. DORA er den spesifikke regelen som går foran den generelle. Er dere en bank som dessuten driver en samfunnsviktig tjeneste i en annen del av virksomheten, kan dere ende opp under begge regelsett. Gi hver forpliktelse til én intern ansvarlig, så faller ingenting mellom dem.

### Vi er et lite foretak, må vi gjøre alt dette?

Artikkel 16 gir mindre foretak et lettere regime som kalles proporsjonalitet. Listen omfatter mikroforetak, små verdipapirforetak, små pensjonskasser, små betalingsforetak, små e-pengeforetak og små forvaltere av alternative investeringsfond. Dere trenger fortsatt et rammeverk, en flyt for hendelsesrapportering, et leverandørregister og et testprogram. Dybden som kreves, er lavere. Skriv ned hvilken paragraf dere lener dere på, så slipper dere å ta diskusjonen på nytt i hver tilsynssyklus.

---

For the full documentation index, see https://fmcybersecurity.com/llms.txt
For the complete corpus as a single document, see https://fmcybersecurity.com/llms-full.txt