Den 17. januar 2025 blev hele den finansielle sektor i EU underlagt ét fælles regelsæt for digital modstandsdygtighed. DORA, Digital Operational Resilience Act, er nu i fuld anvendelse, og halvandet år inde i håndhævelsen tegner der sig et klart billede af, hvad forordningen kræver af danske banker, forsikringsselskaber, pensionskasser og deres it-leverandører. For første gang stiller EU bindende krav til, hvordan finansvirksomheder håndterer it-risici, rapporterer hændelser, tester deres systemer under angreb og styrer afhængigheden af store cloud-udbydere.
Denne analyse gennemgår, hvad DORA betyder for Danmark og Norden, hvordan Finanstilsynet håndhæver reglerne, hvad det koster sektoren, og hvordan forordningen spiller sammen med NIS2 og den kommende Cyber Resilience Act. Vi ser også på trusselsbilledet, der ligger bag reglerne, og giver fem konkrete forudsigelser for håndhævelsen i 2026 og 2027.
Hvad er DORA, og hvorfor kommer reglerne nu?
DORA er den korte betegnelse for forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor. Europa-Parlamentet og Rådet vedtog forordningen den 14. december 2022, og den trådte i kraft den 16. januar 2023. Efter en toårig overgangsperiode har reglerne været direkte gældende i alle medlemsstater siden den 17. januar 2025. Som forordning gælder DORA umiddelbart i Danmark uden national gennemførelse, modsat et direktiv.
Baggrunden er enkel. Den finansielle sektor er blandt de mest digitaliserede dele af økonomien og samtidig et af de mest udsatte mål for cyberkriminelle og statsstøttede aktører. Inden DORA var reglerne for it-sikkerhed i finanssektoren spredt ud over en række nationale og sektorspecifikke krav, der varierede fra land til land. Resultatet var huller og overlap. Forordningens artikel 1 fastslår formålet: at opnå “et højt fælles niveau af digital operationel modstandsdygtighed” på tværs af hele det indre marked for finansielle tjenester.
Det nye er, at DORA flytter fokus fra ren kapital og likviditet til driftssikkerhed. En bank kan være velpolstret og alligevel bringes i knæ af et nedbrud hos en cloud-leverandør eller et ransomware-angreb. DORA behandler it-risiko som en selvstændig, systemisk risiko på linje med kredit- og markedsrisiko.
Tidslinje: fra forslag til håndhævelse
DORA blev til over flere år og fulgte op med en lang række tekniske standarder, som de europæiske tilsynsmyndigheder (EBA, EIOPA og ESMA, samlet kaldet ESA’erne) udarbejdede i 2023 og 2024. Disse standarder, kendt som RTS og ITS, præciserer de overordnede krav i forordningen. De blev offentliggjort i to bølger i 2024 og er afgørende for, hvordan virksomhederne i praksis skal leve op til reglerne.
| Dato | Milepæl |
|---|---|
| 24. september 2020 | Europa-Kommissionen fremsætter DORA-forslaget som del af digital finans-pakken |
| 14. december 2022 | Forordning (EU) 2022/2554 vedtages af Parlamentet og Rådet |
| 16. januar 2023 | DORA træder i kraft (følgedirektiv 2022/2556 vedtages samtidig) |
| 17. januar 2024 | Første bølge af tekniske standarder (RTS/ITS) offentliggøres |
| 17. juli 2024 | Anden bølge af tekniske standarder offentliggøres |
| 17. januar 2025 | DORA finder anvendelse i hele EU |
| 2025 og frem | ESA’erne udpeger kritiske IKT-tredjepartsudbydere og opbygger tilsynsrammen |
Den toårige overgangsperiode var bevidst. Lovgiverne ville give sektoren tid til at omlægge kontrakter, kortlægge leverandører og opbygge testkapacitet. Alligevel viste flere brancheundersøgelser op til januar 2025, at en stor del af virksomhederne ikke var helt klar ved fristen. Det samme mønster kender vi fra NIS2-implementeringen, hvor en betydelig andel af de omfattede danske virksomheder fortsat halter efter kravene.
Hvem er omfattet af DORA?
DORA’s anvendelsesområde er bredt. Forordningen omfatter omkring 20 forskellige kategorier af finansielle enheder. Det dækker pengeinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, udbydere af kryptoaktivtjenester, værdipapircentraler, centrale modparter, markedspladser, forsikrings- og genforsikringsselskaber, forsikringsformidlere, arbejdsmarkedsrelaterede pensionskasser, kreditvurderingsbureauer, administratorer af kritiske benchmarks og crowdfunding-tjenesteudbydere.
Hertil kommer den gruppe, der gør DORA virkelig vidtrækkende: it-leverandørerne. For første gang kan udbydere af it-tjenester til finanssektoren, herunder de store cloud-platforme, blive underlagt direkte EU-tilsyn, hvis de udpeges som kritiske. Ifølge Europa-Kommissionens egne vurderinger omfatter DORA anslået omkring 22.000 finansielle enheder og it-udbydere i EU. Tallet illustrerer omfanget: dette er ikke et nichekrav, men en gennemgribende regulering af et helt erhverv.
Princippet om proportionalitet løber gennem hele forordningen. Små og ikke-komplekse virksomheder skal leve op til en lempeligere udgave af kravene, mens systemisk vigtige institutter får de tungeste forpligtelser, blandt andet kravet om trusselsbaseret penetrationstest. En lille realkreditformidler og en stor systembank spiller dermed ikke efter helt de samme regler.
DORA’s fem søjler
DORA er bygget op om fem søjler, der hver svarer til et kapitel i forordningen. Tilsammen dækker de hele livscyklussen for digital risiko, fra forebyggelse over detektion og test til håndtering af leverandører og videndeling. Tabellen nedenfor giver overblikket.
| Søjle | Indhold | Artikler |
|---|---|---|
| 1. IKT-risikostyring | Rammeværk, governance, ledelsesansvar, kortlægning af aktiver og kontinuitetsplaner | Art. 5-16 |
| 2. Hændelseshåndtering | Klassificering og rapportering af alvorlige it-hændelser til tilsynet | Art. 17-23 |
| 3. Modstandsdygtighedstest | Løbende test samt trusselsbaseret penetrationstest (TLPT) for betydelige enheder | Art. 24-27 |
| 4. Tredjepartsrisiko | Styring af it-leverandører og tilsynsramme for kritiske udbydere | Art. 28-44 |
| 5. Videndeling | Frivillig udveksling af trusselsefterretning mellem finansvirksomheder | Art. 45 |
Det centrale skifte er, at ansvaret placeres øverst. DORA kræver eksplicit, at ledelsesorganet, altså bestyrelse og direktion, har det endelige ansvar for it-risikostyringen. It-sikkerhed kan ikke længere delegeres ned i en teknisk afdeling og glemmes. Ledelsen skal godkende rammeværket, afsætte ressourcer og holde sig løbende orienteret.
Søjle 1 og 2: risikostyring og hændelsesrapportering
Et samlet rammeværk for it-risiko
Første søjle pålægger virksomhederne at opbygge et dokumenteret rammeværk for it-risikostyring. Det omfatter kortlægning af alle kritiske it-aktiver og afhængigheder, beskyttelsesforanstaltninger, mekanismer til hurtig detektion af unormal aktivitet, samt planer for forretningskontinuitet og genopretning. Virksomhederne skal kunne dokumentere, at de jævnligt opdaterer og afprøver disse planer, ikke blot at de findes på papir.
Pligt til at rapportere alvorlige hændelser
Anden søjle indfører en harmoniseret pligt til at rapportere alvorlige it-relaterede hændelser til den kompetente myndighed, i Danmark Finanstilsynet. Rapporteringen sker i tre trin: en indledende anmeldelse, en mellemrapport og en endelig rapport med rodårsagsanalyse. Forordningen fastlægger fælles kriterier for, hvornår en hændelse er alvorlig nok til at udløse anmeldelsespligt, så tærsklen er den samme på tværs af EU. Frivillig rapportering af betydelige cybertrusler er også mulig. Formålet er at give myndighederne et realtidsbillede af trusselsudviklingen i sektoren. Hvordan et brud reelt opstår og spreder sig, kan du læse mere om i vores gennemgang af datalæk.
Søjle 3: trusselsbaseret penetrationstest og TIBER-DK
Tredje søjle er den mest tekniske. Alle omfattede virksomheder skal gennemføre løbende test af deres systemer, herunder sårbarhedsscanninger og scenariebaserede test. De største og mest systemisk vigtige enheder skal derudover gennemføre trusselsbaseret penetrationstest, kendt som TLPT (Threat-Led Penetration Testing), mindst hvert tredje år. Her simulerer specialiserede red teams realistiske angreb mod produktionssystemerne for at finde svaghederne, før de rigtige angribere gør.
TLPT-kravet bygger på TIBER-EU, en testramme udviklet af Den Europæiske Centralbank. I Danmark findes den nationale variant TIBER-DK, som Danmarks Nationalbank driver. Den har siden 2019 ladet store danske finansvirksomheder gennemgå efterretningsbaserede angrebssimuleringer. DORA løfter denne praksis fra at være frivillig til at være lovpligtig for de betydelige enheder og knytter den sammen på tværs af EU, så test kan anerkendes på fælles grundlag.
For Norden betyder det, at den hjemlige erfaring med TIBER nu bliver en konkurrencefordel. Danske og nordiske institutter har et forspring, fordi de allerede kender metoden. Det er en sjælden situation, hvor europæisk regulering bygger videre på et nordisk udgangspunkt frem for omvendt.
Søjle 4: styring af tredjepartsrisiko
Fjerde søjle er den mest nyskabende og politisk omdiskuterede. Den finansielle sektor er dybt afhængig af et lille antal store it-leverandører, ikke mindst cloud-giganterne. Hvis en af dem rammes af et nedbrud, kan effekten ramme hundredvis af banker samtidig. Den koncentrationsrisiko forsøger DORA at adressere.
Konkret skal finansvirksomhederne føre et register over alle deres aftaler med it-leverandører og indberette det til tilsynet. Kontrakter med leverandører af kritiske eller vigtige funktioner skal indeholde en række obligatoriske vilkår, blandt andet om adgang, audit, exit-strategier og dataplacering. En virksomhed skal kunne forlade en leverandør uden at lamme sin drift, hvilket i praksis kræver gennemarbejdede exit-planer.
Det mest radikale element er tilsynsrammen for kritiske it-tredjepartsudbydere. ESA’erne udpeger de udbydere, der vurderes systemisk kritiske for den europæiske finanssektor, og hver af dem tildeles en ledende tilsynsførende blandt EBA, EIOPA og ESMA. Det er første gang, EU fører direkte tilsyn med virksomheder, der ikke selv er finansielle, men som leverer rygraden under sektoren. De store amerikanske cloud-udbydere er de oplagte kandidater til at blive udpeget.
Tilsyn og sanktioner: op til 1 procent i dagbøde
Et regelsæt uden tænder ændrer ikke adfærd. DORA giver tilsynsmyndighederne reelle sanktionsmuligheder. For de udpegede kritiske it-udbydere har den ledende tilsynsførende efter artikel 35 mulighed for at pålægge tvangsbøder for at fremtvinge efterlevelse. Disse bøder kan udgøre op til 1 procent af udbyderens gennemsnitlige daglige globale omsætning i det foregående regnskabsår og kan pålægges dagligt i op til seks måneder. For en global cloud-leverandør med milliardomsætning er det et beløb, der mærkes.
For de finansielle enheder selv overlader DORA fastsættelsen af administrative sanktioner til medlemsstaterne. Det betyder, at Finanstilsynet i Danmark anvender de nationale sanktionsbeføjelser, herunder påbud, påtaler og bøder, mod virksomheder, der ikke lever op til kravene. Forordningen kræver, at sanktionerne er effektive, forholdsmæssige og afskrækkende. Tilsynet kan også offentliggøre afgørelser med navns nævnelse, hvilket i sig selv virker disciplinerende i en branche, hvor tillid er valuta.
DORA i Danmark: Finanstilsynets rolle
I Danmark er Finanstilsynet den kompetente myndighed for DORA. Tilsynet fører kontrol med, at de omfattede virksomheder lever op til kravene, modtager hændelsesrapporter og koordinerer med ESA’erne om tilsynet med de kritiske it-udbydere. Finanstilsynet har gennem 2024 og 2025 udsendt vejledning og indarbejdet DORA i sin løbende inspektionsvirksomhed.
Sammenspillet med Danmarks Nationalbank er centralt på testområdet, hvor Nationalbanken via TIBER-DK leverer den praktiske ramme for de trusselsbaserede test. Denne arbejdsdeling, hvor Finanstilsynet fører det formelle tilsyn og Nationalbanken bidrager med testekspertise, er karakteristisk for den danske model og giver et tæt samarbejde mellem to stærke institutioner.
For danske virksomheder er den praktiske udfordring sjældent at forstå hensigten med DORA, men at dokumentere efterlevelsen. Registeret over it-aftaler, de kontraktuelle vilkår og hændelsesrapporteringen kræver et administrativt apparat, som mange mindre aktører ikke havde før. Det er her, de fleste ressourcer går hen.
Norden i sammenligning
DORA gælder ens i hele EU, men håndhæves nationalt. Det betyder, at hvert land har sin egen kompetente myndighed og sin egen tilsynstradition. For Norden er billedet sammensat, fordi Norge og Island er med via EØS-aftalen og dermed indfører reglerne lidt forskudt i tid i forhold til EU-medlemmerne. Tabellen nedenfor viser de ansvarlige myndigheder og antallet af registrerede cyberhændelser i 2025 ifølge DNV’s nordiske rapport for 2026.
| Land | Kompetent finanstilsyn | EU/EØS | Cyberhændelser 2025 (DNV) |
|---|---|---|---|
| Danmark | Finanstilsynet | EU | 41 |
| Sverige | Finansinspektionen | EU | 60 |
| Finland | Finanssivalvonta (FIN-FSA) | EU | 44 |
| Norge | Finanstilsynet (Norge) | EØS | 21 |
Tallene fra DNV viser, at Sverige registrerede flest hændelser i 2025, mens Norge lå lavest. Forskellene afspejler både markedernes størrelse og rapporteringskulturen. Med DORA’s harmoniserede tærskler for, hvornår en hændelse skal anmeldes, kan disse tal blive lettere at sammenligne på tværs af landene fremover. Det fælles nordiske trusselsbillede er behandlet nærmere i vores oversigt over cybertrusler i Norden.
Markedspåvirkning: hvad koster DORA sektoren?
DORA er dyr at efterleve, særligt i opstartsfasen. De største udgiftsposter er ny dokumentation, opdatering af kontrakter med it-leverandører, opbygning af testkapacitet og ansættelse eller indkøb af compliance- og sikkerhedskompetencer. For store institutter løber regningen op i betydelige millionbeløb, mens mindre virksomheder kæmper med, at de relative omkostninger pr. medarbejder er højere.
Markedet har reageret på flere måder. For det første er der vokset et helt marked for DORA-rådgivning og -værktøjer frem, fra advokater til specialiserede softwareplatforme, der automatiserer registeret over it-aftaler. For det andet presser kravet om exit-planer og dataplacering nogle virksomheder til at genoverveje deres cloud-strategi, hvilket gavner europæiske udbydere, der kan tilbyde dataophold i EU. For det tredje stiger efterspørgslen efter cyberforsikring, samtidig med at forsikringsselskaberne strammer betingelserne og kræver dokumenteret modstandsdygtighed.
Den langsigtede gevinst skal findes i færre og mindre alvorlige nedbrud. Et enkelt stort it-svigt eller løsesumsangreb kan koste langt mere end den løbende efterlevelse. Set sådan er DORA en forsikringspræmie mod systemiske driftsforstyrrelser, og prisen skal holdes op mod den risiko, den reducerer.
Trusselsbilledet bag reglerne
DORA opstod ikke i et vakuum. Det europæiske trusselsbillede har i flere år peget i én retning: flere angreb, hurtigere angreb og mere geopolitik. ENISA, EU’s agentur for cybersikkerhed, har i sine trusselslandskabsrapporter fremhævet angreb mod tilgængelighed (DDoS) og ransomware som de mest fremtrædende trusselstyper og peger på, at geopolitik er en stærk drivkraft bag den ondsindede aktivitet. Offentlige forvaltninger og kritisk infrastruktur er i stigende grad mål for hacktivister, der oftest bruger DDoS.
Finanssektoren er et oplagt mål, fordi den forvalter penge og data og er samfundskritisk. Et angreb behøver ikke at stjæle noget for at gøre skade. Et nedbrud i betalingssystemer eller netbank skaber uro og underminerer tilliden. Det er netop denne form for driftsforstyrrelse, DORA er designet til at modstå. World Economic Forums Global Cybersecurity Outlook 2026 understreger, at 94 procent af de adspurgte forventer, at kunstig intelligens bliver den mest betydningsfulde drivkraft for forandring i cybersikkerhed i det kommende år, og at AI-relaterede sårbarheder var den hurtigst voksende cyberrisiko i 2025 ifølge 87 procent af respondenterne.
De seneste års hændelser i og omkring Norden, fra zero-day-sårbarheder i meget udbredt software til hacktivistiske kampagner, viser, hvor hurtigt en enkelt svaghed kan eskalere. Forløbet omkring den seneste store sårbarhed er beskrevet i vores artikel om Ivantis zero-day, der ramte tusindvis af organisationer i Europa.
DORA vs. NIS2 og Cyber Resilience Act
DORA står ikke alene. Den er en del af en bredere europæisk lovgivningsbølge om cybersikkerhed, og det er vigtigt at forstå arbejdsdelingen mellem reglerne. NIS2-direktivet er den horisontale ramme, der dækker mange sektorer på tværs af samfundet, fra energi og transport til sundhed og digital infrastruktur. DORA er derimod sektorspecifik og gælder finanssektoren. Hvor de to overlapper, har DORA forrang som lex specialis, så finansvirksomheder primært reguleres af DORA på it-området.
Cyber Resilience Act adresserer en tredje dimension: sikkerheden i selve produkterne. Hvor DORA regulerer, hvordan finansvirksomheder driver deres it, stiller Cyber Resilience Act krav til producenter af digitale produkter om indbygget sikkerhed gennem hele produktets levetid. Tilsammen dækker de tre regelsæt henholdsvis sektorer, finansiel drift og produkter.
For en dansk finansvirksomhed betyder det, at man skal navigere i flere regelsæt på én gang. Heldigvis er der betydeligt overlap i de underliggende krav om risikostyring, hændelsesrapportering og leverandørstyring, så en god governance-struktur kan tjene flere formål. Pointen er, at compliance bør tænkes samlet frem for i siloer.
Fem forudsigelser for DORA-håndhævelsen 2026-2027
Halvandet år inde i anvendelsen kan vi pege på fem sandsynlige udviklinger i de kommende to år.
- De første kritiske it-udbydere udpeges formelt. ESA’erne vil gennemføre udpegningen af kritiske it-tredjepartsudbydere, og de store cloud-platforme vil med stor sandsynlighed være blandt dem. Det indleder en ny æra med direkte EU-tilsyn med teknologivirksomheder.
- Håndhævelsen skærpes fra vejledning til sanktion. Det første år handlede meget om at få virksomhederne på plads. Fremover vil tilsynene i højere grad reagere på mangler med påbud og offentliggjorte afgørelser, efterhånden som tålmodigheden med efterslæb svinder.
- Tredjepartsrisiko bliver det dyreste område. Kontraktforhandlinger, exit-planer og registret over it-aftaler vil fortsat lægge beslag på flest ressourcer, og koncentrationsrisikoen om få cloud-udbydere forbliver et uløst strukturelt problem.
- TLPT bliver en nordisk styrkeposition. Med erfaringen fra TIBER-DK og de øvrige nordiske TIBER-programmer vil regionens institutter være blandt de bedst forberedte på de trusselsbaserede test, og testkapaciteten bliver en eksportvare.
- Konsolidering blandt leverandører. De skærpede krav favoriserer store, modne it-leverandører, der kan dokumentere efterlevelse. Mindre udbydere risikerer at blive valgt fra, hvilket paradoksalt nok kan øge den koncentration, DORA ville mindske.
Ofte stillede spørgsmål om DORA
Hvornår trådte DORA i kraft?
DORA trådte i kraft den 16. januar 2023 og har fundet anvendelse i hele EU siden den 17. januar 2025 efter en toårig overgangsperiode. Det er fra januar 2025, at de fulde krav gælder, og at tilsynene kan håndhæve dem.
Gælder DORA for danske virksomheder?
Ja. DORA er en EU-forordning og gælder direkte i Danmark uden national gennemførelse. Den omfatter stort set hele den finansielle sektor, fra banker og forsikringsselskaber til pensionskasser, betalingsinstitutter og udbydere af kryptoaktivtjenester. Finanstilsynet er den danske kompetente myndighed.
Hvad er forskellen på DORA og NIS2?
NIS2 er en horisontal regulering, der dækker mange sektorer, mens DORA er specifik for finanssektoren. Hvor de overlapper, har DORA forrang for finansvirksomheder. I praksis betyder det, at en bank primært følger DORA på it-sikkerhedsområdet, mens en energivirksomhed følger NIS2.
Hvor store kan bøderne være?
For udpegede kritiske it-tredjepartsudbydere kan den ledende tilsynsførende pålægge tvangsbøder på op til 1 procent af udbyderens gennemsnitlige daglige globale omsætning, dagligt i op til seks måneder. For de finansielle enheder fastsættes de administrative sanktioner nationalt, i Danmark af Finanstilsynet, og skal være effektive, forholdsmæssige og afskrækkende.
Hvad er TLPT og TIBER-DK?
TLPT står for Threat-Led Penetration Testing, altså trusselsbaseret penetrationstest, hvor red teams simulerer realistiske angreb mod produktionssystemer. TIBER-DK er den danske ramme for sådanne test, drevet af Danmarks Nationalbank og baseret på det europæiske TIBER-EU-koncept. DORA gør disse test lovpligtige for betydelige enheder mindst hvert tredje år.
Hvad skal en virksomhed prioritere først?
De fleste virksomheder bør starte med to ting: et fuldstændigt register over alle it-leverandører og deres aftaler samt et dokumenteret rammeværk for it-risikostyring med klart ledelsesansvar. Derfra kan man bygge hændelsesrapportering, kontraktopdateringer og testprogram ovenpå. Dokumentation er nøglen, fordi tilsynet skal kunne efterprøve efterlevelsen.
Hvordan påvirker DORA cloud-leverandører?
For første gang kan store it-leverandører, herunder cloud-udbydere, blive underlagt direkte EU-tilsyn, hvis de udpeges som kritiske. De skal samarbejde med en ledende tilsynsførende og kan pålægges tvangsbøder ved manglende efterlevelse. Samtidig stiller DORA krav til kontrakterne mellem finansvirksomheder og deres leverandører om audit, exit og dataplacering.
Relateret dækning
- NIS2 Danmark: 6.000 virksomheder, kun 16% klar [2026]
- Cyber Resilience Act: 15 mio. € i bøder [2026]
- Cybertrusler i Norden: 166 hændelser, AI driver 70% [2026]
- Ivanti zero-day: 50.000 ramt, CVSS 9,8 [2026]
- Datalæk: sådan opstår de, og sådan beskytter du dig
- Onlinesikkerhed: beskyt dine data, konti og forbindelser
Konklusion: DORA flytter ansvaret op
DORA er den mest gennemgribende ændring af finanssektorens it-regler i en generation. Forordningen flytter ansvaret for digital modstandsdygtighed op i bestyrelseslokalet, harmoniserer reglerne på tværs af EU og giver for første gang EU direkte greb om de store it-leverandører, som hele sektoren hviler på. For Danmark og Norden er udfordringen mindre at forstå formålet end at dokumentere efterlevelsen i praksis, men regionen starter med et forspring takket være års erfaring med TIBER og en stærk tilsynstradition. De næste to år vil afsløre, hvor hårdt tilsynene vælger at slå ned, og om reglerne reelt mindsker den koncentrationsrisiko, der bekymrer mest.
Kilder og videre læsning: forordning (EU) 2022/2554 på EUR-Lex, Finanstilsynet, ESMA om DORA, EIOPA om DORA og ENISA.
