{"id":79,"date":"2026-06-14T04:37:24","date_gmt":"2026-06-14T04:37:24","guid":{"rendered":"https:\/\/shattered.io\/dk\/2026\/06\/14\/dora-finanssektor-2026\/"},"modified":"2026-06-14T04:38:55","modified_gmt":"2026-06-14T04:38:55","slug":"dora-finanssektor-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/dk\/2026\/06\/14\/dora-finanssektor-2026\/","title":{"rendered":"DORA i kraft: 1% dagb\u00f8de rammer finanssektoren [2026]"},"content":{"rendered":"\n

Den 17. januar 2025 blev hele den finansielle sektor i EU underlagt \u00e9t f\u00e6lles regels\u00e6t for digital modstandsdygtighed. DORA, Digital Operational Resilience Act, er nu i fuld anvendelse, og halvandet \u00e5r inde i h\u00e5ndh\u00e6velsen tegner der sig et klart billede af, hvad forordningen kr\u00e6ver af danske banker, forsikringsselskaber, pensionskasser og deres it-leverand\u00f8rer. For f\u00f8rste gang stiller EU bindende krav til, hvordan finansvirksomheder h\u00e5ndterer it-risici, rapporterer h\u00e6ndelser, tester deres systemer under angreb og styrer afh\u00e6ngigheden af store cloud-udbydere.<\/p>\n\n\n\n

Denne analyse gennemg\u00e5r, hvad DORA betyder for Danmark og Norden, hvordan Finanstilsynet h\u00e5ndh\u00e6ver reglerne, hvad det koster sektoren, og hvordan forordningen spiller sammen med NIS2<\/a> og den kommende Cyber Resilience Act<\/a>. Vi ser ogs\u00e5 p\u00e5 trusselsbilledet, der ligger bag reglerne, og giver fem konkrete forudsigelser for h\u00e5ndh\u00e6velsen i 2026 og 2027.<\/p>\n\n\n\n

Hvad er DORA, og hvorfor kommer reglerne nu?<\/h2>\n\n\n\n

DORA er den korte betegnelse for forordning (EU) 2022\/2554 om digital operationel modstandsdygtighed i den finansielle sektor. Europa-Parlamentet og R\u00e5det vedtog forordningen den 14. december 2022, og den tr\u00e5dte i kraft den 16. januar 2023. Efter en to\u00e5rig overgangsperiode har reglerne v\u00e6ret direkte g\u00e6ldende i alle medlemsstater siden den 17. januar 2025. Som forordning g\u00e6lder DORA umiddelbart i Danmark uden national gennemf\u00f8relse, modsat et direktiv.<\/p>\n\n\n\n

Baggrunden er enkel. Den finansielle sektor er blandt de mest digitaliserede dele af \u00f8konomien og samtidig et af de mest udsatte m\u00e5l for cyberkriminelle og statsst\u00f8ttede akt\u00f8rer. Inden DORA var reglerne for it-sikkerhed i finanssektoren spredt ud over en r\u00e6kke nationale og sektorspecifikke krav, der varierede fra land til land. Resultatet var huller og overlap. Forordningens artikel 1 fastsl\u00e5r form\u00e5let: at opn\u00e5 “et h\u00f8jt f\u00e6lles niveau af digital operationel modstandsdygtighed” p\u00e5 tv\u00e6rs af hele det indre marked for finansielle tjenester.<\/p>\n\n\n\n

Det nye er, at DORA flytter fokus fra ren kapital og likviditet til driftssikkerhed. En bank kan v\u00e6re velpolstret og alligevel bringes i kn\u00e6 af et nedbrud hos en cloud-leverand\u00f8r eller et ransomware-angreb. DORA behandler it-risiko som en selvst\u00e6ndig, systemisk risiko p\u00e5 linje med kredit- og markedsrisiko.<\/p>\n\n\n\n

Tidslinje: fra forslag til h\u00e5ndh\u00e6velse<\/h2>\n\n\n\n

DORA blev til over flere \u00e5r og fulgte op med en lang r\u00e6kke tekniske standarder, som de europ\u00e6iske tilsynsmyndigheder (EBA, EIOPA og ESMA, samlet kaldet ESA’erne) udarbejdede i 2023 og 2024. Disse standarder, kendt som RTS og ITS, pr\u00e6ciserer de overordnede krav i forordningen. De blev offentliggjort i to b\u00f8lger i 2024 og er afg\u00f8rende for, hvordan virksomhederne i praksis skal leve op til reglerne.<\/p>\n\n\n\n

Dato<\/th>Milep\u00e6l<\/th><\/tr><\/thead>
24. september 2020<\/td>Europa-Kommissionen frems\u00e6tter DORA-forslaget som del af digital finans-pakken<\/td><\/tr>
14. december 2022<\/td>Forordning (EU) 2022\/2554 vedtages af Parlamentet og R\u00e5det<\/td><\/tr>
16. januar 2023<\/td>DORA tr\u00e6der i kraft (f\u00f8lgedirektiv 2022\/2556 vedtages samtidig)<\/td><\/tr>
17. januar 2024<\/td>F\u00f8rste b\u00f8lge af tekniske standarder (RTS\/ITS) offentligg\u00f8res<\/td><\/tr>
17. juli 2024<\/td>Anden b\u00f8lge af tekniske standarder offentligg\u00f8res<\/td><\/tr>
17. januar 2025<\/td>DORA finder anvendelse i hele EU<\/td><\/tr>
2025 og frem<\/td>ESA’erne udpeger kritiske IKT-tredjepartsudbydere og opbygger tilsynsrammen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Den to\u00e5rige overgangsperiode var bevidst. Lovgiverne ville give sektoren tid til at oml\u00e6gge kontrakter, kortl\u00e6gge leverand\u00f8rer og opbygge testkapacitet. Alligevel viste flere brancheunders\u00f8gelser op til januar 2025, at en stor del af virksomhederne ikke var helt klar ved fristen. Det samme m\u00f8nster kender vi fra NIS2-implementeringen, hvor en betydelig andel af de omfattede danske virksomheder fortsat halter efter kravene.<\/p>\n\n\n\n

Hvem er omfattet af DORA?<\/h2>\n\n\n\n

DORA’s anvendelsesomr\u00e5de er bredt. Forordningen omfatter omkring 20 forskellige kategorier af finansielle enheder. Det d\u00e6kker pengeinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, udbydere af kryptoaktivtjenester, v\u00e6rdipapircentraler, centrale modparter, markedspladser, forsikrings- og genforsikringsselskaber, forsikringsformidlere, arbejdsmarkedsrelaterede pensionskasser, kreditvurderingsbureauer, administratorer af kritiske benchmarks og crowdfunding-tjenesteudbydere.<\/p>\n\n\n\n

Hertil kommer den gruppe, der g\u00f8r DORA virkelig vidtr\u00e6kkende: it-leverand\u00f8rerne. For f\u00f8rste gang kan udbydere af it-tjenester til finanssektoren, herunder de store cloud-platforme, blive underlagt direkte EU-tilsyn, hvis de udpeges som kritiske. If\u00f8lge Europa-Kommissionens egne vurderinger omfatter DORA ansl\u00e5et omkring 22.000 finansielle enheder og it-udbydere i EU. Tallet illustrerer omfanget: dette er ikke et nichekrav, men en gennemgribende regulering af et helt erhverv.<\/p>\n\n\n\n

Princippet om proportionalitet l\u00f8ber gennem hele forordningen. Sm\u00e5 og ikke-komplekse virksomheder skal leve op til en lempeligere udgave af kravene, mens systemisk vigtige institutter f\u00e5r de tungeste forpligtelser, blandt andet kravet om trusselsbaseret penetrationstest. En lille realkreditformidler og en stor systembank spiller dermed ikke efter helt de samme regler.<\/p>\n\n\n\n

DORA’s fem s\u00f8jler<\/h2>\n\n\n\n

DORA er bygget op om fem s\u00f8jler, der hver svarer til et kapitel i forordningen. Tilsammen d\u00e6kker de hele livscyklussen for digital risiko, fra forebyggelse over detektion og test til h\u00e5ndtering af leverand\u00f8rer og videndeling. Tabellen nedenfor giver overblikket.<\/p>\n\n\n\n

S\u00f8jle<\/th>Indhold<\/th>Artikler<\/th><\/tr><\/thead>
1. IKT-risikostyring<\/td>Rammev\u00e6rk, governance, ledelsesansvar, kortl\u00e6gning af aktiver og kontinuitetsplaner<\/td>Art. 5-16<\/td><\/tr>
2. H\u00e6ndelsesh\u00e5ndtering<\/td>Klassificering og rapportering af alvorlige it-h\u00e6ndelser til tilsynet<\/td>Art. 17-23<\/td><\/tr>
3. Modstandsdygtighedstest<\/td>L\u00f8bende test samt trusselsbaseret penetrationstest (TLPT) for betydelige enheder<\/td>Art. 24-27<\/td><\/tr>
4. Tredjepartsrisiko<\/td>Styring af it-leverand\u00f8rer og tilsynsramme for kritiske udbydere<\/td>Art. 28-44<\/td><\/tr>
5. Videndeling<\/td>Frivillig udveksling af trusselsefterretning mellem finansvirksomheder<\/td>Art. 45<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Det centrale skifte er, at ansvaret placeres \u00f8verst. DORA kr\u00e6ver eksplicit, at ledelsesorganet, alts\u00e5 bestyrelse og direktion, har det endelige ansvar for it-risikostyringen. It-sikkerhed kan ikke l\u00e6ngere delegeres ned i en teknisk afdeling og glemmes. Ledelsen skal godkende rammev\u00e6rket, afs\u00e6tte ressourcer og holde sig l\u00f8bende orienteret.<\/p>\n\n\n\n

S\u00f8jle 1 og 2: risikostyring og h\u00e6ndelsesrapportering<\/h2>\n\n\n\n

Et samlet rammev\u00e6rk for it-risiko<\/h3>\n\n\n\n

F\u00f8rste s\u00f8jle p\u00e5l\u00e6gger virksomhederne at opbygge et dokumenteret rammev\u00e6rk for it-risikostyring. Det omfatter kortl\u00e6gning af alle kritiske it-aktiver og afh\u00e6ngigheder, beskyttelsesforanstaltninger, mekanismer til hurtig detektion af unormal aktivitet, samt planer for forretningskontinuitet og genopretning. Virksomhederne skal kunne dokumentere, at de j\u00e6vnligt opdaterer og afpr\u00f8ver disse planer, ikke blot at de findes p\u00e5 papir.<\/p>\n\n\n\n

Pligt til at rapportere alvorlige h\u00e6ndelser<\/h3>\n\n\n\n

Anden s\u00f8jle indf\u00f8rer en harmoniseret pligt til at rapportere alvorlige it-relaterede h\u00e6ndelser til den kompetente myndighed, i Danmark Finanstilsynet. Rapporteringen sker i tre trin: en indledende anmeldelse, en mellemrapport og en endelig rapport med rod\u00e5rsagsanalyse. Forordningen fastl\u00e6gger f\u00e6lles kriterier for, hvorn\u00e5r en h\u00e6ndelse er alvorlig nok til at udl\u00f8se anmeldelsespligt, s\u00e5 t\u00e6rsklen er den samme p\u00e5 tv\u00e6rs af EU. Frivillig rapportering af betydelige cybertrusler er ogs\u00e5 mulig. Form\u00e5let er at give myndighederne et realtidsbillede af trusselsudviklingen i sektoren. Hvordan et brud reelt opst\u00e5r og spreder sig, kan du l\u00e6se mere om i vores gennemgang af datal\u00e6k<\/a>.<\/p>\n\n\n\n

S\u00f8jle 3: trusselsbaseret penetrationstest og TIBER-DK<\/h2>\n\n\n\n

Tredje s\u00f8jle er den mest tekniske. Alle omfattede virksomheder skal gennemf\u00f8re l\u00f8bende test af deres systemer, herunder s\u00e5rbarhedsscanninger og scenariebaserede test. De st\u00f8rste og mest systemisk vigtige enheder skal derudover gennemf\u00f8re trusselsbaseret penetrationstest, kendt som TLPT (Threat-Led Penetration Testing), mindst hvert tredje \u00e5r. Her simulerer specialiserede red teams realistiske angreb mod produktionssystemerne for at finde svaghederne, f\u00f8r de rigtige angribere g\u00f8r.<\/p>\n\n\n\n

TLPT-kravet bygger p\u00e5 TIBER-EU, en testramme udviklet af Den Europ\u00e6iske Centralbank. I Danmark findes den nationale variant TIBER-DK, som Danmarks Nationalbank driver. Den har siden 2019 ladet store danske finansvirksomheder gennemg\u00e5 efterretningsbaserede angrebssimuleringer. DORA l\u00f8fter denne praksis fra at v\u00e6re frivillig til at v\u00e6re lovpligtig for de betydelige enheder og knytter den sammen p\u00e5 tv\u00e6rs af EU, s\u00e5 test kan anerkendes p\u00e5 f\u00e6lles grundlag.<\/p>\n\n\n\n

For Norden betyder det, at den hjemlige erfaring med TIBER nu bliver en konkurrencefordel. Danske og nordiske institutter har et forspring, fordi de allerede kender metoden. Det er en sj\u00e6lden situation, hvor europ\u00e6isk regulering bygger videre p\u00e5 et nordisk udgangspunkt frem for omvendt.<\/p>\n\n\n\n

S\u00f8jle 4: styring af tredjepartsrisiko<\/h2>\n\n\n\n

Fjerde s\u00f8jle er den mest nyskabende og politisk omdiskuterede. Den finansielle sektor er dybt afh\u00e6ngig af et lille antal store it-leverand\u00f8rer, ikke mindst cloud-giganterne. Hvis en af dem rammes af et nedbrud, kan effekten ramme hundredvis af banker samtidig. Den koncentrationsrisiko fors\u00f8ger DORA at adressere.<\/p>\n\n\n\n

Konkret skal finansvirksomhederne f\u00f8re et register over alle deres aftaler med it-leverand\u00f8rer og indberette det til tilsynet. Kontrakter med leverand\u00f8rer af kritiske eller vigtige funktioner skal indeholde en r\u00e6kke obligatoriske vilk\u00e5r, blandt andet om adgang, audit, exit-strategier og dataplacering. En virksomhed skal kunne forlade en leverand\u00f8r uden at lamme sin drift, hvilket i praksis kr\u00e6ver gennemarbejdede exit-planer.<\/p>\n\n\n\n

Det mest radikale element er tilsynsrammen for kritiske it-tredjepartsudbydere. ESA’erne udpeger de udbydere, der vurderes systemisk kritiske for den europ\u00e6iske finanssektor, og hver af dem tildeles en ledende tilsynsf\u00f8rende blandt EBA, EIOPA og ESMA. Det er f\u00f8rste gang, EU f\u00f8rer direkte tilsyn med virksomheder, der ikke selv er finansielle, men som leverer rygraden under sektoren. De store amerikanske cloud-udbydere er de oplagte kandidater til at blive udpeget.<\/p>\n\n\n\n

Tilsyn og sanktioner: op til 1 procent i dagb\u00f8de<\/h2>\n\n\n\n

Et regels\u00e6t uden t\u00e6nder \u00e6ndrer ikke adf\u00e6rd. DORA giver tilsynsmyndighederne reelle sanktionsmuligheder. For de udpegede kritiske it-udbydere har den ledende tilsynsf\u00f8rende efter artikel 35 mulighed for at p\u00e5l\u00e6gge tvangsb\u00f8der for at fremtvinge efterlevelse. Disse b\u00f8der kan udg\u00f8re op til 1 procent af udbyderens gennemsnitlige daglige globale oms\u00e6tning i det foreg\u00e5ende regnskabs\u00e5r og kan p\u00e5l\u00e6gges dagligt i op til seks m\u00e5neder. For en global cloud-leverand\u00f8r med milliardoms\u00e6tning er det et bel\u00f8b, der m\u00e6rkes.<\/p>\n\n\n\n

For de finansielle enheder selv overlader DORA fasts\u00e6ttelsen af administrative sanktioner til medlemsstaterne. Det betyder, at Finanstilsynet i Danmark anvender de nationale sanktionsbef\u00f8jelser, herunder p\u00e5bud, p\u00e5taler og b\u00f8der, mod virksomheder, der ikke lever op til kravene. Forordningen kr\u00e6ver, at sanktionerne er effektive, forholdsm\u00e6ssige og afskr\u00e6kkende. Tilsynet kan ogs\u00e5 offentligg\u00f8re afg\u00f8relser med navns n\u00e6vnelse, hvilket i sig selv virker disciplinerende i en branche, hvor tillid er valuta.<\/p>\n\n\n\n

DORA i Danmark: Finanstilsynets rolle<\/h2>\n\n\n\n

I Danmark er Finanstilsynet den kompetente myndighed for DORA. Tilsynet f\u00f8rer kontrol med, at de omfattede virksomheder lever op til kravene, modtager h\u00e6ndelsesrapporter og koordinerer med ESA’erne om tilsynet med de kritiske it-udbydere. Finanstilsynet har gennem 2024 og 2025 udsendt vejledning og indarbejdet DORA i sin l\u00f8bende inspektionsvirksomhed.<\/p>\n\n\n\n

Sammenspillet med Danmarks Nationalbank er centralt p\u00e5 testomr\u00e5det, hvor Nationalbanken via TIBER-DK leverer den praktiske ramme for de trusselsbaserede test. Denne arbejdsdeling, hvor Finanstilsynet f\u00f8rer det formelle tilsyn og Nationalbanken bidrager med testekspertise, er karakteristisk for den danske model og giver et t\u00e6t samarbejde mellem to st\u00e6rke institutioner.<\/p>\n\n\n\n

For danske virksomheder er den praktiske udfordring sj\u00e6ldent at forst\u00e5 hensigten med DORA, men at dokumentere efterlevelsen. Registeret over it-aftaler, de kontraktuelle vilk\u00e5r og h\u00e6ndelsesrapporteringen kr\u00e6ver et administrativt apparat, som mange mindre akt\u00f8rer ikke havde f\u00f8r. Det er her, de fleste ressourcer g\u00e5r hen.<\/p>\n\n\n\n

Norden i sammenligning<\/h2>\n\n\n\n

DORA g\u00e6lder ens i hele EU, men h\u00e5ndh\u00e6ves nationalt. Det betyder, at hvert land har sin egen kompetente myndighed og sin egen tilsynstradition. For Norden er billedet sammensat, fordi Norge og Island er med via E\u00d8S-aftalen og dermed indf\u00f8rer reglerne lidt forskudt i tid i forhold til EU-medlemmerne. Tabellen nedenfor viser de ansvarlige myndigheder og antallet af registrerede cyberh\u00e6ndelser i 2025 if\u00f8lge DNV’s nordiske rapport for 2026.<\/p>\n\n\n\n

Land<\/th>Kompetent finanstilsyn<\/th>EU\/E\u00d8S<\/th>Cyberh\u00e6ndelser 2025 (DNV)<\/th><\/tr><\/thead>
Danmark<\/td>Finanstilsynet<\/td>EU<\/td>41<\/td><\/tr>
Sverige<\/td>Finansinspektionen<\/td>EU<\/td>60<\/td><\/tr>
Finland<\/td>Finanssivalvonta (FIN-FSA)<\/td>EU<\/td>44<\/td><\/tr>
Norge<\/td>Finanstilsynet (Norge)<\/td>E\u00d8S<\/td>21<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tallene fra DNV viser, at Sverige registrerede flest h\u00e6ndelser i 2025, mens Norge l\u00e5 lavest. Forskellene afspejler b\u00e5de markedernes st\u00f8rrelse og rapporteringskulturen. Med DORA’s harmoniserede t\u00e6rskler for, hvorn\u00e5r en h\u00e6ndelse skal anmeldes, kan disse tal blive lettere at sammenligne p\u00e5 tv\u00e6rs af landene fremover. Det f\u00e6lles nordiske trusselsbillede er behandlet n\u00e6rmere i vores oversigt over cybertrusler i Norden<\/a>.<\/p>\n\n\n\n

Markedsp\u00e5virkning: hvad koster DORA sektoren?<\/h2>\n\n\n\n

DORA er dyr at efterleve, s\u00e6rligt i opstartsfasen. De st\u00f8rste udgiftsposter er ny dokumentation, opdatering af kontrakter med it-leverand\u00f8rer, opbygning af testkapacitet og ans\u00e6ttelse eller indk\u00f8b af compliance- og sikkerhedskompetencer. For store institutter l\u00f8ber regningen op i betydelige millionbel\u00f8b, mens mindre virksomheder k\u00e6mper med, at de relative omkostninger pr. medarbejder er h\u00f8jere.<\/p>\n\n\n\n

Markedet har reageret p\u00e5 flere m\u00e5der. For det f\u00f8rste er der vokset et helt marked for DORA-r\u00e5dgivning og -v\u00e6rkt\u00f8jer frem, fra advokater til specialiserede softwareplatforme, der automatiserer registeret over it-aftaler. For det andet presser kravet om exit-planer og dataplacering nogle virksomheder til at genoverveje deres cloud-strategi, hvilket gavner europ\u00e6iske udbydere, der kan tilbyde dataophold i EU. For det tredje stiger eftersp\u00f8rgslen efter cyberforsikring, samtidig med at forsikringsselskaberne strammer betingelserne og kr\u00e6ver dokumenteret modstandsdygtighed.<\/p>\n\n\n\n

Den langsigtede gevinst skal findes i f\u00e6rre og mindre alvorlige nedbrud. Et enkelt stort it-svigt eller l\u00f8sesumsangreb kan koste langt mere end den l\u00f8bende efterlevelse. Set s\u00e5dan er DORA en forsikringspr\u00e6mie mod systemiske driftsforstyrrelser, og prisen skal holdes op mod den risiko, den reducerer.<\/p>\n\n\n\n

Trusselsbilledet bag reglerne<\/h2>\n\n\n\n

DORA opstod ikke i et vakuum. Det europ\u00e6iske trusselsbillede har i flere \u00e5r peget i \u00e9n retning: flere angreb, hurtigere angreb og mere geopolitik. ENISA, EU’s agentur for cybersikkerhed, har i sine trusselslandskabsrapporter fremh\u00e6vet angreb mod tilg\u00e6ngelighed (DDoS) og ransomware som de mest fremtr\u00e6dende trusselstyper og peger p\u00e5, at geopolitik er en st\u00e6rk drivkraft bag den ondsindede aktivitet. Offentlige forvaltninger og kritisk infrastruktur er i stigende grad m\u00e5l for hacktivister, der oftest bruger DDoS.<\/p>\n\n\n\n

Finanssektoren er et oplagt m\u00e5l, fordi den forvalter penge og data og er samfundskritisk. Et angreb beh\u00f8ver ikke at stj\u00e6le noget for at g\u00f8re skade. Et nedbrud i betalingssystemer eller netbank skaber uro og underminerer tilliden. Det er netop denne form for driftsforstyrrelse, DORA er designet til at modst\u00e5. World Economic Forums Global Cybersecurity Outlook 2026 understreger, at 94 procent af de adspurgte forventer, at kunstig intelligens bliver den mest betydningsfulde drivkraft for forandring i cybersikkerhed i det kommende \u00e5r, og at AI-relaterede s\u00e5rbarheder var den hurtigst voksende cyberrisiko i 2025 if\u00f8lge 87 procent af respondenterne.<\/p>\n\n\n\n

De seneste \u00e5rs h\u00e6ndelser i og omkring Norden, fra zero-day-s\u00e5rbarheder i meget udbredt software til hacktivistiske kampagner, viser, hvor hurtigt en enkelt svaghed kan eskalere. Forl\u00f8bet omkring den seneste store s\u00e5rbarhed er beskrevet i vores artikel om Ivantis zero-day<\/a>, der ramte tusindvis af organisationer i Europa.<\/p>\n\n\n\n

DORA vs. NIS2 og Cyber Resilience Act<\/h2>\n\n\n\n

DORA st\u00e5r ikke alene. Den er en del af en bredere europ\u00e6isk lovgivningsb\u00f8lge om cybersikkerhed, og det er vigtigt at forst\u00e5 arbejdsdelingen mellem reglerne. NIS2-direktivet er den horisontale ramme, der d\u00e6kker mange sektorer p\u00e5 tv\u00e6rs af samfundet, fra energi og transport til sundhed og digital infrastruktur. DORA er derimod sektorspecifik og g\u00e6lder finanssektoren. Hvor de to overlapper, har DORA forrang som lex specialis, s\u00e5 finansvirksomheder prim\u00e6rt reguleres af DORA p\u00e5 it-omr\u00e5det.<\/p>\n\n\n\n

Cyber Resilience Act adresserer en tredje dimension: sikkerheden i selve produkterne. Hvor DORA regulerer, hvordan finansvirksomheder driver deres it, stiller Cyber Resilience Act krav til producenter af digitale produkter om indbygget sikkerhed gennem hele produktets levetid. Tilsammen d\u00e6kker de tre regels\u00e6t henholdsvis sektorer, finansiel drift og produkter.<\/p>\n\n\n\n

For en dansk finansvirksomhed betyder det, at man skal navigere i flere regels\u00e6t p\u00e5 \u00e9n gang. Heldigvis er der betydeligt overlap i de underliggende krav om risikostyring, h\u00e6ndelsesrapportering og leverand\u00f8rstyring, s\u00e5 en god governance-struktur kan tjene flere form\u00e5l. Pointen er, at compliance b\u00f8r t\u00e6nkes samlet frem for i siloer.<\/p>\n\n\n\n

Fem forudsigelser for DORA-h\u00e5ndh\u00e6velsen 2026-2027<\/h2>\n\n\n\n

Halvandet \u00e5r inde i anvendelsen kan vi pege p\u00e5 fem sandsynlige udviklinger i de kommende to \u00e5r.<\/p>\n\n\n\n

  1. De f\u00f8rste kritiske it-udbydere udpeges formelt.<\/strong> ESA’erne vil gennemf\u00f8re udpegningen af kritiske it-tredjepartsudbydere, og de store cloud-platforme vil med stor sandsynlighed v\u00e6re blandt dem. Det indleder en ny \u00e6ra med direkte EU-tilsyn med teknologivirksomheder.<\/li>
  2. H\u00e5ndh\u00e6velsen sk\u00e6rpes fra vejledning til sanktion.<\/strong> Det f\u00f8rste \u00e5r handlede meget om at f\u00e5 virksomhederne p\u00e5 plads. Fremover vil tilsynene i h\u00f8jere grad reagere p\u00e5 mangler med p\u00e5bud og offentliggjorte afg\u00f8relser, efterh\u00e5nden som t\u00e5lmodigheden med eftersl\u00e6b svinder.<\/li>
  3. Tredjepartsrisiko bliver det dyreste omr\u00e5de.<\/strong> Kontraktforhandlinger, exit-planer og registret over it-aftaler vil fortsat l\u00e6gge beslag p\u00e5 flest ressourcer, og koncentrationsrisikoen om f\u00e5 cloud-udbydere forbliver et ul\u00f8st strukturelt problem.<\/li>
  4. TLPT bliver en nordisk styrkeposition.<\/strong> Med erfaringen fra TIBER-DK og de \u00f8vrige nordiske TIBER-programmer vil regionens institutter v\u00e6re blandt de bedst forberedte p\u00e5 de trusselsbaserede test, og testkapaciteten bliver en eksportvare.<\/li>
  5. Konsolidering blandt leverand\u00f8rer.<\/strong> De sk\u00e6rpede krav favoriserer store, modne it-leverand\u00f8rer, der kan dokumentere efterlevelse. Mindre udbydere risikerer at blive valgt fra, hvilket paradoksalt nok kan \u00f8ge den koncentration, DORA ville mindske.<\/li><\/ol>\n\n\n\n

    Ofte stillede sp\u00f8rgsm\u00e5l om DORA<\/h2>\n\n\n\n

    Hvorn\u00e5r tr\u00e5dte DORA i kraft?<\/h3>\n\n\n\n

    DORA tr\u00e5dte i kraft den 16. januar 2023 og har fundet anvendelse i hele EU siden den 17. januar 2025 efter en to\u00e5rig overgangsperiode. Det er fra januar 2025, at de fulde krav g\u00e6lder, og at tilsynene kan h\u00e5ndh\u00e6ve dem.<\/p>\n\n\n\n

    G\u00e6lder DORA for danske virksomheder?<\/h3>\n\n\n\n

    Ja. DORA er en EU-forordning og g\u00e6lder direkte i Danmark uden national gennemf\u00f8relse. Den omfatter stort set hele den finansielle sektor, fra banker og forsikringsselskaber til pensionskasser, betalingsinstitutter og udbydere af kryptoaktivtjenester. Finanstilsynet er den danske kompetente myndighed.<\/p>\n\n\n\n

    Hvad er forskellen p\u00e5 DORA og NIS2?<\/h3>\n\n\n\n

    NIS2 er en horisontal regulering, der d\u00e6kker mange sektorer, mens DORA er specifik for finanssektoren. Hvor de overlapper, har DORA forrang for finansvirksomheder. I praksis betyder det, at en bank prim\u00e6rt f\u00f8lger DORA p\u00e5 it-sikkerhedsomr\u00e5det, mens en energivirksomhed f\u00f8lger NIS2.<\/p>\n\n\n\n

    Hvor store kan b\u00f8derne v\u00e6re?<\/h3>\n\n\n\n

    For udpegede kritiske it-tredjepartsudbydere kan den ledende tilsynsf\u00f8rende p\u00e5l\u00e6gge tvangsb\u00f8der p\u00e5 op til 1 procent af udbyderens gennemsnitlige daglige globale oms\u00e6tning, dagligt i op til seks m\u00e5neder. For de finansielle enheder fasts\u00e6ttes de administrative sanktioner nationalt, i Danmark af Finanstilsynet, og skal v\u00e6re effektive, forholdsm\u00e6ssige og afskr\u00e6kkende.<\/p>\n\n\n\n

    Hvad er TLPT og TIBER-DK?<\/h3>\n\n\n\n

    TLPT st\u00e5r for Threat-Led Penetration Testing, alts\u00e5 trusselsbaseret penetrationstest, hvor red teams simulerer realistiske angreb mod produktionssystemer. TIBER-DK er den danske ramme for s\u00e5danne test, drevet af Danmarks Nationalbank og baseret p\u00e5 det europ\u00e6iske TIBER-EU-koncept. DORA g\u00f8r disse test lovpligtige for betydelige enheder mindst hvert tredje \u00e5r.<\/p>\n\n\n\n

    Hvad skal en virksomhed prioritere f\u00f8rst?<\/h3>\n\n\n\n

    De fleste virksomheder b\u00f8r starte med to ting: et fuldst\u00e6ndigt register over alle it-leverand\u00f8rer og deres aftaler samt et dokumenteret rammev\u00e6rk for it-risikostyring med klart ledelsesansvar. Derfra kan man bygge h\u00e6ndelsesrapportering, kontraktopdateringer og testprogram ovenp\u00e5. Dokumentation er n\u00f8glen, fordi tilsynet skal kunne efterpr\u00f8ve efterlevelsen.<\/p>\n\n\n\n

    Hvordan p\u00e5virker DORA cloud-leverand\u00f8rer?<\/h3>\n\n\n\n

    For f\u00f8rste gang kan store it-leverand\u00f8rer, herunder cloud-udbydere, blive underlagt direkte EU-tilsyn, hvis de udpeges som kritiske. De skal samarbejde med en ledende tilsynsf\u00f8rende og kan p\u00e5l\u00e6gges tvangsb\u00f8der ved manglende efterlevelse. Samtidig stiller DORA krav til kontrakterne mellem finansvirksomheder og deres leverand\u00f8rer om audit, exit og dataplacering.<\/p>\n\n\n\n

    Relateret d\u00e6kning<\/h3>\n\n\n\n