DORA forklaret: konsekvenser for softwareindkøb i den finansielle sektor
DORA træder i kraft den 17. januar 2025 og ændrer fundamentalt, hvordan finansielle organisationer køber og kontraktligt sikrer software. Her er alt, hvad du skal vide om de fem søjler, kontraktkravene og konsekvenserne for leverandørstyring.
- 1. februar 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, Digital Operational Resilience Act, træder i kraft den 17. januar 2025 i alle EU-lande. For finansielle organisationer og deres it-leverandører ændres noget grundlæggende: digital robusthed er ikke længere kun et internt it-spørgsmål, men en reguleret forretningsforpligtelse med tilsyn og bøder.
Hvad er DORA?
DORA er en EU-forordning, ikke et direktiv, men direkte gældende lovgivning, der regulerer den digitale operationelle robusthed i den finansielle sektor. Forordningen hører under Digital Finance Package og gælder for 20 kategorier finansielle enheder, fra banker og forsikringsselskaber til fintechs og kryptoleverandører.
De fem søjler i DORA
DORA strukturerer sine krav omkring fem kerneområder:
It-risikostyring: Et omfattende rammeværk til identifikation, klassifikation og kontrol af IT-risici
Hændelsesrapportering: Større IT-hændelser skal rapporteres inden for stramme tidsfrister til tilsynsmyndighederne
Test af digital robusthed: Periodiske penetrationstests og robusthedsscenarier for kritiske systemer
Styring af tredjepartsrisici: Kontraktmæssige forpligtelser, leverandørregistre og analyse af koncentrationsrisiko
Informationsudveksling: Proaktiv deling af trusselsinformation inden for sektoren
Hvad betyder DORA for softwareindkøb?
Den fjerde søjle, styring af tredjepartsrisici, har direkte indflydelse på, hvordan finansielle organisationer køber og kontraktligt sikrer software:
Minimumskrav i kontrakter: Hver IT-kontrakt skal indeholde klausuler om SLA, hændelsesmelding, auditrettigheder, exitplan, datalokation og kontinuitet
It-leverandørregister: Et opdateret og komplet register over alle it-leverandører er obligatorisk og skal være tilgængeligt for tilsynsmyndigheder
Koncentrationsrisiko: For stor afhængighed af én leverandør (f.eks. en enkelt cloududbyder) skal evalueres og rapporteres
Underleverandører: Også underleverandører til dine leverandører falder ind under DORA’s scope
SoftVaro hjælper finansielle organisationer med at kortlægge deres softwarelandskab og sikre, at kontrakter er DORA-kompatible.
Ofte stillede spørgsmål
De mest stillede spørgsmål om dette emne.
Hvem gælder DORA for?
DORA gælder for banker, forsikringsselskaber, investeringsinstitutter, betalingsinstitutioner, kryptotjenesteudbydere, pensionsfonde samt alle it-leverandører, der leverer kritiske tjenester til disse institutioner.
Gælder DORA også for min softwareleverandør?
Ja. Hvis du leverer software eller it-tjenester til en finansiel institution, der er omfattet af DORA, er du som it-leverandør forpligtet til at opfylde de kontraktmæssige DORA-krav, som den finansielle institution stiller til dig. Kritiske it-leverandører kan også være under direkte EU-tilsyn.
Hvad er bøderne ved manglende overholdelse af DORA?
Bøder kan løbe op til 2 % af den samlede globale årsomsetning. For kritiske it-leverandører, der er under direkte EU-tilsyn, gælder yderligere sanktioner.
Klar til at spare på software?
SoftVaro forhandler den bedste pris på dine vegne hos 4.000+ leverandører. Uafhængigt, gennemsigtigt, inden for 24 timer.