DORA, eller Digital Operation Resilience Act, er EU sitt grep for å sikre at finansielle aktører og deres leverandører skal tåle digitale forstyrrelser. Det handler om operasjonell motstandsdyktighet.
DORA skal bidra til å standardisere sikkerhetsarbeidet og øke den generelle sikkerheten og motstandsdyktigheten finansinstitusjoner og deres leverandører trenger i et stadig mer utfordrende trussellandskap. Gevinsten er økt trygghet og tillit til den finansielle sektoren.
For virksomheter vil etterlevelse av DORA både være en mulighet til å styrke virksomhetens robusthet, gjøre virksomheten bedre forberedt til å håndtere reguleringer og trusler, samt utgjøre et konkurransefortrinn i markedet.
Overordnet er DORA delt inn i fem kjerneområder:
Risikostyring av IKT
Håndtering av hendelser
Testing av digital motstandskraft
Håndtering av tredjepartsrisiko
Informasjonsdeling
I Norge er DORA oversatt til Forordningen om Digital operasjonell motstandskraft.
Hvem gjelder DORA for?
DORA gjelder for en lang rekke finansielle aktører, i både EU og EØS. Dette gjelder blant annet:
Banker, betalings- og kredittforetak
Forsikringsselskaper
Investeringsforetak
Kryptotjenestetilbydere
Betalingsforetak
DORA gjelder imidlertid også for IKT-leverandører som tilbyr kritiske tjenester til disse aktørene. Oppsummert vil det si at norske virksomheter som opererer i EU også plikter å følge DORA.
Når gjelder DORA fra?
DORA trådte i kraft i EU 17.01.2025 og ble innlemmet i EØS-avtalen 20.02.2025.
Ifølge regjeringen tar Finansdepartementet sikte på å legge frem en proposisjon til Stortinget om innføring av DORA i Norge før sommeren 2025. En eksakt dato for når DORA vil tre i kraft i Norge er derfor ikke fastsatt enda.
Du kan lese mer om DORA i denne artikkelen: Hva er Dora?