DORA forklaret: indvirkning på softwareindkøb i den finansielle sektor
DORA træder i kraft den 17. januar 2025 og ændrer fundamentalt, hvordan finansielle organisationer køber og kontraherer software. Her er alt, hvad du behøver at vide om de fem søjler, kontraktmæssige krav og indvirkningen på leverandørstyring.
- 1. februar 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, Digital Operational Resilience Act, træder i kraft i alle EU-medlemsstater den 17. januar 2025. For finansielle organisationer og deres it-leverandører betyder det en grundlæggende ændring: digital robusthed er ikke længere blot et internt it-spørgsmål, men en reguleret forretningsforpligtelse med tilsyn og bøder.
Hvad er DORA?
DORA er en EU-forordning, ikke en direktiv, og dermed direkte gældende lovgivning, der regulerer den digitale operationelle robusthed i den finansielle sektor. Forordningen er en del af Digital Finance Package og gælder for 20 kategorier af finansielle enheder, fra banker og forsikringsselskaber til fintech-virksomheder og kryptotjenesteydere.
De fem søjler i DORA
DORA strukturerer sine krav omkring fem kerneområder:
It-risikostyring: En omfattende ramme for identifikation, klassificering og styring af it-risici
Incidentrapportering: Større it-hændelser skal rapporteres til tilsynsmyndigheder inden for stramme tidsfrister
Test af digital robusthed: Periodiske penetrationstests og robusthedsscenarier for kritiske systemer
Styring af tredjepartsrisici: Kontraktmæssige forpligtelser, leverandørregistre og analyse af koncentrationsrisiko
Informationudveksling: Proaktiv deling af trusselsinformation inden for sektoren
Hvad betyder DORA for softwareindkøb?
Den fjerde søjle, styring af tredjepartsrisici, har direkte betydning for, hvordan finansielle organisationer køber og kontraherer software:
Kontraktmæssige minimumskrav: Alle it-kontrakter skal indeholde klausuler om SLA, hændelsesrapportering, revisionsrettigheder, exit-plan, datalokalitet og kontinuitet
It-leverandørregister: Et opdateret og komplet register over alle it-leverandører er obligatorisk og skal være tilgængeligt for tilsynsmyndigheder
Koncentrationsrisiko: For stor afhængighed af én leverandør (fx én cloud-udbyder) skal vurderes og rapporteres
Underleverandører: Også dine leverandørers underleverandører er omfattet af DORA-scope
SoftVaro hjælper finansielle organisationer med at kortlægge deres softwarelandskab og gøre kontrakter DORA-kompatible.
Ofte stillede spørgsmål
De mest stillede spørgsmål om dette emne.
Hvem gælder DORA for?
DORA gælder for banker, forsikringsselskaber, investeringsinstitutter, betalingsinstitutioner, kryptotjenesteudbydere, pensionskasser og alle it-leverandører, der leverer kritiske tjenester til disse institutioner.
Gælder DORA også for min softwareleverandør?
Ja. Hvis du leverer software eller it-tjenester til en finansiel institution, som er omfattet af DORA, er du som it-leverandør forpligtet til at overholde de kontraktmæssige DORA-krav, som den finansielle institution stiller til dig. Kritiske it-leverandører kan også være omfattet af direkte EU-tilsyn.
Hvilke bøder er der ved manglende overholdelse af DORA?
Bøder kan løbe op til 2 % af den samlede globale årsomsætning. For kritiske it-leverandører, der er under direkte EU-tilsyn, gælder yderligere sanktioner.
Klar til at spare på software?
SoftVaro forhandler den bedste aftale for dig hos over 4.000 leverandører. Uafhængigt, gennemsigtigt, inden for 24 timer.