Menu luk

Finanstilsynet gør klar til de første DORA-tilsyn

Finanstilsynet vil snart tage på de første inspektioner for at vurdere, hvordan finansielle virksomheder har efterlever de nye krav i DORA-forordningen.

17. mar. 2025
6 min

Nu begynder det for alvor. Finanstilsynet er ved at gøre klar til de første inspektioner under Digital Operational Resilience Act (DORA), som trådte i kraft 17. januar i år.

De finansielle virksomheder, hvor et brud på den digitale sikkerhed kan få de største konsekvenser - de såkaldt systemisk vigtige finansielle institutioner - bliver de første til at komme under lup.

Det vil kunne omfatte de største banker, datacentraler eller andre kritiske finansielle institutioner. Men alle finansielle virksomheder og en række forskellige virksomhedstyper er som udgangspunkt omfattet af DORA.

”Nu skal vi se, hvordan reglerne efterleves i praksis," siger Finanstilsynets kontorchef for it-tilsyn," Adam Al-Saffar.

Han fortæller, at da nogle elementer af DORA stadig er meget nyt, er fokus til at begynde med, om virksomhederne som minimum har forholdt sig til reglerne, og om de har identificeret områder, hvor de skal forbedre sig. 

"Det er et nyt regelsæt, og dele er kommet sent i processen. Men der er også proportionalitet i reglerne - kravene afhænger af virksomhedens størrelse og kompleksitet. Det afgørende er, at man har taget stilling."

Risikobaseret tilgang

Adam Al-Saffar henviser desuden til, at de virksomheder, der har været vant til at arbejde med ledelsesbekendtgørelsens regler om it-sikkerhed har et godt udgangspunkt for arbejdet med DORA. 

Mens Finanstilsynet begynder med nogle af de systemisk vigtige virksomheder, er der endnu ikke truffet beslutning om, hvem der derefter vil få besøg af Finanstilsynet. Men det er næste fase i det overordnede tilsynsarbejde med DORA, siger han.

”Vi er i gang med at planlægge, hvordan vi går til det her. Næste step er at sætte gang i inspektioner. Vi følger vores normale inspektionsplanlægning, der tager udgangspunkt i en risikobaseret tilgang.”

(Artiklen fortsætter efter boksen)
Foto: Finanstilsynet.

Nye krav, nye inspektioner

Med DORA indfører EU skærpede krav til finansielle virksomheders It-risikostyring, hændelsesrapportering og tredjepartsstyring.

De nye regler betyder blandt andet, at virksomheder skal kunne dokumentere deres digitale modstandsdygtighed, og at it-sikkerhed nu i højere grad er et ledelsesansvar.

Det er kun blevet mere aktuelt i den geopolitiske situation, Europa står i.  
“Vi ser en stigning i både trusselsbilledet og finanssektorens afhængighed af it. Uden it, ingen bank. Jo større risikoen er, desto vigtigere er det, at det prioriteres på ledelsesniveau. DORA er med til at sikre, at cybersikkerhed får den nødvendige opmærksomhed,” siger Adam Al-Saffar.

En af de større ændringer med DORA er en ensartet hændelsesrapportering, hvor alle finansielle virksomheder nu skal indrapportere it-hændelser – fx hackerangreb eller et nedbrud - i et fælles format.

Det skal gøre det lettere at analysere cybertrusler på tværs af EU og på sigt bruges proaktivt i det digitale forsvar.

“Med den nye hændelsesrapportering får vi et cockpit over, hvad der sker i hele sektoren – hvilke trusler virksomhederne står over for, og hvordan vi bedst kan reagere.”

En stor opgave for finanssektoren

Med DORA har EU sendt betydeligt flere compliance-opgaver ud i sektoren. 

Ifølge en analyse fra McKinsey fra 2024 havde førende finansielle institutioner og it-serviceleverandører i EU brugt mellem 5 og 15 millioner euro på deres DORA-programmer – og de fulde implementeringsomkostninger blev vurderet til at kunne ende med at blive op til 10 gange højere.

Dengang lød det, at 40 procent af de adspurgte virksomheder havde allokeret mere end syv fuldtidsansatte til at arbejde med DORA, og en større finansiel institution anslog dengang, at det kunne koste næsten 100 millioner euro at efterleve alle DORA-kravene fuldt ud.

Flere har desuden meldt, at de har været i tvivl om, hvorvidt de kunne nå at leve op til kravene inden startskuddet i januar 2025.

Adam Al-Saffar erkender, at dele af DORA er komplekse.

“Det er en stor opgave. Reglerne er skrevet i et forordningssprog, som ikke altid er helt tydeligt, og der er stadig fortolkninger, der udestår," siger han og fortsætter: 

"Tidligere kunne vi fastsætte fortolkning af de nationale regler – nu ligger fortolkningen centralt hos EU, men vi vil naturligvis arbejde for, at reglerne i praksis skal fungere godt i Danmark."

Hvad er DORA?

DORA (Digital Operational Resilience Act) er en EU-forordning, der skal harmonisere kravene til it-sikkerhed i den finansielle sektor.

Formålet er at sikre en fælles og høj standard for digital modstandsdygtighed i alle EU-lande.
DORA trådte i kraft 16. januar 2023 og finder anvendelse fra 17. januar 2025.

Reglerne omfatter bl.a. cyberrisikostyring, hændelsesrapportering og tredjepartsstyring.

Register of Information (ROI): En udfordring for mange

Det er især den meget omdiskuterede del af DORA, Register of Information (ROI),  der har givet udfordringer.

Den stiller krav om, at virksomhederne inden 31. marts skal have indrapporteret omfattende data om deres outsourcing-aftaler.

Det har affødt en hel del spørgsmål, for det er ikke bare er en videreførelse af tidligere regler. Det er en helt ny måde at rapportere på og en langt mere detaljeret registrering, som mange har skullet finde hoved og hale i.

“Vi har besvaret, hvad vi kunne, men meget har også været nødt til at blive afklaret på EU-niveau for at sikre en ensartet fortolkning,” siger Adam Al-Saffar.

Spørgsmålene har blandt andet handletom, hvordan de nye krav egentlig skal tolkes, og hvordan data skal struktureres. 

"Et godt værktøj"

Men de danske virksomheder, der er underlagt DORA, skal nu inden 31. marts have uploadet data om deres outsourcing-aftaler, blandt andet detaljerede oplysninger om leverandører og kontraktlige forhold, til Finanstilsynet.

Finanstilsynet skal så sende register-oplysningerne videre til EU’s tilsynsmyndigheder (ESA), som vil udpege kritiske leverandører på EU-plan og overvåge dem.

Det skal samlet lede til, at vi både i Danmark og på EU-plan får et billede af, hvilke leverandører, som de finansielle virksomheder er afhængige af, og som fx skal overvåges. Der er derfor en mening med den komplekse rapportering, siger kontorchefen.

"Det er målet, at det bliver et værktøj, der vil kunne styrke forståelsen for den enkelte og i sektoren,” siger han.

"Det her giver os et overblik over leverandørlandskabet – ikke kun i Danmark, men i hele EU. Vi kan se, hvilke leverandører der er kritiske, og hvordan de påvirker finansielle virksomheder på tværs af lande."

"Datacentralerne løfter en stor del af arbejdet, men det fritager ikke de mindre banker for ansvar."
- Finanstilsynets kontorchef for it-tilsyn, Adam Al-Saffar.

Datacentralerne spiller en nøglerolle

Selvom de store banker og datacentraler har flere ressourcer til at håndtere de nye omfattende compliance-opgaver, henviser Adam Al-Saffar til, at der er et proportionalitetsprincip i den nye EU-lovgivning.

Det betyder, at kravene i et vist omfang også tilpasses den enkelte virksomheds størrelse, risikoprofil og kompleksitet.

Desuden vil mange af de mindre banker og pengeinstitutter kunne læne sig op ad datacentralerne, siger han.

"Datacentralerne løfter en stor del af arbejdet, men det fritager ikke de mindre banker for ansvar. De skal stadig have styr på deres governance og it-risikostyring. Vi vil gerne se, at de mindre banker tager aktiv stilling til deres it-sikkerhed, også selvom de outsourcer meget af deres drift.”

Inspektioner på vej

Tilsynet med DORA er også en ny opgave, som Finanstilsynet nu skal i gang med. Adam Al-Saffar pointerer, at tilsynet vil lægge vægt på, at hver virksomhed har vurderet sin egen risikoprofil og indrettet sig derefter.

"Vi forventer, at virksomhederne kan dokumentere, hvordan de har tænkt deres it-risici igennem – og ikke bare kopieret en standardløsning," uddyber han.

Finanstilsynet har endnu ikke sat datoer på de første DORA-inspektioner, men processen vil følge en risikobaseret tilgang, hvor de mest kritiske aktører altså bliver undersøgt først.

"Vi modtager allerede løbende indberetninger fra virksomhederne om hændelser og outsourcing. De data bruger vi i vores risikovurdering af, hvor vi skal sætte ind," forklarer han.

Tilsynene vil sandsynligvis munde ud i redegørelser med eventuelle påbud til virksomhederne.

Seneste nyt