Finanstilsynet gør klar til de første DORA-tilsyn
Finanstilsynet vil snart tage på de første inspektioner for at vurdere, hvordan finansielle virksomheder har efterlever de nye krav i DORA-forordningen.

Nye krav, nye inspektioner
Med DORA indfører EU skærpede krav til finansielle virksomheders It-risikostyring, hændelsesrapportering og tredjepartsstyring.
De nye regler betyder blandt andet, at virksomheder skal kunne dokumentere deres digitale modstandsdygtighed, og at it-sikkerhed nu i højere grad er et ledelsesansvar.
Det er kun blevet mere aktuelt i den geopolitiske situation, Europa står i.
“Vi ser en stigning i både trusselsbilledet og finanssektorens afhængighed af it. Uden it, ingen bank. Jo større risikoen er, desto vigtigere er det, at det prioriteres på ledelsesniveau. DORA er med til at sikre, at cybersikkerhed får den nødvendige opmærksomhed,” siger Adam Al-Saffar.
En af de større ændringer med DORA er en ensartet hændelsesrapportering, hvor alle finansielle virksomheder nu skal indrapportere it-hændelser – fx hackerangreb eller et nedbrud - i et fælles format.
Det skal gøre det lettere at analysere cybertrusler på tværs af EU og på sigt bruges proaktivt i det digitale forsvar.
“Med den nye hændelsesrapportering får vi et cockpit over, hvad der sker i hele sektoren – hvilke trusler virksomhederne står over for, og hvordan vi bedst kan reagere.”
En stor opgave for finanssektoren
Med DORA har EU sendt betydeligt flere compliance-opgaver ud i sektoren.
Ifølge en analyse fra McKinsey fra 2024 havde førende finansielle institutioner og it-serviceleverandører i EU brugt mellem 5 og 15 millioner euro på deres DORA-programmer – og de fulde implementeringsomkostninger blev vurderet til at kunne ende med at blive op til 10 gange højere.
Dengang lød det, at 40 procent af de adspurgte virksomheder havde allokeret mere end syv fuldtidsansatte til at arbejde med DORA, og en større finansiel institution anslog dengang, at det kunne koste næsten 100 millioner euro at efterleve alle DORA-kravene fuldt ud.
Flere har desuden meldt, at de har været i tvivl om, hvorvidt de kunne nå at leve op til kravene inden startskuddet i januar 2025.
Adam Al-Saffar erkender, at dele af DORA er komplekse.
“Det er en stor opgave. Reglerne er skrevet i et forordningssprog, som ikke altid er helt tydeligt, og der er stadig fortolkninger, der udestår," siger han og fortsætter:
"Tidligere kunne vi fastsætte fortolkning af de nationale regler – nu ligger fortolkningen centralt hos EU, men vi vil naturligvis arbejde for, at reglerne i praksis skal fungere godt i Danmark."
Hvad er DORA?
DORA (Digital Operational Resilience Act) er en EU-forordning, der skal harmonisere kravene til it-sikkerhed i den finansielle sektor.
Formålet er at sikre en fælles og høj standard for digital modstandsdygtighed i alle EU-lande.
DORA trådte i kraft 16. januar 2023 og finder anvendelse fra 17. januar 2025.
Reglerne omfatter bl.a. cyberrisikostyring, hændelsesrapportering og tredjepartsstyring.
Register of Information (ROI): En udfordring for mange
Det er især den meget omdiskuterede del af DORA, Register of Information (ROI), der har givet udfordringer.
Den stiller krav om, at virksomhederne inden 31. marts skal have indrapporteret omfattende data om deres outsourcing-aftaler.
Det har affødt en hel del spørgsmål, for det er ikke bare er en videreførelse af tidligere regler. Det er en helt ny måde at rapportere på og en langt mere detaljeret registrering, som mange har skullet finde hoved og hale i.
“Vi har besvaret, hvad vi kunne, men meget har også været nødt til at blive afklaret på EU-niveau for at sikre en ensartet fortolkning,” siger Adam Al-Saffar.
Spørgsmålene har blandt andet handletom, hvordan de nye krav egentlig skal tolkes, og hvordan data skal struktureres.
"Et godt værktøj"
Men de danske virksomheder, der er underlagt DORA, skal nu inden 31. marts have uploadet data om deres outsourcing-aftaler, blandt andet detaljerede oplysninger om leverandører og kontraktlige forhold, til Finanstilsynet.
Finanstilsynet skal så sende register-oplysningerne videre til EU’s tilsynsmyndigheder (ESA), som vil udpege kritiske leverandører på EU-plan og overvåge dem.
Det skal samlet lede til, at vi både i Danmark og på EU-plan får et billede af, hvilke leverandører, som de finansielle virksomheder er afhængige af, og som fx skal overvåges. Der er derfor en mening med den komplekse rapportering, siger kontorchefen.
"Det er målet, at det bliver et værktøj, der vil kunne styrke forståelsen for den enkelte og i sektoren,” siger han.
"Det her giver os et overblik over leverandørlandskabet – ikke kun i Danmark, men i hele EU. Vi kan se, hvilke leverandører der er kritiske, og hvordan de påvirker finansielle virksomheder på tværs af lande."
Datacentralerne spiller en nøglerolle
Selvom de store banker og datacentraler har flere ressourcer til at håndtere de nye omfattende compliance-opgaver, henviser Adam Al-Saffar til, at der er et proportionalitetsprincip i den nye EU-lovgivning.
Det betyder, at kravene i et vist omfang også tilpasses den enkelte virksomheds størrelse, risikoprofil og kompleksitet.
Desuden vil mange af de mindre banker og pengeinstitutter kunne læne sig op ad datacentralerne, siger han.
"Datacentralerne løfter en stor del af arbejdet, men det fritager ikke de mindre banker for ansvar. De skal stadig have styr på deres governance og it-risikostyring. Vi vil gerne se, at de mindre banker tager aktiv stilling til deres it-sikkerhed, også selvom de outsourcer meget af deres drift.”
Inspektioner på vej
Tilsynet med DORA er også en ny opgave, som Finanstilsynet nu skal i gang med. Adam Al-Saffar pointerer, at tilsynet vil lægge vægt på, at hver virksomhed har vurderet sin egen risikoprofil og indrettet sig derefter.
"Vi forventer, at virksomhederne kan dokumentere, hvordan de har tænkt deres it-risici igennem – og ikke bare kopieret en standardløsning," uddyber han.
Finanstilsynet har endnu ikke sat datoer på de første DORA-inspektioner, men processen vil følge en risikobaseret tilgang, hvor de mest kritiske aktører altså bliver undersøgt først.
"Vi modtager allerede løbende indberetninger fra virksomhederne om hændelser og outsourcing. De data bruger vi i vores risikovurdering af, hvor vi skal sætte ind," forklarer han.
Tilsynene vil sandsynligvis munde ud i redegørelser med eventuelle påbud til virksomhederne.