01.juli 2025 innføres DORA i Norge -hvordan påvirker loven deg?

01.juli 2025 innføres DORA - Digital Operational Resilience Act i Norge. DORA er en lov om digital operasjonell motstandsdyktighet og retter seg mot norske finansforetak. Loven skal bidra til at norske finansforetak blir mer motstandsdyktige og forberedt mot digitale trusler. 

Digital motstandsdyktighet er ikke lenger et valg, og handler heller ikke bare om å unngå bøter. Det er en nødvendighet for å beskytte økonomiske interesser og opprettholde tilliten i samfunnet. En investering i digital sikkerhet og beredskap er en investering i vår fremtid. DORA gir rammene som trengs for å sikre at man er forberedt på det uforutsette. Ved å fokusere på risikostyring, sikkerhetsstyring og beredskap som del av virksomhetsstyringen, kan man både etterleve kravene i DORA, og styrke evne til å håndtere og motstå cyberhendelser.

Robert Sagmo - Leder for strategisk rådgivning hos Netsecurity

Hvordan påvirker DORA din virksomhet?
DORA stiller konkrete og omfattende krav til hvordan finansforetak skal styre sin IKT-risiko. De fem hovedområdene virksomheter må forholde seg til er: 

• Styring av IKT-risiko: Virksomhetene må ha et solid rammeverk for å identifisere, vurdere og håndtere alle IKT-risikoer. Ansvaret for dette vil ligge hos styret. 
  
  
• Hendelseshåndtering: Virksomhetene må ha klare prosedyrer og rutiner for å oppdage, håndtere og rapportere digitale hendelser. DORA kommer med tydelige krav til når og hvordan du skal varsle myndighetene. 
  
  
• Testing av digital motstandsdyktighet: Virksomhetene må vise at sikkerheten er god nok ved å gjennomføre regelmessige penetrasjonstester (TLPT). For de aller fleste foretak skal dette gjennomføres minst hvert tredje år.
  
  
• Styring av tredjepartsrisiko: Sikkerhet hos tredjepartsleverandører er kritisk. DORA stiller strenge krav til både innholdet i disse avtalene, samt vurdering og oppfølgning av tredjepartsleverandører.
  
  
• Informasjonsdeling: Gjennom DORA legges det til rette for informasjonsutveksling mellom virksomhet og myndigheter rundt trusler og sårbarheter. 

Hvem omfattes av DORA? 

• Finansieringsforetak
• Låneformidlingsforetak
• Inkassoforetak
• Eiendomsmeglingsforetak
• Morselskap i finanskonsern
• Foretak nevnt i DORA-forordningens artikkel 2 nr. 3, eksempelvis AIF-managere og forsikringsforetak som er omfattet av Solvens II
  
  

Hva bør du gjøre nå? 

1. Start med å gjøre en gap-analyse og kartlegge og evaluere sin eksisterende infrastruktur, for å identifisere styrker og svakheter i systemer og prosesser.
   
   
2. Utfør en grundig risikovurdering for å identifisere mulige trusler og sårbarheter. Dette vil gi et klart bilde av hvilke tiltak dere må iverksette.
   
   
3. Etabler en sikkerhetsstrategi i tråd med DORA-kravene, som vil bidra til å styrke risikostyring, sikkerhetsstyring og beredskapsplaner i virksomheten.
   
   
4. Implementer systemer for kontinuerlig overvåking av digitale trusler og sikkerhetshendelser, for å kunne oppdage og respondere på trusler i sanntid.
   
   
5. Vurder å samarbeide med eksterne sikkerhetseksperter for å få innsikt og støtte i arbeidet med å etterleve DORA.

Complience er et kontinuerlig arbeid

Arbeidet med DORA-kravene vil være en kontinuerlig prosess, som krever oppfølging på flere områder. Opplæring og bevisstgjøring, oppdateringer og vedlikehold på systemer, samt øvelser og revisjoner av beredskapsplaner er eksempler på dette. Å følge med på regelverksendringer, tilpasse virksomheten mot nye trusler og teknologi er et kontinuerlig arbeid.

Brudd kan gi bøter opp til 50 millioner: 

Det er viktig at alle berørte forstår hvordan loven vil påvirke dem, da brudd på loven kan føre til bøter opptil 50 millioner kroner.

Vil du ha hjelp til  implementering og etterlevelse av DORA ?
Vi i Netsecurity har spesialiserte rådgivere som kan støtte ditt arbeid mot å bli DORA-compliant, herunder penetrasjonstesting.  Du kan lese mer om våre rådgivingstjenester her.