DORA's krav kan virke omfattende, men de er struktureret om fem indbyrdes forbundne søjler. Forstår man dem hver for sig, bliver det lettere at se, hvor en finansiel virksomhed står — og hvor certifikat- og TLS-styring konkret berøres. For den overordnede ramme, se vores DORA-side.
Søjle 1: IKT-risikostyring
Kernen i DORA. Virksomheden skal have en governance-ramme for IKT-risiko, hvor ledelsen har et klart ansvar. Rammen skal dække hele cyklussen: identificere risici og aktiver, beskytte systemer og data, opdage uregelmæssigheder, reagere på hændelser og genoprette driften. Et centralt element er et overblik over IKT-aktiver og indførelse af beskyttelsesforanstaltninger, herunder kryptografiske kontroller.
Søjle 2: Håndtering og rapportering af IKT-hændelser
Virksomheden skal kunne opdage, håndtere og klassificere IKT-relaterede hændelser efter ensartede kriterier — og rapportere de største til de relevante myndigheder inden for fastsatte frister. Formålet er både at begrænse skaden og at give myndighederne et billede af trusselsbilledet på tværs af sektoren. En forudsætning for hurtig rapportering er, at virksomheden kan fastslå, hvad der er sket, og hvilke systemer der er ramt.
Søjle 3: Test af digital operationel modstandsdygtighed
DORA kræver, at virksomheden regelmæssigt tester sin modstandsdygtighed — fra grundlæggende sårbarhedsvurderinger til, for de mest betydende enheder, avanceret trusselsbaseret penetrationstest (TLPT). Test skal afdække svagheder, før en angriber eller en driftshændelse gør det. Svag TLS-konfiguration og udløbne certifikater er blandt de klassiske fund i den type test.
Søjle 4: Styring af IKT-tredjepartsrisiko
Finansielle virksomheder er dybt afhængige af IKT-leverandører. DORA stiller derfor krav om aktiv styring af tredjepartsrisiko: et register over aftaler, konkrete kontraktkrav, risikovurdering før indgåelse og løbende overvågning. Kritiske IKT-tredjepartsudbydere kan desuden blive underlagt et særligt overordnet tilsyn. Leverandørernes certifikater på jeres domæner hører med til dette billede — se leverandørcertifikat-risiko.
Søjle 5: Informationsdeling
Den femte søjle er frivillig: DORA opfordrer finansielle virksomheder til at dele information om cybertrusler og indikatorer med hinanden inden for tillidsfællesskaber. Tanken er, at sektorens samlede modstandsdygtighed styrkes, når viden om angreb deles hurtigt.
Hvor TLS-certifikater berøres
Certifikater optræder ikke som en selvstændig søjle, men går igen på tværs af flere: som IKT-aktiver og kryptografiske kontroller (søjle 1), som mulig årsag til en hændelse (søjle 2), som et typisk fund i test (søjle 3) og som en del af leverandørbilledet (søjle 4). Et komplet certifikatregister med overvågning og dokumentation er derfor ikke en niche-opgave, men understøtter flere af forordningens krav samtidig.
Sådan dækker CertControl certifikatdelen af DORA-kravene
CertControl leverer den del af DORA-arbejdet, der handler om certifikater og TLS — konkret og dokumenterbart:
- IKT-aktivoverblik for certifikater (søjle 1). Et komplet, automatisk opdateret register over alle certifikater på jeres domæner, inkl. leverandørers.
- Kryptografiske kontroller, dokumenteret (søjle 1 og 3). TLS- og cipher-grading viser, hvor stærk beskyttelsen faktisk er — og afdækker svagheder før en test gør det.
- Tidlige alarmer (søjle 2). Et udløbet certifikat, der bliver til en hændelse, er forebygget med advarsler i god tid til navngivne ejere.
- Leverandørovervågning (søjle 4). Leverandørers certifikater på jeres domæner indgår i det samme register og alarmsystem.