Er banker omfattet af DORA?

Ja. Kreditinstitutter (banker) er blandt kerneenhederne under DORA og skal leve op til forordningens krav til IKT-risikostyring, hændelsesrapportering, modstandsdygtighedstest og tredjepartsrisiko. Kravene tilpasses bankens størrelse og risikoprofil via proportionalitetsprincippet.

Hvad er den største DORA-udfordring for banker?

For mange banker er det IKT-tredjepartsrisiko og et fuldstændigt aktivoverblik. Banker er dybt afhængige af leverandører og har ofte store, komplekse it-landskaber, hvor det er svært at fremvise et komplet, opdateret register over aktiver — herunder certifikater.

DORA for banker: Hvad overholdelse kræver i praksis

Banker er blandt de mest digitaliserede virksomheder overhovedet — og blandt de mest oplagte mål. Det er en stor del af grunden til, at de står centralt i DORA. For en bank er spørgsmålet ikke, om forordningen gælder, men hvordan overholdelsen ser ud i praksis. For den overordnede ramme, se vores DORA-side.

Hvorfor banker står centralt i DORA

Kreditinstitutter er kerneenheder under DORA. De håndterer kritisk infrastruktur for samfundets betalinger og er dybt afhængige af komplekse it-landskaber og mange leverandører. DORA stiller derfor krav til hele kæden: fra intern IKT-risikostyring til styring af de tredjeparter, banken er afhængig af. Proportionalitetsprincippet betyder, at kravene skaleres efter bankens størrelse og risikoprofil — men kerneforpligtelserne gælder bredt.

De største DORA-opgaver for en bank

I praksis fylder især disse områder:

Et komplet IKT-aktivoverblik. Store it-landskaber gør det svært at fremvise et fuldstændigt, opdateret register — men det er fundamentet for resten.
Tredjepartsrisiko. Banker er afhængige af mange leverandører. DORA kræver register over aftaler, risikovurdering og løbende overvågning.
Hændelsesrapportering. Større IKT-hændelser skal klassificeres og rapporteres inden for fastsatte frister — hvilket forudsætter, at banken hurtigt kan fastslå, hvad der er sket.
Modstandsdygtighedstest. For de mest betydende enheder også avanceret trusselsbaseret penetrationstest (TLPT).

Certifikatdelen i en bank

En bank har typisk certifikater spredt på netbank og mobilapp-backends, åbne bank-API'er, interne fagsystemer, betalingsinfrastruktur og en lang række leverandørsystemer. Hver af dem er et IKT-aktiv og en kryptografisk kontrol — og dermed en del af DORA-billedet. De certifikater, der oftest skaber problemer, er dem, ingen havde overblik over. Et komplet register, der også dækker leverandørernes certifikater på bankens domæner, er derfor et oplagt og konkret sted at styrke overholdelsen. Se DORA og NIS2 i finanssektoren for samspillet mellem de to regelsæt.

Sådan hjælper CertControl banker med certifikatdelen

CertControl dækker den del af DORA-arbejdet, der handler om certifikater og TLS — på en måde, der passer til en banks krav til sikkerhed:

Komplet register på tværs af domæner. Også leverandørers og opkøbte enheders certifikater findes automatisk.
On-premise agent. Interne fagsystemer og betalingsinfrastruktur dækkes uden indgående forbindelser — designet til at overholde stramme it-sikkerhedspolitikker.
TLS-grading og tidlige alarmer. Kryptografiske kontroller dokumenteres, og udløb fanges i god tid.
Revisionsklar dokumentation. Audit-log og rapporter til intern revision, ekstern revisor og tilsyn.

Relaterede artikler

DORA: Krav, søjler og certifikatstyring → DORA-implementering: Sådan kommer I i gang → DORA revisionskrav: Hvad revisorer forventer →

Se DORA-oversigten Book en gennemgang