Hvad bør en DORA-tjekliste indeholde?

En praktisk DORA-tjekliste følger forordningens fem søjler: IKT-risikostyring (governance og aktivoverblik), hændelsesrapportering, modstandsdygtighedstest, IKT-tredjepartsrisiko og informationsdeling. For hver søjle: hvad har vi, hvad mangler vi, og hvad er dokumenteret?

Hvor starter man på en DORA-tjekliste?

Med aktivoverblikket. Næsten alle de øvrige punkter forudsætter, at I ved, hvilke IKT-aktiver I har — herunder certifikater og systemer. Et komplet aktivregister er både et hurtigt resultat og fundamentet for resten af tjeklisten.

DORA-tjekliste: Kom i gang med de vigtigste skridt

En tjekliste gør ikke en virksomhed DORA-compliant i sig selv, men den giver et overblik over, hvor I står, og hvad der mangler. Denne tjekliste er struktureret efter forordningens fem søjler — og slutter med en konkret certifikat-tjekliste, der er et oplagt sted at starte. For den fulde ramme, se vores DORA-side.

Tjekliste efter de fem søjler

For hvert punkt: hvad har vi, hvad mangler vi, og er det dokumenteret?

1 · IKT-risikostyring. Er der en governance-ramme med klart ledelsesansvar? Har I et komplet, opdateret overblik over IKT-aktiver og beskyttelsesforanstaltninger, herunder kryptografiske kontroller?
2 · Hændelseshåndtering og -rapportering. Kan I opdage, klassificere og rapportere større IKT-hændelser inden for fristerne? Kan I hurtigt fastslå rodårsag og omfang?
3 · Modstandsdygtighedstest. Testes modstandsdygtigheden regelmæssigt? Er det afklaret, om I er omfattet af kravet om trusselsbaseret penetrationstest (TLPT)?
4 · IKT-tredjepartsrisiko. Har I et register over leverandøraftaler, risikovurdering før indgåelse og løbende overvågning af kritiske leverandører?
5 · Informationsdeling. Har I taget stilling til, om I vil deltage i deling af trusselsinformation i et tillidsfællesskab?

Certifikat-tjekliste: et konkret startpunkt

Certifikater er et af de steder, hvor DORA's krav bliver helt håndgribelige — og hvor man hurtigt kan vise fremskridt. En minimal certifikat-tjekliste:

Har I et komplet register over alle TLS-certifikater — interne som eksterne?
Er leverandørernes certifikater på jeres domæner med i registret?
Er TLS-konfigurationen (protokolversioner og cipher suites) dokumenteret?
Får de rette ejere alarmer i god tid før udløb?
Genereres der løbende dokumentation — rapporter og audit-log — til revision og tilsyn?

For en praktisk rækkefølge til hele implementeringen, se DORA-implementering: sådan kommer I i gang.

Sådan løfter CertControl certifikat-tjeklisten

Hvert punkt på certifikat-tjeklisten er noget, CertControl er bygget til at levere:

Komplet register — automatisk via Certificate Transparency-logs og scanning, inkl. leverandørers certifikater.
Dokumenteret TLS-konfiguration — grading fra A+ til F pr. endpoint.
Tidlige alarmer til navngivne ejere — konfigurerbare tærskler.
Løbende dokumentation — automatiske rapporter og audit-log til revision og tilsyn.

Relaterede artikler

DORA: Krav, søjler og certifikatstyring → DORA-krav: Oversigt over de fem søjler → DORA-implementering: Sådan kommer I i gang →

Se DORA-oversigten Book en gennemgang