Den finansielle sektor er blandt de mest digitaliserede — og blandt de mest oplagte mål for cyberangreb og driftsforstyrrelser. DORA er EU's svar på det: ét fælles regelsæt, der skal sikre, at finansielle virksomheder kan modstå, reagere på og komme sig efter IKT-relaterede hændelser. For en samlet oversigt over forordningen, se vores DORA-side.
Hvad DORA er — og hvorfor den kom
DORA står for Digital Operational Resilience Act og er Forordning (EU) 2022/2554. Før DORA var IKT-kravene til finansielle virksomheder spredt over flere forskellige regelsæt og varierede fra medlemsstat til medlemsstat. DORA samler dem i ét regelsæt med ét formål: at gøre den finansielle sektors digitale drift modstandsdygtig — ikke kun sikker på papiret, men i stand til at fungere under pres.
Et centralt greb i DORA er, at operationel modstandsdygtighed ikke kun handler om at undgå hændelser, men om at kunne håndtere dem, når de sker. Forordningen kræver derfor både forebyggelse, detektion, respons og genopretning — og dokumentation for, at det hele fungerer.
Hvornår trådte DORA i kraft?
DORA trådte i kraft i januar 2023 og har fundet anvendelse fra 17. januar 2025. Fra den dato skal omfattede virksomheder leve op til kravene. Forordningen suppleres af mere detaljerede tekniske standarder (RTS og ITS) udarbejdet af de europæiske tilsynsmyndigheder, som præciserer, hvordan kravene skal opfyldes i praksis.
Hvem er omfattet af DORA?
DORA dækker en bred kreds af finansielle enheder. Blandt de vigtigste:
- Kreditinstitutter (banker) og betalings- samt e-pengeinstitutter.
- Investeringsselskaber og forvaltere af kollektive investeringsordninger.
- Forsikrings- og genforsikringsselskaber samt forsikringsformidlere.
- Udbydere af kryptoaktiv-tjenester.
- Handelspladser, centrale modparter og en række øvrige finansielle aktører.
Derudover indfører DORA et særligt tilsyn med kritiske IKT-tredjepartsudbydere — fx visse store cloud- og it-leverandører, hvis svigt vil kunne ramme mange finansielle virksomheder på én gang. Proportionalitet er indbygget: kravene tilpasses virksomhedens størrelse og risikoprofil.
Hvem fører tilsyn?
Tilsynet med DORA deles mellem de europæiske tilsynsmyndigheder — EBA, ESMA og EIOPA — og de nationale kompetente myndigheder. I Danmark er Finanstilsynet den nationale myndighed for den finansielle sektor. For kritiske tredjepartsudbydere er der etableret et særligt overordnet tilsyn på EU-niveau.
Hvor certifikatstyring kommer ind
DORA nævner ikke TLS-certifikater eksplicit, men forordningens krav til IKT-risikostyring omfatter både aktivstyring og kryptografiske kontroller — og dér hører certifikater til. Et udløbet certifikat på en kritisk tjeneste er både en driftsrisiko og potentielt en IKT-hændelse. For en konkret gennemgang af, hvordan DORA og NIS2 overlapper på netop dette, se DORA og NIS2 certifikatkrav i finanssektoren.
Sådan understøtter CertControl DORA-arbejdet
Certifikatstyring er en konkret, dokumenterbar del af IKT-risikostyringen under DORA. CertControl leverer:
- Et komplet certifikatregister — fundamentet for IKT-aktivoverblikket, automatisk opdateret via Certificate Transparency-logs og aktiv scanning.
- TLS- og cipher-grading — så de kryptografiske kontroller kan dokumenteres, ikke kun antages.
- Overvågning af leverandørers certifikater — til IKT-tredjepartsrisikoen.
- Revisionsklare rapporter og audit-log — løbende dokumentation til tilsyn og intern revision.