Vejledning
Hvad er DORA-forordningen? En guide til finanssektoren
Baggrund, formål og tidslinje for DORA — og hvad forordningen betyder i praksis for finansielle virksomheder.
DORA · Finanssektor
DORA: Hvad forordningen kræver af finansielle virksomheder
DORA (Forordning EU 2022/2554) har siden 17. januar 2025 stillet ensartede krav til finansielle virksomheders digitale operationelle modstandsdygtighed. Her er forordningens fem søjler, hvem den omfatter, og hvor certifikatstyring og TLS passer ind.
14 dages gratis prøve · Intet kreditkort påkrævet · EU-hostet · Dedikeret instans pr. kunde
Hvad er DORA?
Én fælles ramme for digital modstandsdygtighed i finanssektoren
DORA — Digital Operational Resilience Act — er Forordning (EU) 2022/2554. Den har fundet anvendelse fra 17. januar 2025 og samler kravene til IKT-sikkerhed og operationel modstandsdygtighed i den finansielle sektor i ét regelsæt.
En forordning, ikke et direktiv
Som forordning gælder DORA direkte i alle EU-lande uden national implementering. Det giver ensartede krav på tværs af medlemsstaterne — i modsætning til et direktiv som NIS2, der omsættes til national lovgivning. Se forskellen i DORA og NIS2 i finanssektoren.
Hvem er omfattet?
En bred kreds af finansielle enheder: banker, forsikrings- og genforsikringsselskaber, investeringsselskaber, betalings- og e-pengeinstitutter, kryptoaktiv-tjenesteudbydere og flere. Derudover kan kritiske IKT-tredjepartsudbydere — fx visse cloud-leverandører — blive underlagt direkte tilsyn.
Forordningens struktur
DORA's fem søjler
DORA er bygget op om fem indbyrdes forbundne områder. Tilsammen dækker de hele livscyklussen for IKT-risiko i en finansiel virksomhed.
1 · IKT-risikostyring
En governance-ramme for at identificere, beskytte, opdage, reagere på og genoprette efter IKT-risici — inkl. aktivstyring og kryptografiske kontroller.
2 · Hændelsesrapportering
Klassificering og rapportering af større IKT-relaterede hændelser til de relevante myndigheder inden for fastsatte frister.
3 · Modstandsdygtighedstest
Regelmæssig test af den digitale modstandsdygtighed — for visse enheder også avanceret, trusselsbaseret penetrationstest (TLPT).
4 · IKT-tredjepartsrisiko
Styring af risiko fra IKT-leverandører: kontraktkrav, et register over aftaler og tilsyn med kritiske tredjepartsudbydere.
5 · Informationsdeling
Frivillig deling af information om cybertrusler og indikatorer mellem finansielle enheder for at styrke den fælles modstandsdygtighed.
→ I praksis
Certifikat- og TLS-styring berører især søjle 1 (aktiver og kryptografi), søjle 2 (hændelser) og søjle 4 (leverandører).
Certifikat-vinklen
Hvor certifikatstyring passer ind i DORA
DORA nævner ikke "TLS-certifikat" ord for ord, men certifikater er både IKT-aktiver og kryptografiske kontroller — og er dermed relevante for flere af forordningens krav, særligt IKT-risikostyring, tredjepartsrisiko og hændelsesrapportering.
IKT-aktivstyring
IKT-risikostyringen kræver et overblik over IKT-aktiver. TLS-certifikater er IKT-aktiver — et komplet, opdateret certifikatregister er en konkret del af det overblik.
Beskyttelse og kryptografi
DORA's krav om beskyttelsesforanstaltninger omfatter kryptografiske kontroller. Gyldige certifikater med stærke protokolversioner og cipher suites er en direkte implementering.
Tredjepartsrisiko
Leverandørers systemer kører ofte på jeres domæner. Deres certifikathelse er en del af jeres IKT-tredjepartsrisiko — og bør spores aktivt.
Hændelsesrapportering
Et certifikatudløb, der tager en kritisk tjeneste ned, kan være en IKT-relateret hændelse. Et register med tidlige alarmer reducerer både risikoen og responstiden.
Dokumentation og test
Revisionsklare rapporter over certifikatstatus og en audit-log understøtter dokumentationskravene og indgår i et samlet billede af modstandsdygtigheden.
→ Sådan dækker CertControl det
Komplet certifikatregister, TLS-grading, on-premise agent og automatiske rapporter — på én EU-hostet platform. Se platformen →
Ofte stillede spørgsmål
DORA — spørgsmål besvaret
Hvad er DORA?
DORA (Digital Operational Resilience Act, Forordning EU 2022/2554) er en EU-forordning, der stiller ensartede krav til digital operationel modstandsdygtighed i den finansielle sektor. Den har fundet anvendelse fra 17. januar 2025 og dækker IKT-risikostyring, hændelsesrapportering, modstandsdygtighedstest, tredjepartsrisiko og informationsdeling.
Hvem er omfattet af DORA?
En bred kreds af finansielle enheder — banker, forsikrings- og genforsikringsselskaber, investeringsselskaber, betalings- og e-pengeinstitutter, kryptoaktiv-tjenesteudbydere og flere. Derudover kan kritiske IKT-tredjepartsudbydere, fx visse cloud-leverandører, blive underlagt direkte tilsyn.
Hvad er forskellen på DORA og NIS2?
NIS2 er et direktiv, der gælder bredt på tværs af kritiske sektorer og implementeres i national lovgivning. DORA er en forordning, der gælder direkte og specifikt for den finansielle sektor. For finansielle virksomheder er DORA i vid udstrækning den sektorspecifikke ramme — men begge stiller krav til IKT-sikkerhed, herunder certifikat- og TLS-styring.
Hvor passer certifikatstyring ind i DORA?
TLS-certifikater er IKT-aktiver og kryptografiske kontroller. De berører DORA's krav til IKT-aktivstyring og beskyttelse, til tredjepartsrisiko (leverandørers certifikater) og til hændelsesrapportering. Et komplet certifikatregister med overvågning og dokumentation understøtter flere af forordningens krav.
Relaterede ressourcer
Vejledninger til DORA og certifikatstyring
Vejledning
DORA-krav: Oversigt over de fem søjler
En gennemgang af DORA's krav søjle for søjle — fra IKT-risikostyring til tredjepartsrisiko.
Vejledning
DORA-implementering: Sådan kommer I i gang
En praktisk rækkefølge for finansielle virksomheder — fra aktivregister til løbende dokumentation.
Finanssektor
DORA og NIS2 certifikatkrav i finanssektoren
Hvordan de to regelsæt overlapper på TLS-certifikatstyring — og hvad det betyder for banker og forsikring.
Vejledning
DORA revisionskrav: Hvad revisorer og tilsyn forventer
Hvad revisorer og Finanstilsynet typisk efterspørger — og hvordan certifikatdokumentation indgår i en DORA-revision.
Banker
DORA for banker: Hvad overholdelse kræver i praksis
Banker er kerneenheder under DORA. De største opgaver — og hvor certifikatdelen passer ind.
Tjekliste
DORA-tjekliste: Kom i gang med de vigtigste skridt
En praktisk tjekliste efter de fem søjler, plus en konkret certifikat-tjekliste.
Relaterede sider
Få styr på certifikaterne før DORA-tilsynet
Kortlæg alle certifikater, overvåg TLS-helsen og generér revisionsklar dokumentation — på én EU-hostet platform. Fuld adgang i 14 dage.