Personvern

Beste DORA-programvare 2026: verktøy for finanssektoren i Norge

Beste DORA-programvare i 2026 for norske finansforetak: verktøy for IKT-risiko, hendelsesrapportering og informasjonsregister. Priser, funksjoner og Finanstilsynets krav.

Also available in:English·Svenska·Nederlands·Português

Beste DORA-programvare for norske finansforetak i 2026 er den som samler IKT-risikostyring, hendelsesrapportering, register over informasjon og oppfølging av tredjepartsleverandører i én plattform som møter Finanstilsynets krav. I motsetning til NIS2 er DORA allerede i kraft i Norge: forordningen ble tatt inn i EØS-avtalen 20. februar, og DORA-loven og DORA-forskriften trådte i kraft 1. juli 2025. Det betyr at banker, forsikringsselskaper, betalingsforetak og andre finansforetak nå har konkrete, håndhevbare plikter. Denne artikkelen rangerer verktøyene som hjelper norske finansforetak å oppfylle dem, og forklarer hva programvaren må dekke.

For foretak som allerede jobber med GDPR og informasjonssikkerhet, bygger DORA på kjent grunn: dokumentert risikostyring, systematisk hendelseshåndtering og kontroll på leverandørkjeden. Forskjellen er at DORA er langt mer detaljert og sektorspesifikk, med et eget register over informasjon om alle IKT-tredjepartsavtaler.

Opplysning: Legiscope er vårt eget produkt og hører hjemme i denne kategorien. Hvert verktøy vurderes etter samme kriterier.

Status for DORA i Norge

DORA – forordning (EU) 2022/2554 – er direkte gjeldende i Norge gjennom EØS-avtalen, med de tilpasningene EØS krever. Den norske gjennomføringen skjedde ved DORA-loven og DORA-forskriften, begge i kraft 1. juli 2025. Finanstilsynet er tilsynsmyndighet. En full gjennomgang av krav og virkeområde finner du i vår guide til DORA i Norge.

Det praktiske poenget for norske finansforetak: DORA er ikke lenger et kommende regelverk å forberede seg på – det er gjeldende rett som Finanstilsynet fører tilsyn med. Verktøyvalget haster.

Hva må DORA-programvare dekke?

DORA-krav Hva verktøyet bør gjøre
IKT-risikostyring (kap. II) Rammeverk for kartlegging og oppfølging av IKT-risiko
Hendelsesrapportering (kap. III) Klassifisering og varsling av alvorlige IKT-hendelser til Finanstilsynet
Testing av motstandsdyktighet (kap. IV) Dokumentasjon av tester, ev. trusselbasert penetrasjonstesting
Tredjepartsrisiko (kap. V) Register over informasjon om alle IKT-tredjepartsavtaler
Kontraktskrav Sjekk av at leverandøravtaler oppfyller DORA-kravene

De beste verktøyene i 2026

1. Legiscope – best for integrert samsvar

Best for: finansforetak som vil samordne DORA med GDPR- og personvernarbeidet

Legiscope samler dokumentasjon, risikostyring og leverandørkontroll i én EU-basert plattform med norsk utdata. Styrken er overlappet mellom DORAs tredjepartsregister og GDPRs databehandleravtaler: de samme leverandørene skal uansett kartlegges og vurderes. For mindre finansforetak uten stort compliance-team reduserer dette dobbeltarbeid.

2. OneTrust – best for store finanskonsern

Best for: banker og forsikringskonsern med egne risiko- og compliance-team

OneTrust har brede moduler for leverandørrisiko og styring. Fordelen er dybde; ulempen er høy kostnad, lang implementering og kompleksitet som er overdimensjonert for mindre foretak.

3. Vanta – best for teknisk motstandsdyktighet

Best for: fintech og teknologidrevne foretak med moderne skyinfrastruktur

Vanta automatiserer bevisinnsamling og kontinuerlig overvåking av sikkerhetstiltak. Godt for den tekniske siden av DORA, men svakere på den juridiske og kontraktsmessige delen samt norsk tilpasning.

4. Sprinto – best for rask oppstart

Best for: mindre fintech-selskaper som trenger struktur raskt

Sprinto gir rask onboarding mot sikkerhetsrammeverk. Et brukbart utgangspunkt for grunnleggende IKT-risikostyring, men mindre egnet for det fulle tredjepartsregisteret DORA krever.

Hvordan velge DORA-verktøy for et norsk finansforetak

Det viktigste kriteriet for DORA er tredjepartsregisteret. DORA krever at foretaket fører et fullstendig register over informasjon om alle avtaler om bruk av IKT-tjenester fra tredjeparter, og at kritiske leverandører vurderes særskilt. Et godt verktøy strukturerer dette registeret og flagger avtaler som mangler DORA-pålagte kontraktsklausuler.

Det nest viktigste er hendelsesrapportering. DORA krever at alvorlige IKT-hendelser klassifiseres og rapporteres til Finanstilsynet innen bestemte frister. Et verktøy med en tydelig arbeidsflyt reduserer risikoen for å bomme på fristen. For de fleste norske finansforetak gir det liten mening å drive DORA, GDPR og NIS2 i adskilte systemer – en integrert plattform som Legiscope samler dokumentasjonen. Se også vår sammenligning av GDPR-programvare.

DORA møter GDPR: overlappet

Et alvorlig IKT-angrep mot et finansforetak kan utløse plikter etter både DORA og GDPR samtidig. Rammer angrepet personopplysninger, må avvik meldes til Datatilsynet innen 72 timer etter artikkel 33, samtidig som DORA krever hendelsesrapportering til Finanstilsynet. Datatilsynets håndheving viser hvor dyrt sikkerhetssvikt er: SATS Norge fikk 10 millioner kroner og Trumf 5 millioner kroner for svikt knyttet til de registrertes rettigheter og tilgangskontroll. Se oversikten over overtredelsesgebyr. Et verktøy som håndterer begge rapporteringsløpene, gir vesentlig lavere risiko for å oversette en frist under press.

Sammenligningstabell

Verktøy Best for Tredjepartsregister Hendelsesrapportering Norsk språk
Legiscope Integrert samsvar Ja Ja Ja
OneTrust Store finanskonsern Omfattende Full modul Delvis
Vanta Teknisk motstandsdyktighet Grunnleggende Grunnleggende Nei
Sprinto Rask oppstart Grunnleggende Grunnleggende Nei

Tredjepartsregisteret i praksis

For de fleste norske finansforetak er registeret over informasjon om IKT-tredjepartsavtaler den tyngste enkeltoppgaven i DORA. Registeret skal beskrive hver avtale om bruk av IKT-tjenester fra tredjeparter, hvilke funksjoner tjenesten støtter, hvor kritisk den er, og om leverandøren støtter en kritisk eller viktig funksjon. Finanstilsynet kan kreve registeret utlevert i et standardisert format. Et godt verktøy strukturerer registeret slik at feltene fylles konsistent, flagger avtaler som mangler DORA-pålagte kontraktsklausuler – som revisjonsrett, exit-strategi og krav til underleverandører – og knytter hver leverandør til de funksjonene den understøtter. Manuelt er dette et regnearkmareritt som forfaller straks en ny leverandør tas i bruk.

Testing av digital motstandsdyktighet

DORA krever at foretaket tester systemene sine jevnlig. For de fleste foretak innebærer det et program av sårbarhetsvurderinger og scenariotesting, mens de største og mest systemkritiske aktørene i tillegg må gjennomføre trusselbasert penetrasjonstesting (TLPT) etter en fastsatt metodikk. Et verktøy som dokumenterer testplanen, funnene og oppfølgingen, gir Finanstilsynet den sporbarheten regelverket krever. Dette overlapper med den tekniske siden av NIS2, der tilsvarende testing inngår.

Spørsmål å stille DORA-leverandøren

Før du velger verktøy, be leverandøren svare på: Kan verktøyet føre og eksportere tredjepartsregisteret i det formatet Finanstilsynet krever? Flagger det avtaler som mangler DORAs kontraktsklausuler? Håndterer det klassifisering og rapportering av alvorlige IKT-hendelser innen fristene? Kan det samordnes med GDPR-arbeidet, slik at de samme leverandørene ikke kartlegges to ganger? Og ligger data innenfor EØS med norsk utdata? Svarene skiller de verktøyene som faktisk letter DORA-byrden fra dem som bare er generiske risikoverktøy med DORA-etikett.

Ofte stilte spørsmål

Hva koster DORA-programvare i Norge?

Prisen følger stort sett samme nivåer som annen samsvarsprogramvare: inngangsverktøy fra omtrent 15 000–45 000 kroner i året, mellomstore plattformer 45 000–130 000 kroner, og foretakssuiter fra 250 000 kroner og oppover. Integrerte plattformer som dekker DORA sammen med GDPR gir ofte lavest totalkostnad – se prisguiden vår.

Er DORA gjeldende i Norge?

Ja. DORA er tatt inn i EØS-avtalen og gjennomført i norsk rett ved DORA-loven og DORA-forskriften, begge i kraft 1. juli 2025. Finanstilsynet er tilsynsmyndighet – se vår guide til DORA i Norge.

Hvilke foretak omfattes av DORA i Norge?

DORA omfatter et bredt spekter av finansforetak: banker, forsikringsselskaper, betalingsforetak, verdipapirforetak, forvaltningsselskaper og flere, samt kritiske IKT-tredjepartsleverandører til disse. Detaljene finner du i vår DORA-guide.

Hva er det viktigste kravet å prioritere først?

Tredjepartsregisteret. Det er både det mest arbeidskrevende og det Finanstilsynet raskest vil etterspørre. Fordi registeret overlapper med GDPRs oversikt over databehandlere, bør det bygges én gang og gjenbrukes på tvers av regelverkene framfor å føres separat.

Må små finansforetak følge hele DORA?

Enkelte mindre foretak kan være omfattet av et forenklet regime med lettere krav, men hovedregelen er at hele finanssektoren berøres. Selv mindre foretak må ha et rammeverk for IKT-risikostyring og et tredjepartsregister – detaljnivået skaleres, men grunnpliktene gjelder.

DORA-verktøy for ulike foretakstyper

Behovet varierer med foretakstype. En stor bank med mange systemkritiske IKT-leverandører og krav om trusselbasert penetrasjonstesting trenger dyp funksjonalitet for både tredjepartsregister og testdokumentasjon – her kan en foretakssuite forsvares. Et betalingsforetak eller en fintech i vekst trenger først og fremst et strukturert tredjepartsregister og en fungerende hendelsesarbeidsflyt, uten den fulle bredden. Et mindre forsikringsformidlingsforetak, som ofte faller inn under det forenklede regimet, trenger et lettvekts verktøy som dekker grunnpliktene uten unødig kompleksitet. For de fleste norske foretak – som verken er de største bankene eller helt marginale – gir en integrert, EU-basert plattform best balanse mellom dekning og kostnad. Se også prisguiden vår for hvordan totalkostnaden fordeler seg.

Konklusjon

Beste DORA-programvare for norske finansforetak i 2026 er den som gjør tredjepartsregisteret, hendelsesrapporteringen og IKT-risikostyringen håndterbar – og helst i samme plattform som GDPR-arbeidet. Fordi DORA allerede er i kraft i Norge, haster verktøyvalget. For de fleste foretak peker det mot en integrert, EU-basert plattform framfor adskilte systemer for hvert regelverk. Prioriter tredjepartsregisteret og hendelsesarbeidsflyten, og velg et verktøy som gjør dokumentasjonen levende før Finanstilsynet spør.

Sist gjennomgått: juli 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →