Beste DORA-programvare for norske finansforetak i 2026 er den som samler IKT-risikostyring, hendelsesrapportering, register over informasjon og oppfølging av tredjepartsleverandører i én plattform som møter Finanstilsynets krav. I motsetning til NIS2 er DORA allerede i kraft i Norge: forordningen ble tatt inn i EØS-avtalen 20. februar, og DORA-loven og DORA-forskriften trådte i kraft 1. juli 2025. Det betyr at banker, forsikringsselskaper, betalingsforetak og andre finansforetak nå har konkrete, håndhevbare plikter. Denne artikkelen rangerer verktøyene som hjelper norske finansforetak å oppfylle dem, og forklarer hva programvaren må dekke.
For foretak som allerede jobber med GDPR og informasjonssikkerhet, bygger DORA på kjent grunn: dokumentert risikostyring, systematisk hendelseshåndtering og kontroll på leverandørkjeden. Forskjellen er at DORA er langt mer detaljert og sektorspesifikk, med et eget register over informasjon om alle IKT-tredjepartsavtaler.
Opplysning: Legiscope er vårt eget produkt og hører hjemme i denne kategorien. Hvert verktøy vurderes etter samme kriterier.
Status for DORA i Norge
DORA – forordning (EU) 2022/2554 – er direkte gjeldende i Norge gjennom EØS-avtalen, med de tilpasningene EØS krever. Den norske gjennomføringen skjedde ved DORA-loven og DORA-forskriften, begge i kraft 1. juli 2025. Finanstilsynet er tilsynsmyndighet. En full gjennomgang av krav og virkeområde finner du i vår guide til DORA i Norge.
Det praktiske poenget for norske finansforetak: DORA er ikke lenger et kommende regelverk å forberede seg på – det er gjeldende rett som Finanstilsynet fører tilsyn med. Verktøyvalget haster.
Hva må DORA-programvare dekke?
| DORA-krav | Hva verktøyet bør gjøre |
|---|---|
| IKT-risikostyring (kap. II) | Rammeverk for kartlegging og oppfølging av IKT-risiko |
| Hendelsesrapportering (kap. III) | Klassifisering og varsling av alvorlige IKT-hendelser til Finanstilsynet |
| Testing av motstandsdyktighet (kap. IV) | Dokumentasjon av tester, ev. trusselbasert penetrasjonstesting |
| Tredjepartsrisiko (kap. V) | Register over informasjon om alle IKT-tredjepartsavtaler |
| Kontraktskrav | Sjekk av at leverandøravtaler oppfyller DORA-kravene |
De beste verktøyene i 2026
1. Legiscope – best for integrert samsvar
Best for: finansforetak som vil samordne DORA med GDPR- og personvernarbeidet
Legiscope samler dokumentasjon, risikostyring og leverandørkontroll i én EU-basert plattform med norsk utdata. Styrken er overlappet mellom DORAs tredjepartsregister og GDPRs databehandleravtaler: de samme leverandørene skal uansett kartlegges og vurderes. For mindre finansforetak uten stort compliance-team reduserer dette dobbeltarbeid.
2. OneTrust – best for store finanskonsern
Best for: banker og forsikringskonsern med egne risiko- og compliance-team
OneTrust har brede moduler for leverandørrisiko og styring. Fordelen er dybde; ulempen er høy kostnad, lang implementering og kompleksitet som er overdimensjonert for mindre foretak.
3. Vanta – best for teknisk motstandsdyktighet
Best for: fintech og teknologidrevne foretak med moderne skyinfrastruktur
Vanta automatiserer bevisinnsamling og kontinuerlig overvåking av sikkerhetstiltak. Godt for den tekniske siden av DORA, men svakere på den juridiske og kontraktsmessige delen samt norsk tilpasning.
4. Sprinto – best for rask oppstart
Best for: mindre fintech-selskaper som trenger struktur raskt
Sprinto gir rask onboarding mot sikkerhetsrammeverk. Et brukbart utgangspunkt for grunnleggende IKT-risikostyring, men mindre egnet for det fulle tredjepartsregisteret DORA krever.
Hvordan velge DORA-verktøy for et norsk finansforetak
Det viktigste kriteriet for DORA er tredjepartsregisteret. DORA krever at foretaket fører et fullstendig register over informasjon om alle avtaler om bruk av IKT-tjenester fra tredjeparter, og at kritiske leverandører vurderes særskilt. Et godt verktøy strukturerer dette registeret og flagger avtaler som mangler DORA-pålagte kontraktsklausuler.
Det nest viktigste er hendelsesrapportering. DORA krever at alvorlige IKT-hendelser klassifiseres og rapporteres til Finanstilsynet innen bestemte frister. Et verktøy med en tydelig arbeidsflyt reduserer risikoen for å bomme på fristen. For de fleste norske finansforetak gir det liten mening å drive DORA, GDPR og NIS2 i adskilte systemer – en integrert plattform som Legiscope samler dokumentasjonen. Se også vår sammenligning av GDPR-programvare.
DORA møter GDPR: overlappet
Et alvorlig IKT-angrep mot et finansforetak kan utløse plikter etter både DORA og GDPR samtidig. Rammer angrepet personopplysninger, må avvik meldes til Datatilsynet innen 72 timer etter artikkel 33, samtidig som DORA krever hendelsesrapportering til Finanstilsynet. Datatilsynets håndheving viser hvor dyrt sikkerhetssvikt er: SATS Norge fikk 10 millioner kroner og Trumf 5 millioner kroner for svikt knyttet til de registrertes rettigheter og tilgangskontroll. Se oversikten over overtredelsesgebyr. Et verktøy som håndterer begge rapporteringsløpene, gir vesentlig lavere risiko for å oversette en frist under press.
Sammenligningstabell
| Verktøy | Best for | Tredjepartsregister | Hendelsesrapportering | Norsk språk |
|---|---|---|---|---|
| Legiscope | Integrert samsvar | Ja | Ja | Ja |
| OneTrust | Store finanskonsern | Omfattende | Full modul | Delvis |
| Vanta | Teknisk motstandsdyktighet | Grunnleggende | Grunnleggende | Nei |
| Sprinto | Rask oppstart | Grunnleggende | Grunnleggende | Nei |
Tredjepartsregisteret i praksis
For de fleste norske finansforetak er registeret over informasjon om IKT-tredjepartsavtaler den tyngste enkeltoppgaven i DORA. Registeret skal beskrive hver avtale om bruk av IKT-tjenester fra tredjeparter, hvilke funksjoner tjenesten støtter, hvor kritisk den er, og om leverandøren støtter en kritisk eller viktig funksjon. Finanstilsynet kan kreve registeret utlevert i et standardisert format. Et godt verktøy strukturerer registeret slik at feltene fylles konsistent, flagger avtaler som mangler DORA-pålagte kontraktsklausuler – som revisjonsrett, exit-strategi og krav til underleverandører – og knytter hver leverandør til de funksjonene den understøtter. Manuelt er dette et regnearkmareritt som forfaller straks en ny leverandør tas i bruk.
Testing av digital motstandsdyktighet
DORA krever at foretaket tester systemene sine jevnlig. For de fleste foretak innebærer det et program av sårbarhetsvurderinger og scenariotesting, mens de største og mest systemkritiske aktørene i tillegg må gjennomføre trusselbasert penetrasjonstesting (TLPT) etter en fastsatt metodikk. Et verktøy som dokumenterer testplanen, funnene og oppfølgingen, gir Finanstilsynet den sporbarheten regelverket krever. Dette overlapper med den tekniske siden av NIS2, der tilsvarende testing inngår.
Spørsmål å stille DORA-leverandøren
Før du velger verktøy, be leverandøren svare på: Kan verktøyet føre og eksportere tredjepartsregisteret i det formatet Finanstilsynet krever? Flagger det avtaler som mangler DORAs kontraktsklausuler? Håndterer det klassifisering og rapportering av alvorlige IKT-hendelser innen fristene? Kan det samordnes med GDPR-arbeidet, slik at de samme leverandørene ikke kartlegges to ganger? Og ligger data innenfor EØS med norsk utdata? Svarene skiller de verktøyene som faktisk letter DORA-byrden fra dem som bare er generiske risikoverktøy med DORA-etikett.
Ofte stilte spørsmål
Hva koster DORA-programvare i Norge?
Prisen følger stort sett samme nivåer som annen samsvarsprogramvare: inngangsverktøy fra omtrent 15 000–45 000 kroner i året, mellomstore plattformer 45 000–130 000 kroner, og foretakssuiter fra 250 000 kroner og oppover. Integrerte plattformer som dekker DORA sammen med GDPR gir ofte lavest totalkostnad – se prisguiden vår.
Er DORA gjeldende i Norge?
Ja. DORA er tatt inn i EØS-avtalen og gjennomført i norsk rett ved DORA-loven og DORA-forskriften, begge i kraft 1. juli 2025. Finanstilsynet er tilsynsmyndighet – se vår guide til DORA i Norge.
Hvilke foretak omfattes av DORA i Norge?
DORA omfatter et bredt spekter av finansforetak: banker, forsikringsselskaper, betalingsforetak, verdipapirforetak, forvaltningsselskaper og flere, samt kritiske IKT-tredjepartsleverandører til disse. Detaljene finner du i vår DORA-guide.
Hva er det viktigste kravet å prioritere først?
Tredjepartsregisteret. Det er både det mest arbeidskrevende og det Finanstilsynet raskest vil etterspørre. Fordi registeret overlapper med GDPRs oversikt over databehandlere, bør det bygges én gang og gjenbrukes på tvers av regelverkene framfor å føres separat.
Må små finansforetak følge hele DORA?
Enkelte mindre foretak kan være omfattet av et forenklet regime med lettere krav, men hovedregelen er at hele finanssektoren berøres. Selv mindre foretak må ha et rammeverk for IKT-risikostyring og et tredjepartsregister – detaljnivået skaleres, men grunnpliktene gjelder.
DORA-verktøy for ulike foretakstyper
Behovet varierer med foretakstype. En stor bank med mange systemkritiske IKT-leverandører og krav om trusselbasert penetrasjonstesting trenger dyp funksjonalitet for både tredjepartsregister og testdokumentasjon – her kan en foretakssuite forsvares. Et betalingsforetak eller en fintech i vekst trenger først og fremst et strukturert tredjepartsregister og en fungerende hendelsesarbeidsflyt, uten den fulle bredden. Et mindre forsikringsformidlingsforetak, som ofte faller inn under det forenklede regimet, trenger et lettvekts verktøy som dekker grunnpliktene uten unødig kompleksitet. For de fleste norske foretak – som verken er de største bankene eller helt marginale – gir en integrert, EU-basert plattform best balanse mellom dekning og kostnad. Se også prisguiden vår for hvordan totalkostnaden fordeler seg.
Konklusjon
Beste DORA-programvare for norske finansforetak i 2026 er den som gjør tredjepartsregisteret, hendelsesrapporteringen og IKT-risikostyringen håndterbar – og helst i samme plattform som GDPR-arbeidet. Fordi DORA allerede er i kraft i Norge, haster verktøyvalget. For de fleste foretak peker det mot en integrert, EU-basert plattform framfor adskilte systemer for hvert regelverk. Prioriter tredjepartsregisteret og hendelsesarbeidsflyten, og velg et verktøy som gjør dokumentasjonen levende før Finanstilsynet spør.
Sist gjennomgått: juli 2026.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo