Cybersikkerhed

DORA i Danmark 2026: Finanstilsynet og finansiel modstandsdygtighed

DORA i Danmark 2026: Finanstilsynets tilsyn med digital operationel modstandsdygtighed, hvem der er omfattet, de fem søjler og informationsregisteret.

Also available in:English·Español·lv

DORA – forordningen om digital operationel modstandsdygtighed (forordning (EU) 2022/2554) – har været i kraft siden den 17. januar 2025 og gælder umiddelbart i dansk ret uden national gennemførelse. I Danmark fører Finanstilsynet tilsynet som led i sit tilsyn med IKT- og datasikkerhed, og myndigheden igangsatte i efteråret 2025 de første temaundersøgelser af blandt andet forsikringsselskabers og pensionskassers implementering. DORA pålægger banker, forsikringsselskaber, pensionskasser og andre finansielle virksomheder krav om styring af IKT-risici, rapportering af IKT-hændelser, test af modstandsdygtighed og styring af tredjepartsleverandører. Denne guide gennemgår, hvem der er omfattet, de fem søjler, informationsregisteret og hvordan Finanstilsynet fører tilsyn.

Hvad er DORA, og hvorfor gælder den direkte?

DORA er en forordning, ikke et direktiv. Det betyder, at den gælder umiddelbart i alle EU-lande uden national gennemførelseslov – til forskel fra NIS2, der er et direktiv og skal gennemføres i dansk lov. For finansielle virksomheder går DORA forud for NIS2 for så vidt angår IKT-risici (lex specialis). Formålet er at skabe ensartede krav til, hvordan den finansielle sektor håndterer digitale risici, så et IKT-nedbrud eller cyberangreb ikke destabiliserer det finansielle system.

Hvem er omfattet af DORA i Danmark?

DORA omfatter et bredt spektrum af finansielle virksomheder under Finanstilsynets tilsyn:

  • Kreditinstitutter (banker)
  • Betalingsinstitutter og e-pengeinstitutter
  • Investeringsselskaber
  • Forsikrings- og genforsikringsselskaber
  • Firmapensionskasser
  • Realkreditinstitutter
  • Kryptoaktivtjenesteudbydere
  • Benchmarkadministratorer og udbydere af crowdfundingtjenester

Proportionalitetsprincippet gælder: mindre og mindre komplekse virksomheder har lempeligere krav, blandt andet en forenklet ramme for IKT-risikostyring. Men grundpligterne – herunder informationsregisteret – rammer bredt.

DORA’s fem søjler

Søjle Indhold
1. IKT-risikostyring Ramme for at identificere, beskytte, opdage og reagere på IKT-risici
2. Hændelsesrapportering Klassifikation og rapportering af større IKT-hændelser til Finanstilsynet
3. Modstandsdygtighedstest Test af systemer, herunder trusselsbaseret TLPT for de største aktører
4. Tredjepartsrisiko Styring af IKT-leverandører og et komplet informationsregister
5. Trusselsdeling Frivillig deling af trusselsinformation mellem finansielle virksomheder

Den fjerde søjle er i praksis omdrejningspunktet. Alle omfattede virksomheder skal føre et informationsregister over deres kontraktmæssige aftaler om IKT-tjenester og indberette det til Finanstilsynet i et fastlagt format efter de europæiske tilsynsmyndigheders tekniske standarder.

Finanstilsynets rolle og de første tilsyn

Finanstilsynet er den kompetente myndighed for DORA i Danmark. Tilsynet indgår i myndighedens bredere tilsyn med IKT- og datasikkerhed i den finansielle sektor. I efteråret 2025 igangsatte Finanstilsynet de første temaundersøgelser, blandt andet af, hvordan forsikringsselskaber og pensionskasser har implementeret forordningen. For de største og mest kritiske aktører kan Finanstilsynet desuden kræve trusselsbaseret penetrationstest (TLPT). Virksomheder bør forvente, at informationsregisteret er det første, Finanstilsynet efterspørger – på linje med, at fortegnelsen er det første, Datatilsynet beder om i en GDPR-sag.

Frister for hændelsesrapportering

Anden søjle – hændelsesrapporteringen – har konkrete frister, som en dansk finansiel virksomhed skal indarbejde i sin beredskabsplan. Når en IKT-hændelse klassificeres som større efter DORA’s kriterier (blandt andet antal berørte kunder, varighed, geografisk udbredelse og datatab), gælder et rapporteringsforløb i tre trin til Finanstilsynet:

  • Indledende underretning: senest 4 timer efter, at hændelsen er klassificeret som større, og under alle omstændigheder senest 24 timer efter, at virksomheden blev opmærksom på hændelsen.
  • Mellemliggende rapport: senest 72 timer efter den indledende underretning, med opdateret status og foreløbig årsagsvurdering.
  • Endelig rapport: senest én måned efter den mellemliggende rapport, med rodårsagsanalyse og afhjælpende foranstaltninger.

Fristerne er kortere og mere formaliserede end den 72-timers frist, mange kender fra brudanmeldelsen under GDPR. Kravene til klassifikation og indhold følger af de europæiske tilsynsmyndigheders tekniske standarder (EBA’s DORA-side). En virksomhed bør have forud-definerede kriterier og et fast rapporteringsformat klar, så uret ikke først begynder at tælle, mens man diskuterer, om en hændelse overhovedet er større.

DORA’s overlap med NIS2 og GDPR

DORA står sjældent alene. IKT-risikostyringen overlapper både NIS2 og artikel 32 i databeskyttelsesforordningen. Styringen af IKT-leverandører ligner desuden håndteringen af databehandlere efter artikel 28. En dansk finansiel virksomhed, der allerede har et GDPR-program, kan derfor genbruge meget af risikostyringen og leverandørkontrollen. En platform som Legiscope, der samler leverandørstyring og sikkerhedsdokumentation ét sted, reducerer dobbeltarbejdet mellem de tre regelsæt. Se den praktiske værktøjsgennemgang i bedste DORA-software.

Sådan kommer en dansk finansiel virksomhed i gang

En pragmatisk rækkefølge: (1) afklar hvilke af DORA’s krav der gælder for jer efter proportionalitetsprincippet, (2) kortlæg alle IKT-leverandører og opret informationsregisteret i det korrekte format, (3) etabl er rammen for IKT-risikostyring og dokumentér kontrollerne, (4) opret arbejdsflowet for hændelsesrapportering med DORA’s frister, (5) planlæg og gennemfør modstandsdygtighedstest, og (6) samordn med jeres NIS2- og GDPR-dokumentation. Informationsregisteret bør prioriteres først, fordi Finanstilsynet allerede indhenter det, og fordi resten af dokumentationen bygger på et overblik over leverandørerne.

Proportionalitet: hvad gælder for mindre finansielle virksomheder?

DORA anvender et proportionalitetsprincip, så kravene står i forhold til virksomhedens størrelse, risikoprofil og kompleksitet. Mindre og ikke-komplekse finansielle virksomheder – for eksempel mindre betalingsinstitutter eller mindre pensionskasser – kan anvende en forenklet ramme for IKT-risikostyring og er ikke underlagt de mest omfattende testkrav som TLPT. Men proportionalitet betyder ikke fritagelse: også mindre virksomheder skal føre informationsregisteret, klassificere og rapportere IKT-hændelser og dokumentere deres risikostyring. For en dansk virksomhed i den lette ende betyder det, at ambitionsniveauet kan tilpasses, men grundpligterne skal opfyldes. Et værktøj, der understøtter både den forenklede og den fulde ramme, gør det muligt at vokse ind i de tungere krav, hvis virksomheden ekspanderer eller ændrer risikoprofil. Finanstilsynet forventer, at den enkelte virksomhed selv kan begrunde, hvorfor den har valgt et bestemt niveau – og den begrundelse bør dokumenteres.

Kritiske IKT-tredjepartsleverandører

En central nyskabelse i DORA er tilsynet med de største IKT-leverandører til den finansielle sektor. Udbydere, der udpeges som kritiske IKT-tredjepartsleverandører – typisk store cloud- og infrastrukturudbydere, som mange finansielle virksomheder er afhængige af – kommer under et fælleseuropæisk tilsyn ført af de europæiske tilsynsmyndigheder. For en dansk finansiel virksomhed betyder det, at ansvaret for leverandørrisiko ikke forsvinder, selvom en leverandør er stor og velkendt: virksomheden skal fortsat dokumentere afhængigheden i informationsregisteret, vurdere koncentrationsrisikoen ved at samle mange funktioner hos én leverandør og sikre exit-strategier. En platform, der holder styr på, hvilke leverandører der understøtter kritiske funktioner, gør denne vurdering håndterbar.

DORA i praksis: hvad Finanstilsynet vil se

Når Finanstilsynet fører tilsyn, vil myndigheden forvente at kunne se en sammenhængende dokumentation: et komplet informationsregister, en dokumenteret ramme for IKT-risikostyring godkendt af ledelsen, en klassificerings- og rapporteringsproces for IKT-hændelser med de rigtige frister, og resultater fra modstandsdygtighedstest med opfølgning. Ligesom en fortegnelse er udgangspunktet for et GDPR-tilsyn, er informationsregisteret udgangspunktet for et DORA-tilsyn. Hændelsesrapporteringen under DORA minder om brudanmeldelsen under GDPR – blot til Finanstilsynet og med DORA’s egne frister og klassifikationskriterier. En finansiel virksomhed, der allerede har opbygget disse processer under GDPR, kan genbruge strukturen, men skal tilpasse den til DORA’s specifikke krav og modtager. Det er netop derfor, en integreret tilgang, hvor de tre regelsæt håndteres sammen, er mere robust end tre adskilte systemer, der skal holdes synkroniseret manuelt.

Ofte stillede spørgsmål

Hvem fører tilsyn med DORA i Danmark?

Finanstilsynet er den kompetente myndighed og fører tilsyn med DORA som led i sit tilsyn med IKT- og datasikkerhed. Myndigheden igangsatte de første temaundersøgelser i efteråret 2025. For de største aktører kan Finanstilsynet kræve trusselsbaseret penetrationstest.

Skal min virksomhed overholde både DORA og NIS2?

For IKT-risici går DORA forud for NIS2 for finansielle virksomheder (lex specialis), så I skal primært følge DORA på det område. I kan dog være omfattet af NIS2 for andre aktiviteter. En finansiel virksomhed bør afklare begge regelsæts anvendelse tidligt og samordne dokumentationen.

Hvad er informationsregisteret i DORA?

Et komplet register over alle en finansiel virksomheds kontraktmæssige aftaler om IKT-tjenester, som skal indberettes til Finanstilsynet i et fastlagt format. Det er i praksis omdrejningspunktet i DORA-efterlevelsen, og et af de første dokumenter Finanstilsynet efterspørger.

Konklusion

DORA gælder direkte i Danmark siden den 17. januar 2025 og håndhæves af Finanstilsynet, der allerede er begyndt at føre tilsyn med den finansielle sektors digitale modstandsdygtighed. Kernen er de fem søjler – IKT-risikostyring, hændelsesrapportering, test, tredjepartsrisiko og trusselsdeling – med informationsregisteret over IKT-leverandører som omdrejningspunkt. For danske banker, forsikringsselskaber og pensionskasser er den mest effektive vej at bygge DORA-dokumentationen oven på det eksisterende GDPR- og NIS2-arbejde, fordi risikostyringen og leverandørkontrollen overlapper. Start med informationsregisteret, forankr risikostyringen hos ledelsen, og behandl DORA som en løbende del af IKT-styringen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →