DORA er gjeldende rett i Norge. Forordningen om digital operasjonell motstandsdyktighet i finanssektoren – forordning (EU) 2022/2554 – ble tatt inn i EØS-avtalen og gjennomført i norsk rett gjennom DORA-loven og DORA-forskriften, begge i kraft fra 1. juli 2025. Finanstilsynet er tilsynsmyndighet. DORA stiller detaljerte krav til norske finansforetak om IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av digital motstandsdyktighet og oppfølging av IKT-tredjepartsleverandører, inkludert et fullstendig register over informasjon om alle slike avtaler. Denne guiden forklarer hvilke foretak som omfattes, hva kravene innebærer og hvordan norske foretak kan oppfylle dem.
I motsetning til NIS2, som fortsatt er under innføring, er DORA altså allerede et regelverk Finanstilsynet fører tilsyn med. For banker, forsikringsselskaper, betalingsforetak og andre finansforetak er det derfor ikke lenger et spørsmål om å forberede seg, men om å dokumentere etterlevelse.
Status: DORA er i kraft i Norge
DORA er en EU-forordning, og som forordning får den direkte anvendelse i Norge gjennom EØS-avtalen, med de tilpasningene EØS krever. Forordningen ble tatt inn i EØS-avtalen 20. februar, og den norske gjennomføringen skjedde ved DORA-loven og DORA-forskriften, begge i kraft fra 1. juli 2025. Lovproposisjonen ble fremmet av regjeringen i mars 2025 etter forslag fra Finanstilsynet, som også er tilsynsmyndighet for regelverket.
Hvilke foretak omfattes?
DORA omfatter et bredt spekter av aktører i det finansielle systemet:
| Kategori | Eksempler |
|---|---|
| Kredittinstitusjoner | Banker |
| Forsikring | Forsikrings- og gjenforsikringsselskaper, forsikringsformidlere |
| Betaling | Betalingsforetak, e-pengeforetak |
| Verdipapir | Verdipapirforetak, forvaltningsselskaper, markedsplasser |
| Øvrige | Kryptoaktører, revisjonsforetak (delvis), IKT-tredjeparter |
I tillegg omfattes kritiske IKT-tredjepartsleverandører til finanssektoren, som kan settes under direkte tilsyn på europeisk nivå. Enkelte mindre foretak kan være omfattet av et forenklet regime, men hovedregelen er at hele finanssektoren berøres.
Hva krever DORA?
DORA bygger på fem søyler som norske finansforetak må oppfylle:
- IKT-risikostyring. Foretaket må ha et helhetlig rammeverk for å identifisere, beskytte mot, oppdage, håndtere og gjenopprette etter IKT-risiko, forankret i ledelsen.
- Håndtering og rapportering av IKT-hendelser. Alvorlige IKT-relaterte hendelser skal klassifiseres og rapporteres til Finanstilsynet innen fastsatte frister.
- Testing av digital motstandsdyktighet. Foretaket må teste systemene jevnlig, og de største aktørene må gjennomføre trusselbasert penetrasjonstesting (TLPT).
- Håndtering av tredjepartsrisiko. Foretaket må føre et register over informasjon om alle avtaler om bruk av IKT-tjenester fra tredjeparter, og sikre at avtalene oppfyller DORAs kontraktskrav.
- Informasjonsdeling. Foretak oppfordres til å dele informasjon om cybertrusler.
Registeret over informasjon: kjernen i DORA
Det mest konkrete og arbeidskrevende kravet for mange foretak er registeret over informasjon om IKT-tredjepartsavtaler. Registeret skal gi Finanstilsynet full oversikt over hvilke IKT-tjenester foretaket kjøper, fra hvem, og hvor kritiske de er. Dette overlapper tett med GDPRs krav om databehandleravtaler og behandlingsprotokoll: mange av de samme leverandørene skal uansett kartlegges. Å samordne DORA-registeret med personvernarbeidet reduserer dobbeltarbeid betydelig.
De fem søylene i praksis
DORA er detaljert, men kan kokes ned til hva Finanstilsynet forventer å se på hvert område:
| Søyle | Hva Finanstilsynet forventer |
|---|---|
| IKT-risikostyring | Et dokumentert rammeverk forankret i styret, med kartlagt risiko og tiltak |
| Hendelseshåndtering | Klassifisering og rapportering av alvorlige hendelser innen fristene |
| Motstandsdyktighetstesting | Jevnlig testing, TLPT for de største aktørene |
| Tredjepartsrisiko | Fullstendig register og DORA-konforme leverandøravtaler |
| Informasjonsdeling | Rutiner for å dele informasjon om cybertrusler |
Et foretak som kan dokumentere disse fem områdene, er godt rustet for tilsyn. Svakheten hos mange er tredjepartssøylen, fordi den krever oversikt over hele IKT-leverandørkjeden – noe få foretak har hatt fra før.
Kontraktskrav til leverandøravtaler
Et av de mest konkrete DORA-kravene er at avtaler med IKT-tredjeparter må inneholde bestemte klausuler. Det gjelder blant annet tydelig beskrivelse av tjenesten, krav til datalokasjon og -sikkerhet, revisjons- og tilgangsrett for foretaket og Finanstilsynet, bestemmelser om underleverandører, samt en exit-strategi som sikrer at foretaket kan bytte leverandør uten uakseptabel avbruddsrisiko. Norske finansforetak må derfor gjennomgå eksisterende avtaler og reforhandle dem som ikke oppfyller kravene. Dette overlapper direkte med GDPRs databehandleravtaler, siden mange IKT-leverandører også er databehandlere – et argument for å håndtere begge i samme system.
Overlappet med GDPR og NIS2
DORA, GDPR og NIS2 hviler på samme logikk: dokumentert risikostyring, systematisk hendelseshåndtering og ledelsesansvar. Et alvorlig IKT-angrep mot et finansforetak kan utløse plikter etter flere regelverk samtidig – rapportering til Finanstilsynet etter DORA og, dersom personopplysninger rammes, avviksmelding til Datatilsynet innen 72 timer etter GDPR artikkel 33. Datatilsynets håndheving viser hvor dyrt sikkerhetssvikt er: SATS Norge fikk 10 millioner kroner og Trumf 5 millioner kroner. Se oversikten over overtredelsesgebyr og bakgrunnen i guiden til GDPR i Norge. For NIS2, som ventes innført i løpet av 2026, gjelder tilsvarende overlapp.
Hvordan oppfylle DORA i praksis
Fordi DORA allerede er i kraft, bør norske finansforetak prioritere tre ting: etablere og vedlikeholde tredjepartsregisteret, sette opp en tydelig arbeidsflyt for klassifisering og rapportering av IKT-hendelser til Finanstilsynet, og gjennomgå leverandøravtalene mot DORAs kontraktskrav. For de fleste foretak gir det liten mening å drive DORA, GDPR og NIS2 i adskilte systemer. En integrert plattform som Legiscope samler risiko, dokumentasjon og leverandørkontroll på tvers av regelverkene, med EU-hosting og norsk utdata. For verktøyvalg spesifikt for DORA, se beste DORA-programvare.
Forholdsmessighet: ikke alle krav gjelder likt
DORA bygger på et forholdsmessighetsprinsipp. Kravene skaleres etter foretakets størrelse, risikoprofil og kompleksitet, slik at et lite betalingsforetak ikke pålegges det samme som en stor systemkritisk bank. Enkelte mindre foretak omfattes av et forenklet rammeverk for IKT-risikostyring med lettere krav. Det betyr likevel ikke at små foretak slipper unna: grunnpliktene – et rammeverk for IKT-risikostyring, hendelsesrapportering og et tredjepartsregister – gjelder også dem, men detaljnivået tilpasses. For norske foretak er det derfor viktig å avklare tidlig hvilket regime de faller inn under, slik at ressursene rettes riktig.
Hva bør norske finansforetak gjøre nå?
Fordi DORA allerede er i kraft, bør arbeidet prioriteres i denne rekkefølgen: etabler og fyll ut tredjepartsregisteret, som er det mest arbeidskrevende og det Finanstilsynet raskest etterspør; gjennomgå leverandøravtalene mot DORAs kontraktskrav og reforhandle der det trengs; sett opp en tydelig arbeidsflyt for klassifisering og rapportering av alvorlige IKT-hendelser; og forankre IKT-risikostyringen i styret. Fordi mye av dette overlapper med personvernarbeidet, gir det mening å samordne det i ett system framfor å bygge parallelle registre.
Ofte stilte spørsmål
Er DORA gjeldende i Norge?
Ja. DORA er tatt inn i EØS-avtalen og gjennomført i norsk rett gjennom DORA-loven og DORA-forskriften, begge i kraft fra 1. juli 2025. Finanstilsynet er tilsynsmyndighet.
Hvilke foretak omfattes av DORA i Norge?
DORA omfatter banker, forsikringsselskaper, betalingsforetak, e-pengeforetak, verdipapirforetak, forvaltningsselskaper og flere, samt kritiske IKT-tredjepartsleverandører til finanssektoren. Enkelte mindre foretak kan være omfattet av et forenklet regime.
Hva er det viktigste kravet i DORA?
For mange foretak er registeret over informasjon om IKT-tredjepartsavtaler det mest arbeidskrevende. I tillegg står IKT-risikostyring og hendelsesrapportering til Finanstilsynet sentralt. Registeret overlapper med GDPRs databehandleravtaler, noe som gir mulighet for samordning.
Hvem fører tilsyn med DORA i Norge?
Finanstilsynet fører tilsyn med DORA i Norge. Kritiske IKT-tredjepartsleverandører kan i tillegg settes under direkte tilsyn på europeisk nivå gjennom de europeiske tilsynsmyndighetene.
Må leverandøravtalene reforhandles på grunn av DORA?
Ofte ja. DORA krever at avtaler med IKT-tredjeparter inneholder bestemte klausuler om blant annet revisjonsrett, datalokasjon, underleverandører og exit-strategi. Avtaler som ble inngått før DORA, mangler gjerne disse, og må derfor gjennomgås og reforhandles der de ikke oppfyller kravene.
Konklusjon
DORA er gjeldende rett i Norge fra 1. juli 2025, håndhevet av Finanstilsynet, og stiller detaljerte krav til norske finansforetak om IKT-risikostyring, hendelsesrapportering, testing og tredjepartsoppfølging. Fordi regelverket allerede er i kraft, haster arbeidet – særlig registeret over IKT-tredjepartsavtaler. Fordi kravene overlapper tungt med GDPR og NIS2, gir det mest mening å samordne DORA-arbeidet med det øvrige samsvarsarbeidet i én plattform framfor å bygge adskilte systemer for hvert regelverk.
Sist gjennomgått: juli 2026.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial