DDigital Hjem

DORA-Compliance for Finansielle Virksomheder 2026: Den Komplette Implementeringsguide

Hvis du arbejder i en dansk bank, forsikringsselskab eller investeringsselskab, har du sandsynligvis allerede hørt om DORA. Men hvad betyder det egentlig

MH
·16 min læsetid

DORA-Compliance for Finansielle Virksomheder 2026: Den Komplette Implementeringsguide

Hvis du arbejder i en dansk bank, forsikringsselskab eller investeringsselskab, har du sandsynligvis allerede hørt om DORA. Men hvad betyder det egentlig for din virksomhed? Og vigtigere endnu — hvad skal du gøre nu for at være klar til 2026?

Jeg har selv siddet i møder, hvor compliance-teamet præsenterede DORA-kravene, og jeg så øjnene blive store rundt omkring bordet. Det er ikke uden grund. DORA-compliance finansielle virksomheder 2026 er ikke blot endnu en regulering man krydser af på en checklist. Det handler om at gøre din organisation modstandsdygtig mod cyberangreb, IT-fejl og operationelle kriser — og det kræver grundlæggende ændringer i hvordan du håndterer digital sikkerhed.

I denne guide tager jeg dig gennem hele processen: hvad DORA er, hvad det kræver, hvordan du implementerer det praktisk, og hvilke fejl du skal undgå. Lad os komme i gang.

Hvad er DORA, og hvorfor er det kritisk for danske finansielle virksomheder?

DORA står for Digital Operational Resilience Act, og det er EUs svar på en simpel erkendelse: finansielle institutioner er blevet dybt afhængige af digitale systemer, og når disse systemer fejler — eller bliver angrebet — kan det få hele økonomien til at vakle.

Tænk på det sådan: for 20 år siden handlede bankfejl primært om mennesker, der gjorde fejl i regneark. I dag handler det om cyberangreb, som kan lamme hele betalingssystemer på få minutter. EU besluttede derfor at gøre digital modstandskraft til et regulatorisk krav, ikke blot en best practice. DORA trådte i kraft for større finansielle institutioner primo 2025, og fra januar 2026 gælder det for alle mindre virksomheder og SMV'er i finanssektoren.

Hvad betyder "digital modstandskraft" konkret? Det betyder at din virksomhed skal kunne:

  • Modstå cyberangreb uden at miste kritiske funktioner
  • Gendanne systemer hurtigt, hvis de fejler eller bliver kompromitteret
  • Dokumentere og rapportere alvorlige IT-hændelser til tilsynsmyndigheder
  • Vurdere og styre risikoen fra dine IT-leverandører

I Danmark håndhæves DORA af Finanstilsynet, som har gjort det klart at de forventer fuld compliance senest januar 2026 for mindre virksomheder. Større institutioner skulle allerede være fuldt implementeret ved udgangen af 2025. Finanstilsynet begynder nu at foretage inspektioner, og de er ikke bløde på compliance-fejl.

Hvem skal overholde DORA? Kort sagt: alle finansielle institutioner. Det inkluderer banker, forsikringsselskaber, investeringsselskaber, pensionsfonde, og selv nogle fintech-virksomheder med finansiel tilladelse. Der er forskellige implementeringstidslinjer baseret på størrelse, men alle skal til sidst være fuldt compliant.

De Fire Søjler i DORA-Compliance: Hvad skal du implementere?

DORA bygger på fire hovedpiller, og hver enkelt kræver betydelig indsats. Jeg har set virksomheder, som troede de kunne implementere DORA på tre måneder — de var ikke forberedt på kompleksiteten.

1. ICT-Risikoledelse: Systematisk Håndtering af IT-Risici

Den første søjle handler om at etablere en systematisk proces for at identificere, vurdere og håndtere IT-risici. Dette er ikke nyt — de fleste virksomheder har allerede en form for IT-risikostyring — men DORA stiller meget mere stringente krav til dokumentation og kontinuerlig overvågning.

Du skal dokumentere:

  • En komplet IT-risikoinventar over alle dine kritiske systemer
  • En risikovurdering af hver system baseret på sandsynlighed og påvirkning
  • Mitigationsstrategier for hver identificeret risiko
  • En kontinuerlig overvågningsproces, som opdateres mindst årligt

I praksis betyder det at du skal have et risikoregister, som er vedligeholdt, dokumenteret og tilgængeligt for tilsynsmyndigheder. Jeg har set virksomheder, som havde alt dette i deres hoveder — det holder ikke. DORA kræver papirspor.

2. Rapportering af Alvorlige IT-Hændelser

Når noget går galt — og det gør det for alle på et eller andet tidspunkt — skal du rapportere det til Finanstilsynet. Men ikke bare enhver IT-fejl. DORA definerer "alvorlige IT-hændelser" som hændelser, der påvirker kritiske forretningsprocesser og resulterer i betydelig tab af data, funktionalitet eller indtjening.

Rapporteringskravene er stramme:

  • Du skal rapportere inden for 24 timer efter at du har opdaget hændelsen
  • En detaljeret rapport skal følges op inden for 10 dage
  • Du skal dokumentere årsagen, påvirkningen og hvad du gjorde for at løse det
  • Du skal have en incident response-plan, som er testet og dokumenteret

Mange virksomheder undervurderer denne del. De tænker "vi har aldrig haft alvorlige hændelser," men sandheden er at næsten alle finansielle institutioner vil opleve mindst en rapporteringspligtig hændelse inden for de næste par år. At være forberedt betyder at have en incident response-plan, som er kendt blandt dine medarbeidere, og som er testet regelmæssigt.

3. Test af Digital Modstandskraft: Penetrationstests og Øvelser

DORA kræver at du tester din modstandskraft aktivt. Det betyder ikke blot at køre et sikkerhedsscan en gang om året. Det betyder at du skal gennemføre:

  • Penetrationstests: Hvor en ekstern sikkerhedsfirma forsøger at hacke sig ind i dine systemer for at finde svagheder
  • Tabletop-øvelser: Scenariobaserede øvelser, hvor dine teams simulerer en cyberangreb eller IT-fejl og træner deres respons
  • Avancerede trusselscenarier: Mere realistiske scenarier, som tester din evne til at håndtere koordinerede angreb eller systemfejl

Disse tests skal dokumenteres, resultaterne skal analyseres, og du skal implementere forbedringer baseret på det du finder. DORA kræver at du gør dette mindst årligt, og for større virksomheder kan Finanstilsynet kræve hyppigere tests.

4. Tredjepartsleverandørers Resiliens: Vurdering af Kritiske IT-Leverandører

Her er noget som mange virksomheder glemmer: hvis en af dine kritiske IT-leverandører får et cyberangreb eller fejler, er det dit problem under DORA. Du kan ikke bare sige "det var leverandørens skyld." Du skal have vurderet deres sikkerhed, og du skal have aftaler på plads, som sikrer at de kan genopstarte kritiske tjenester hurtigt.

Du skal:

  • Identificere alle dine kritiske IT-leverandører (cloud-udbydere, betalingssystemer, osv.)
  • Vurdere deres resiliens baseret på sikkerhedsrapporter og kontroller
  • Sikre at dine kontrakter inkluderer resiliensmål (RTO/RPO) og rapporteringskrav
  • Foretage regelmæssige due diligence-vurderinger for at sikre at de lever op til standarderne

Cloud-udbydere som AWS, Microsoft Azure og Google Cloud har alle offentliggjort dokumentation om deres DORA-compliance, men det betyder ikke at du kan være passiv. Du skal stadig vurdere hvordan deres tjenester passer ind i din risikoprofil.

Praktiske Trin til DORA-Implementering i Din Finansielle Virksomhed

Nu hvor du forstår hvad DORA kræver, lad mig give dig en praktisk tidsplan for implementering. Dette er baseret på hvad jeg har set virksomheder gøre med succes.

Trin 1: Kortlæg Dine IT-Systemer og Kritiske Forretningsprocesser

Start her. Før du kan vurdere risici, skal du vide hvad du har. Jeg var engang i en virksomhed, som opdagede under DORA-forberedelserne at de havde et helt system, som ingen vidste hvem der ejede. Det var ikke sjovt at opdage under en compliance-audit.

Du skal dokumentere:

  • Alle IT-systemer og deres afhængigheder
  • Hvilke forretningsprocesser hver system understøtter
  • Hvilke data hver system håndterer (især persondata og finansielle data)
  • Hvor systemerne er hostet (on-premise, cloud, hybrid)
  • Hvem der har ansvar for hver system

Brug en arkitektur-tool som Lucidchart eller draw.io til at visualisere dette. Du skal kunne vise tilsynsmyndigheder en komplet kort over dit IT-landskab.

Trin 2: Identificer og Dokumenter Alle Cyberisici og IT-Afhængigheder

Nu skal du være ærlig med dig selv: hvad kan gå galt? For hver kritisk system skal du identificere potentielle trusler:

  • Cyberangreb (malware, ransomware, phishing, DDoS)
  • Hardware-fejl (driverfejl, strømfejl, netværksfejl)
  • Menneskelige fejl (forkert konfiguration, sletning af vigtige data)
  • Tredjeparts-fejl (leverandørens system går ned, API'er bliver uventet ændret)
  • Naturkatastrofer (brand, oversvømmelse, strømafbrydelse)

For hver trussel skal du vurdere: hvor sandsynlig er det, og hvad ville påvirkningen være hvis det skete? Denne vurdering skal dokumenteres i et risikoregister.

Trin 3: Etabler Risikovurderingsprocedurer og Kontinuerlig Overvågning

DORA kræver ikke blot en engangs-risikovurdering. Du skal have en kontinuerlig proces, som opdaterer risikobilledet når nye trusler dukker op eller når du implementerer nye systemer.

Etabler:

  • En årlig risikovurderingscyklus, hvor du gennemgår alle systemers risici
  • En proces for at håndtere nye trusler, når de opdages
  • Sikkerhedsscanning-værktøjer, som kontinuerligt overvåger dine systemer
  • Et sikkerhedsteam eller en ekstern partner, som kan analysere funde og anbefale handlinger

Hvis du har et lille IT-team, kan du outsource dele af denne funktion til en managed security service provider (MSSP), men du kan ikke outsource ansvaret. Du skal stadig kunne dokumentere at processen foregår.

Trin 4: Implementer Incident Response-Planer og Øvelser

Når (ikke hvis) der sker en alvorlig IT-hændelse, skal du være forberedt. Det betyder at have en incident response-plan, som er kendt blandt relevante medarbeidere, og som er testet regelmæssigt.

Din plan skal inkludere:

  • En eskalationsprocedure: hvem skal informeres når, og hvem tager beslutninger
  • Roller og ansvar: hvem er incident commander, hvem håndterer kommunikation, hvem håndterer teknisk remediation
  • Kommunikationsskabeloner: hvad skal du sige til kunder, medier og tilsynsmyndigheder
  • Genoprettelsesprocedurer: hvordan gendanner du systemer fra backup, hvordan verificerer du at data er intakt
  • Post-incident-analyse: hvordan dokumenterer du hvad der skete og hvad du lærer af det

Test denne plan mindst to gange om året gennem tabletop-øvelser. Jeg anbefaler at du involverer mennesker fra forskellige dele af organisationen — IT, compliance, ledelse, kundeservice — så alle forstår deres rolle.

Trin 5: Definer SLA'er og Resiliensmål for Kritiske Systemer

DORA bruger to vigtige metrics: RTO (Recovery Time Objective) og RPO (Recovery Point Objective).

  • RTO: Hvor lang tid må det maksimalt tage at få et system op at køre igen efter en fejl? For kritiske betalingssystemer kan det være 1 time, for mindre kritiske systemer kan det være 24 timer.
  • RPO: Hvor meget data må du maksimalt miste? Hvis du har en backup fra 6 timer siden, og systemet fejler, kan du miste op til 6 timer af data.

Du skal definere RTO og RPO for hver kritisk system, og du skal kunne dokumentere at du har infrastruktur på plads til at møde disse mål. Hvis du siger RTO = 1 time, skal du have test-bevis for at du faktisk kan gendanne inden for 1 time.

Disse mål skal også være en del af dine kontrakter med leverandører. Hvis du bruger en cloud-udbyder, skal deres SLA'er understøtte dine RTO/RPO-mål.

AI og Automation som Løsning på DORA-Udfordringer

Her er hvor det bliver interessant. DORA-compliance er ressourcekrævende, og mange virksomheder ser AI og automation som en måde at gøre det mere håndterligt på. Men som altid med AI, er det ikke så enkelt som det lyder.

AI-Drevet Anomalidetektering til Tidlig Opdagelse af Cyberangreb

En af de vigtigste dele af DORA er at opdage cyberangreb hurtigt. Traditionelle sikkerhedssystemer baserer sig på "signatures" — mønstre af kendt malware. Men nye angreb bruger ofte helt nye teknikker, som ikke matcher nogen kendt signature.

Her kommer AI ind. Machine learning-modeller kan lære hvad "normal" aktivitet ser ud som på dine netværk, og så flagge når noget afviger. Hvis der pludselig er en bruger, som downloader 100 gange mere data end normalt, eller hvis en server pludselig begynder at kommunikere med en ukendt IP-adresse, kan AI-systemet opdage det automatisk.

Virksomheder som Darktrace og Crowdstrike bruger præcis denne tilgang, og mange danske finansielle institutioner implementerer allerede sådan løsninger. Fordelen er at du kan opdage angreb meget hurtigere end ved manuel overvågning.

Automatiseret Incident Response Reducerer Responstid

Når en trussel er opdaget, kan du ikke altid vente på at en menneske reagerer. SOAR-platforme (Security Orchestration, Automation and Response) kan automatisere første-linje-responsen: isolere en inficeret server, blokere en mistænkt IP-adresse, eller starte en incident-rapport automatisk.

Dette betyder at selv hvis en cyberangreb starter kl. 3 om natten, kan automatisering begrænse skaden inden dine sikkerhedsteam engang er våget op. Det er ikke en erstatning for mennesker — det er en force multiplier.

Maskinlæring til Forudsigelse af IT-Risici og Systemfejl

DORA kræver at du kan forudsige og forhindre IT-fejl før de sker. Machine learning-modeller kan analysere historiske data om systemfejl og identificere mønstre. Hvis en bestemt type server plejer at fejle hver 18. måned, kan du planlægge vedligeholdelse før det sker.

Ligeledes kan AI analysere sikkerhedsdata for at identificere hvilke systemer eller brugergrupper der er mest udsatte for angreb, så du kan fokusere dine beskyttelsesressourcer der.

Balancering Mellem Compliance-Automation og EU AI Act Krav

Her er det vigtige: hvis du bruger AI til DORA-compliance, skal dit AI-system selv være compliant med EU AI Act. Og det er ikke trivielt.

EU AI Act klassificerer AI-systemer baseret på risiko, og sikkerhedsrelateret AI (som anomalidetektering) klassificeres som høj-risiko. Det betyder at du skal:

  • Dokumentere hvordan AI-modellen trænes og hvilke data den bruger
  • Kunne forklare AI-beslutninger (eller mindst dokumentere at du ikke kan)
  • Teste AI-systemet for bias og fejl
  • Have mennesker i løkken til at validere AI-anbefalinger før de implementeres

Jeg ser nogle virksomheder, som implementerer AI-løsninger uden at tænke på AI Act-kravene. Det er en fejl. Du kan ende med at være compliant med DORA, men ikke-compliant med AI Act, hvilket er lige så dårligt.

Almindelige DORA-Compliance Fejl og Hvordan Du Undgår Dem

Baseret på hvad jeg har set hos virksomheder, som implementerer DORA, er der nogle fejl som gentager sig igen og igen. Lad mig dele de vigtigste.

Fejl 1: Underestimering af Kompleksitet

Den mest almindelige fejl er at virksomheder tror de kan implementere DORA på 3-6 måneder. De kan ikke. DORA kræver grundlæggende ændringer i hvordan du håndterer sikkerhed, risiko og incident management. For en større virksomhed kan implementering tage 12-18 måneder.

Start tidligt. Hvis du ikke allerede er i gang, er du forsinket. Finanstilsynet begynder inspektioner nu, og de vil forvente at se dokumentation for at du er på vej.

Fejl 2: Manglende Tredjepartskontrol

Mange virksomheder fokuserer på deres egne systemer og glemmer deres leverandører. Men hvis din cloud-udbyder får et cyberangreb, eller hvis din betalingsleverandør fejler, påvirker det dig. Du skal have vurderet deres sikkerhed og du skal have aftaler på plads.

Jeg var engang i en virksomhed, som brugte en mindre cloud-udbyder til et kritisk system. Under DORA-forberedelserne opdagede de at leverandøren ikke havde nogle af de sikkerhedskontroller som DORA kræver. De måtte skifte leverandør. Det var dyrt og stressende, men bedre at opdage det før en compliance-audit.

Fejl 3: Uudsendende Testning

DORA kræver penetrationstests og tabletop-øvelser. Nogle virksomheder udsætter dette til sidste øjeblik, fordi de håber at "det ikke er nødvendigt." Det er det. Og når du til sidst kører testene, finder du altid problemer. Hvis du først opdager disse problemer tre måneder før deadline, er det for sent til at fikse dem ordentligt.

Min anbefaling: start med penetrationstests nu. Brug resultaterne til at informere dine remediation-prioriteter. Kør tabletop-øvelser hver anden måned.

Fejl 4: Dårlig Dokumentation

Dette er måske den vigtigste fejl. Du kan have implementeret alt hvad DORA kræver, men hvis du ikke kan dokumentere det, betyder det ikke noget under en audit. Finanstilsynet vil spørge: hvor er jeres risikoregister? Hvor er jeres incident response-plan? Hvor er beviset for at I har kørt penetrationstests?

Hvis du ikke kan vise det, antager tilsynsmyndigheder at du ikke har gjort det. Så dokumenter alt. Gem alle rapporter, test-resultater, og audit-spor.

Tidsplan og Deadlines for DORA-Compliance 2026

Lad mig være helt klar om tidsplanen. Dette er vigtig information, og jeg vil ikke have at du misforstår det.

Januar 2025: Større Finansielle Institutioner

Større finansielle institutioner skulle være fuldt compliant med DORA primo 2025. Hvis du er i denne kategori, er du allerede forsinket, hvis du ikke er fuldt implementeret nu. Finanstilsynet udfører inspektioner, og de ser ikke gerne at virksomheder siger "vi arbejder på det."

Januar 2026: Mindre Virksomheder og SMV'er

Mindre finansielle virksomheder og SMV'er har deadline 31. december 2025 for fuld DORA-compliance. Det betyder at du skal være klar inden årsskiftet. Hvis du læser dette i marts 2026, og du ikke er compliant, er du i alvorlig risiko for bøder.

Løbende: Årlige Rapporteringer og Opdateringer

DORA er ikke noget du implementerer og så glemmer. Du skal:

  • Opdatere dine risikovurderinger mindst årligt
  • Rapportere alvorlige IT-hændelser til Finanstilsynet inden 24 timer
  • Køre penetrationstests og tabletop-øvelser mindst årligt
  • Revidere dine incident response-planer årligt
  • Vurdere dine kritiske leverandører årligt

Vigtig: Finanstilsynet Begynder Inspektioner

Finanstilsynet har gjort det klart at de vil inspicere finansielle institutioners DORA-compliance. De ser på:

  • Risikoregistre og dokumentation af risikostyring
  • Incident response-planer og test-resultater
  • Penetrationtest-rapporter og remediation-status
  • Tredjepartsaftaler og due diligence-dokumentation
  • Rapportering af alvorlige IT-hændelser

Hvis de finder mangler, kan de udstede bøder. For større institutioner kan bøder være meget betydelige.

Ofte Stillede Spørgsmål om DORA-Compliance

Gælder DORA for alle finansielle virksomheder i Danmark?

DORA gælder for alle finansielle institutioner, herunder banker, forsikringsselskaber, investeringsselskaber og pensionsfonde. Der er dog forskellige implementeringstidslinjer baseret på virksomhedsstørrelse. Mindre virksomheder har længere tid til implementering end større institutioner. Hvis du har en finansiel tilladelse i Danmark eller EU, gælder DORA for dig.

Hvad er konsekvenserne af manglende DORA-compliance?

Manglende compliance kan resultere i betydelige bøder fra Finanstilsynet — op til 10 millioner euro eller 5% af årlig omsætning for større institutioner. Du kan også få offentlig kritik, tab af kundetillid, og potentielt tilbagekaldelse af licens. For danske finansielle virksomheder kan det også påvirke muligheden for at operere på tværs af EU. Kort sagt: det er ikke noget at tage let på.

Hvordan påvirker AI-regulering (EU AI Act) DORA-implementering?

Hvis du bruger AI-systemer til DORA-compliance (f.eks. til anomalidetektering eller incident response), skal disse også overholde EU AI Act. Du skal dokumentere at AI-løsningerne er pålidelige, transparente og ikke skaber uacceptable risici. Det betyder at du ikke bare kan implementere en AI-løsning og forvente at den er compliant. Du skal også håndtere AI Act-kravene.

Skal vi foretage penetrationstests for DORA?

Ja, DORA kræver regelmæssige penetrationstests og scenariobaserede øvelser (tabletop exercises). Disse skal dokumenteres og resultaterne skal bruges til at forbedre din resiliensstrategi. Testene skal være både interne og eksterne — du skal have en ekstern sikkerhedsfirma til at teste dine systemer, ikke blot dit eget team.

Hvad hvis vi bruger cloud-leverandører til kritiske systemer?

Cloud-leverandørers sikkerhed er dit ansvar under DORA. Du skal vurdere deres resiliens, få adgang til deres sikkerhedsrapporter og compliance-dokumentation, og sikre at deres SLA'er dækker dine RTO/RPO-mål. Hvis en kritisk cloud-leverandør får et cyberangreb eller fejler, skal du rapportere det til Finanstilsynet. Du kan ikke bare sige "det var leverandørens skyld."

Konklusion: Få Styr på DORA-Compliance Finansielle Virksomheder 2026 Nu

DORA-compliance finansielle virksomheder 2026 er ikke en engangs-opgave. Det er en grundlæggende ændring i hvordan du håndterer digital sikkerhed og operationel resiliens. Hvis du ikke allerede er i gang, er det tid til at starte nu.

Her er det vigtigste at huske:

  • Start nu: Hvis du venter til oktober 2025, er du for sent på vej. Implementering tager tid.
  • Dokumenter alt: DORA handler lige så meget om at kunne bevise compliance som det handler om at implementere det.
  • Test regelmæssigt: Penetrationstests og tabletop-øvelser er ikke noget du gør én gang. De skal være en kontinuerlig del af din sikkerhedskultur.
  • Håndter leverandører: Din sikkerhed er kun så god som dine leverandørers sikkerhed. Vurdér dem og hold dem ansvarlige.
  • Balancer automation og mennesker: AI og automation kan hjælpe, men mennesker skal stadig være i løkken og tage kritiske beslutninger.

Hvis du er usikker på hvor du skal starte, kan jeg anbefale at du:

  1. Kortlægger dine IT-systemer og kritiske processer
  2. Identificerer dine kritiske leverandører
  3. Hyrer en ekstern DORA-consultant til at vurdere din nuværende tilstand
  4. Udvikler en implementeringsplan baseret på denne vurdering
  5. Starter med de vigtigste områder først (incident response, penetrationstests)

DORA er ikke sjovt, men det er nødvendigt. Finansielle institutioner er kritisk infrastruktur, og når cyberangreb kan påvirke hele økonomien, er det rimeligt at regulatorer stiller krav. Din opgave er at sikre at din virksomhed møder disse krav — og gør det grundigt.

Hvis du har spørgsmål om DORA-implementering, eller hvis du vil dele dine erfaringer, er jeg altid interesseret i at høre fra dig. Digital sikkerhed og compliance er ikke noget man gør alene.

MH

Skrevet af

Martin Holm

Jeg har arbejdet med IT i over 15 år — fra systemadministration og cloud-infrastruktur til de seneste års eksplosion inden for kunstig intelligens. Til daglig hjælper jeg virksomheder med at implementere AI-løsninger, og om aftenen nørder jeg med de nyeste modeller, frameworks og tools. Denne blog er mit forsøg på at gøre AI og teknologi forståeligt for alle — uden unødvendigt jargon, men med den dybde emnet fortjener.

Læs også

Personalisering i E-handel: AI-værktøjer danske virksomheder skal bruge i 2026

16. marts 2026·15 min

Kompetencemangel ved AI-implementering i danske SMV'er: Løsninger og strategi 2026

16. marts 2026·16 min

NIS2-direktiv danske virksomheder implementering: Den komplette guide til compliance i 2026

15. marts 2026·12 min