Kruso Logo
Kontakt os

DORA Agent | AI

Opnåelse af DORA-compliance på tværs af organisationen

EU’s forordning om digital robusthed er nu gældende. Men mange organisationer kæmper stadig med at dokumentere, hvordan de faktisk efterlever kravene. Her får du en praktisk tjekliste og et indblik i, hvordan vores DORA Agent kan hjælpe dig med at få styr på både overblik og compliance. 

DORA er nu virkelighed - men er du operativt compliant?

DORA - eller Digital Operational Resilience Act - er trådt i kraft og har været gældende siden januar 2025. Alle organisationer i den finansielle sektor fra banker og forsikringsselskaber til fintechs og deres leverandører er nu forpligtet til at dokumentere og sikre, at deres digitale modstandsdygtighed er i orden.  

Men at være “DORA-klar” er ikke det samme som at være DORA-compliant i drift. 

Mange oplever stadig: 

  • Manglende sammenhæng mellem politik og praksis 

  • Uklare processer for hændelseshåndtering og rapportering 

  • Manuelle og fragmenterede arbejdsgange, der gør dokumentation besværlig 

DORA handler nemlig ikke kun om at have regler på plads men om at kunne bevise, at de virker. Her kommer en tjekliste ind som et enkelt, effektivt redskab til at identificere svagheder og styrker i jeres compliance-setup. 

DORA’s fem søjler - kort fortalt

  1. IKT-risikostyring

    Organisationer skal opsætte og vedligeholde robuste IT-systemer, der kan modstå og begrænse virkningen af IKT-risici. Det indebærer: 

    • Identifikation og klassificering af kritiske funktioner og aktiver 

    • Løbende overvågning af alle kilder til digitale risici 

    • Implementering af detaljerede beredskabs- og genopretningsplaner, som testes mindst én gang årligt 

    • Mekanismer til hurtigt at opdage unormal adfærd og lære af både interne og eksterne hændelser 

    Risikostyring skal være levende og operationel, ikke bare noget, der ligger i en PDF i governance-mappen.

  2. Hændelseshåndtering og rapportering

    DORA stiller krav om en ensartet og rettidig rapportering af IT-relaterede hændelser. Det betyder: 

    • Hændelser skal logges, klassificeres og vurderes ift. en fælles EU-standard 

    • Alvorlige hændelser skal rapporteres i tre faser: indledende, foreløbig og endelig 

    • Rapporteringen skal ske via de skabeloner og flows, der er fastlagt af de europæiske tilsynsmyndigheder (EBA, EIOPA og ESMA) 

    Det kræver, at organisationer har automatiserede processer og klare ansvarsfordelinger for både overvågning og indberetning. 

  3. Test af digital robusthed

    Organisationer skal teste deres digitale robusthed mindst én gang om året, og det er ikke nok med overfladiske checklister. Kravene inkluderer: 

    • Grundlæggende teknisk test af systemer og værktøjer 

    • Hurtig identifikation og udbedring af svagheder 

    • Avancerede trusselsbaserede penetrationstests (TLPT) for systemer, der understøtter kritiske funktioner 

    DORA insisterer på, at resiliens skal testes - ikke antages. 

  4. Styring af tredjepartsleverandører

    DORA indfører skærpede krav til samarbejdet med leverandører af IT-tjenester, særligt dem med kritisk betydning. Det indebærer bl.a.: 

    • Overvågning af alle outsourcede aktiviteter – inkl. koncerninterne 

    • Fokus på koncentrationsrisici og videreoutsourcing 

    • Harmonisering af kontraktindhold, herunder SLA’er, dataplacering og adgangsforhold 

    • Fuldt register over leverandører og underleverandører, som løbende opdateres 

    Virksomheder skal kunne bevise, at de har styr på hele deres digitale leverandørkæde, og at de kan reagere, hvis noget fejler.

  5. Informationsdeling

    Endelig opfordrer DORA til aktiv udveksling af viden om cybertrusler og digitale sårbarheder, både mellem virksomheder og fra myndigheder. Det betyder, at: 

    • Virksomheder kan etablere samarbejdsfora og delingsordninger 

    • Tilsynsmyndigheder vil dele anonymiserede cybertrussel data 

    • Organisationer bør have en fast proces for at reagere på delte trusselsoplysninger 

    Informationsdeling er ikke et krav om at "blotte sig", men en måde at styrke det kollektive cyberforsvar i hele sektoren.

DORA Agent

DORA’s fem søjler er tydelige og ambitiøse men også komplekse at efterleve i praksis. Det kræver, at organisationen arbejder struktureret på tværs af IT, ledelse, sikkerhed og compliance. Og her kan Kruso’s DORA Agent spille en nøglerolle: Ved at samle data, visualisere status og automatisere dokumentation, hjælper den med at gøre DORA-arbejdet levende, gennemsigtigt og håndterbart hver dag. 

Hos Kruso har vi udviklet en prototype på en DORA Agent - et digitalt værktøj, der hjælper organisationer med at samle, visualisere og automatisere deres compliancearbejde. 

Med DORA Agent kan du:  

  • Få et visuelt overblik over jeres compliance status i realtid 

  • Identificere mangler og risici på tværs af systemer 

  • Generere dokumentation og rapportering automatisk 

  • Understøtte samarbejdet mellem IT, governance og ledelse 

Vores løsning er bygget med API-first principper, så den let kan integreres i eksisterende systemlandskaber uden tunge skift eller datadubletter.

DORA-compliance gjort enkelt med den AI-drevne DORA Agent

Nysgerrig på DORA Agent? Læs mere her

Mød teamet bag DORA Agent

Du vil muligvis også gerne læse

DORA-compliance gjort enkelt med den AI-drevne DORA AgentHvordan AI kan hjælpe organisationer med DORA
daEN