Finanstilsynet fører IT-tilsyn efter DORA-forordningen, der bl.a. gælder for banker, forsikringsselskaber, pensionskasser, realkreditinstitutter og finansielle infrastrukturselskaber. Tilsynet med de finansielle virksomheder skal sikre, at virksomhederne kan modstå, håndtere og komme sig efter IT-relaterede hændelser. Tilsynet indebærer IT-inspektioner, løbende dialog med virksomhederne samt opfølgning på IT-hændelser mv. Nu er den første temaundersøgelse sat i gang på forsikrings- og pensionsområdet.
”DORA blev ikke kun indført, fordi det eksterne risikobillede har ændret sig. Finanssektorens afhængighed af IT er også blevet markant større, derfor er IT-risikoen blevet større, og derfor skal IT-risikostyringen være forankret i ledelsen,” siger kontorchef Adam Al-Saffar. ”Nu har DORA været gældende i ni måneder, og vi ønsker at undersøge, hvordan forsikringsselskaber og pensionskasser har arbejdet med forordningen. Undersøgelsen skal ses i forlængelse af vores øvrige tilsyn med DORA i forhold til bl.a. banker og finansielle infrastrukturselskaber.”
I forbindelse med temaundersøgelsen skal virksomhederne redegøre for deres implementering af DORA. Finanstilsynet vil særligt have fokus på virksomhedernes stillingtagen til og implementering af de centrale bestemmelser om IT-risikostyring i DORA-forordningen, herunder hvordan den er forankret i ledelsen.
Finanstilsynet undersøger i alt 14 forsikringsselskaber og pensionskasser og forventer at kunne publicere resultaterne i foråret 2026.
Om DORA-forordningen
Forordningen om digital operationel modstandsdygtighed (DORA) blev vedtaget i 2022 og har været gældende siden den 17. januar 2025[1]. Den moderniserer og harmoniserer IT-tilsynet i den finansielle sektor på tværs af virksomhedstyper i hele EU. Finanstilsynet har til opgave at føre tilsyn med efterlevelsen af DORA-forordningen.
Formålet er at styrke sektorens digitale operationelle modstandsdygtighed, bl.a. overfor cyberangreb. DORA retter sig mod de finansielle virksomheders håndtering af risici forbundet med brugen af informations- og kommunikationsteknologi (IKT), og er inddelt i fem søjler:
1) IKT-risikostyring
2) Styring, klassificering og indberetning af IKT-relaterede hændelser
3) Test af digital operationel modstandsdygtighed
4) Styring af IKT-tredjepartsrisici
5) Ordninger for informationsudveksling.
Læs mere om DORA-forordningen her
[1] EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011