DORA — DIGITAL OPERATIONAL RESILIENCE ACT

Hvor vi passer i DORA

IdentityStream er bygget for IKT-risikostyring, identitets- og tilgangsstyring, IKT-hendelsesrapportering og IKT-leverandørrisiko — inkludert Register of Information. Vi er ikke et verktøy for motstandstesting og ikke en plattform for trusseletterretning — denne siden viser nøyaktig hva vi dekker, hva vi ikke gjør, og hvilke bevis du får ut.

Book DORA-demo Be om DORA-vurdering

DORA har vært gjeldende fra 17. januar 2025. Tilsynet er nå rettet mot dokumentasjon, bevis og Register of Information.

Der IdentityStream gir verdi i DORA

Fire områder hvor modulene våre gir deg konkrete artefakter, arbeidsflyt og revisjonsspor — koblet til DORA-artiklene revisor faktisk spør om.

IKT-risikostyring & tilgangsstyring

DORA Art. 5–14 · IAM / IGA

Gå fra regneark og ad-hoc godkjenninger til en styrt livssyklus for hver identitet — ansatte, konsulenter og maskinkontoer — med dokumentert eierskap, minste privilegium og periodisk gjennomgang.

Automatisert Registring / Endring / Sluttføring på tvers av HR, AD / Entra ID og fagsystemer, med rollemodeller som kombinerer RBAC, ABAC, PBAC og DAC og rolleutvinning via IdentityMap.
Et nytt risikoregister som kobler hver risiko direkte til prosesser, systemer, leverandører, kontrakter, hendelser og oppfølgingstiltak — et levende risikobilde, ikke et regneark én gang i året.
Funksjons- og prosessregister med Business Impact Analysis (BIA), kritikalitet, RTO og RPO per prosess, og kobling til DORA-konsesjonspliktige aktiviteter.
Periodiske tilgangsgjennomganger, avviksrapporter (tiltenkt vs faktisk tilgang) og fire-øyne-godkjenninger med fullt revisjonsspor.
PoPS — en strukturert beslutningsprosess for risikovurdering av endringer i produkter, organisasjon, prosesser og systemer før de settes i drift.

IdS IAM IdS Risk

Håndtering og rapportering av IKT-hendelser

DORA Art. 17 & 19 · IdS RegTech

En strukturert arbeidsflyt fra første signal til endelig rapport — med DORA-klassifiseringskriteriene innebygd, slik at du raskt ser om en hendelse skal rapporteres til Finanstilsynet.

Strukturert IKT-hendelsesregister med alvorlighetsgrad, rotårsak, eier og full tidslinje — håndterer også svindel, AHV-varsler og kundeklager i samme arbeidsflyt.
Innebygd DORA-klassifisering (kunder berørt, nedetid, datatap, geografisk spredning, kritikalitet, omdømme- og økonomiske konsekvenser) med automatisk varsel når rapporteringsgrensene overskrides.
Veiledet rapporteringsflyt: 4-timers første melding → 72-timers statusrapport → sluttrapport innen én måned, med påminnelser og ledelseseskalering.
Direkte innsending til Finanstilsynet via Altinn-integrasjon — samme sak både kjører responsen og produserer den regulatoriske rapporten.
Hver hendelse kobles til korrigerende tiltak i Tiltaksdatabasen og til berørte systemer, leverandører og prosesser — ingen separat Excel for oppfølging.

IdS RegTech IdS ITSM

IKT-leverandørrisiko & Register of Information

DORA Art. 28–30 · IKT-leverandøravtaler & ContractManager

Et levende register over IKT-leverandøravtalene dine — ikke et regneark én gang i året. Bygget for å produsere Register of Information (RoI) i formatet Finanstilsynet forventer.

Levende Register of Information med forretningsfunksjoner, IKT-tjenester, leverandører, underleverandører og dataflyt — full sporbarhet fra dataelement til ansvarlig funksjon.
Fullstendig, delvis og årlig RoI-rapport generert i xBRL-CSV — pakket som ZIP klar for Finanstilsynet, med direkte innsending av nye IKT-avtaler via KRT-1121 i Altinn.
KI-assistert, kontinuerlig leverandørovervåking av offentlige kilder — Brønnøysund-kunngjøringer, eInnsyn-vedtak, nyheter og åpenhetslovsinformasjon — som gjenåpner leverandørvurderinger når risikobildet endrer seg.
Kontraktsregister med fornyelsesvarsler, exit-planer, SLA / KPI-oppfølging og rapporter på leverandører uten kontrakt, revisjon eller oppdatert vurdering.
Visualisering av konsentrasjonsrisiko på tvers av underleverandører — så du faktisk ser, ikke bare beskriver, de kritiske avhengighetene dine.

IdS IKT-tjenesteavtaler IdS ContractManager

Internkontroll, styring & revisjonsklare bevis

På tvers · IdS Risk POPS + Tiltaksdatabase

Daglig operativt arbeid — godkjenninger, gjennomganger, hendelser, leverandøroppfølging — produserer sporet en revisor eller Finanstilsynet vil etterspørre. Ingen egen bevis-runde.

Kontrolldatabase der kontroller er koblet til risikoer, hendelser og myndighetskrav — utførelse og resultater dokumenteres, med dashboards og varsler til ledelsen.
Tiltaksdatabase som knytter funn fra revisjoner, IKT-hendelser og tilsynsbrev til navngitt eier, frist og status — med mønsteranalyse som avdekker gjentakende problemområder.
Årlig IKT-risikorapport til styret, automatisk konsolidert fra risikovurderinger, hendelser, tiltak, leverandører og kontroller — én kilde, ikke en manuell øvelse.
Lokale og globale dashboards på tvers av tjenester og tenants, med data tilgjengelig via API og eksport til Power BI for analyseplattformen du allerede bruker.
Fullt revisjonsspor med vedlegg og historikk på hver endring, samt eksport til PDF, PNG og PowerPoint for styrerapportering og tilsynsdialog.

IdS IAM IdS RegTech IdS Risk

Konkrete funksjoner du kan se på demo

Produksjonsklare funksjoner som allerede kjører hos norske finansinstitusjoner — pluss neste bølge vi ruller ut nå.

Registring / Endring / Sluttføring

Helhetlig livssyklus fra HR-hendelse til tilgangsendring, med rettidig fjerning når folk slutter.

Periodiske tilgangsgjennomganger

Kampanjer med kontrollører, påminnelser, signering og eksporterbare bevis.

Avviks- og unntaksrapporter

Tiltenkt tilgang vs faktisk tilgang — finn gapene før revisor gjør det.

Styring av eksterne brukere

Konsulenter og tredjepartspersonell med sponsorer, utløpsdatoer og re-attestering.

Fire-øyne & SoD-kontroller

Dobbel godkjenning og kontroll av ansvarsdeling på sensitive rolletildelinger.

Hendelsesklassifisering (DORA)

Innebygde kriterier, automatisk varsel og rapporteringsflyt til Finanstilsynet.

Register of Information

RoI med underleverandører, forretningsfunksjoner og xBRL-CSV-eksport for KRT-1121.

Leverandør- og kontraktoppfølging

Fornyelser, exit-planer, SLA / KPI, periodiske revisjoner og funn per leverandør.

Ledelsesdashboards

Status på tilganger, hendelser, leverandører og funn — lokalt og på alliansenivå, med API- og Power BI-eksport.

Funksjons- og prosessregister med BIA

Funksjoner, prosesser, RTO / RPO, kritikalitet og DORA-konsesjonspliktige aktiviteter i ett navigerbart register.

Kontrolldatabase

Definer, planlegg, dokumenter og følg opp kontroller koblet til risikoer, hendelser og myndighetskrav.

Policy- og rutineregister

Søkbart register over policyer og rutiner med prosesskart, periodisk gjennomgang og KI-assistert oppslag.

KI-FØRST GRC

DORA-bevisene rett ved hånden — inne i Microsoft Teams

Vi bygger ikke nok en isolert KI. Vi gjør GRC-dataene dine tilgjengelige i verktøyene banken allerede bruker — Microsoft Copilot, Teams og Power BI — forankret i norsk finansregulering.

Copilot- og Teams-integrasjon

En egen Graph Connector eksponerer IdentityStream-data mot Microsoft 365. Spør 'vis åpne DORA-hendelser' eller 'siste risikovurdering for boliglånsprosessen' i Teams og få et interaktivt Adaptive Card tilbake — for rådgivere, compliance, IT-sikkerhet og ledelsen.

KI-veiviser for komplekse GRC-skjemaer

Steg-for-steg-veiledning gjennom PoPS, DPIA, leverandørvurderinger og andre lange skjemaer. Forslag hentes fra vedlegg, relaterte saker og GRC-taksonomien — hvert med konfidensskår og kildehenvisning. Saksbehandler godtar, redigerer eller avviser; KI-en overstyrer aldri.

KI-drevet leverandørovervåking

Kontinuerlig skanning av Brønnøysund-kunngjøringer, eInnsyn-vedtak og nyheter etter signaler som påvirker en leverandørs soliditet eller omdømme. Når noe endres, foreslår systemet at leverandørvurderingen eller kontrakten gjenåpnes.

KI-forslag til risikoer, kontroller og tiltak

Når en ny sak registreres, foreslår KI-en koblinger til eksisterende risikoer, kontroller, tiltak og lignende tidligere saker — eller foreslår å opprette nye hvis det finnes gap. Bygger et mer konsistent og komplett GRC-datasett over tid.

Automatisk identifisering av vurderingsområder

KI-en foreslår hvilke fagroller som bør involveres i hver sak — informasjonssikkerhet, personvern, juridisk, operasjonell risiko, IT-arkitektur, leverandørrisiko — så riktige folk trekkes inn fra start.

KI-felt i 0-kode skjemabygger

Legg KI-felt til dine egne skjemaer — autosammendrag, foreslåtte verdier, alvorlighets- og risikoskåring — uten å skrive en eneste linje kode. Bankens spesialtilpassede compliance-flyter får samme intelligens som standardmodulene våre.

Alle KI-forslag er beslutningsstøtte, ikke autobeslutninger. Hver endring har fullt revisjonsspor.

FOR ALLIANSER & KONSERN

GRC Standardbank — ett rammeverk, mange institusjoner

For sparebankallianser og konsern: et sentralt vedlikeholdt GRC-rammeverk — systemkatalog, leverandørregister, RoI, GDPR-behandlingsprotokoll, hendelsesdatabase, tiltaksdatabase og PoPS — distribuert til hver medlemsbank, med full frihet til å legge til lokale elementer. Stordriftsfordeler på regelverk, uten å miste lokalt eierskap.

Felles struktur, kategorier og minimumsdata — så ledelsen kan sammenligne på tvers av konsernet.
Sentralt vedlikeholdte PoPS-beslutninger, distribuert til hver bank — endringsrisiko håndtert én gang, brukt overalt.
Lokal frihet: hver institusjon legger til egne systemer, leverandører, prosesser og hendelser i samme modell.
Start selvstendig, koble på en Standardbank senere — datamodellen og modulene er de samme uansett.

Levert gjennom våre partnere

To DORA-områder vi dekker gjennom dyktige, spesialiserte partnere — ikke selv. Du får ett samlet program, med IdentityStream som system of record og partnerne våre som leverer det de er best på.

Operasjonell motstandstesting

DORA Art. 24–27 — via partnere

Trusselbaserte penetrasjonstester (TLPT), red-team-øvelser, sårbarhetsskanning, scenariotester og gjenopprettingsøvelser leveres av våre spesialiserte sikkerhets- og testpartnere.

Slik knytter IdentityStream det sammen: Planlegge og dokumentere testprogrammet, registrere omfang og funn fra partnerne, og følge opp tiltak i Tiltaksdatabasen slik at funn ikke blir borte.

Informasjonsdeling & trusseletterretning

DORA Art. 45 — via partnere

Cyber threat intelligence-deling, ISAC-deltakelse og feed-integrasjoner leveres av våre partnere på spesialiserte plattformer og i bransjemiljøer.

Slik knytter IdentityStream det sammen: Dokumentere deltakelse i delingsordninger, registrere relevant etterretning som IKT-risikoinput, og koble det til hendelser og leverandørrisiko i IdentityStream.

Hvorfor norske finansinstitusjoner velger IdentityStream til DORA

Bygget med norske sparebanker for norsk regulatorisk virkelighet — og ærlig om hva vi er.

Omtrent 80 % av norske sparebanker bruker allerede IdentityStream — bygget direkte på DORA, GDPR og Finanstilsynets forventninger, ikke oversatt fra amerikanske/EU-generiske rammeverk.
Kundedrevet innovasjon: modulene utvikles sammen med norske banker, så funksjonaliteten matcher faktisk tilsynsdialog — ikke et globalt veikart fra et utenlandsk hovedkontor.
Revisjonsklare bevis blir et biprodukt av daglig arbeid, ikke et eget prosjekt — RoI klar for Finanstilsynet i forventet format.
Én plattform for IAM, leverandørrisiko, kontrakter, hendelser, kontroller og funn — færre integrasjoner, lavere totalkostnad.
0-kode skjemabygger lar teamet ditt legge til nye compliance-flyter, med KI-felt, uten å involvere utviklere.
Ærlig scope og deployment-fleksibilitet: SaaS i Azure eller on-prem, og vi er tydelige på hva vi ikke gjør — så du kan velge riktige partnere for testing og trusseletterretning.

Underlagt NIS2 / Digitalsikkerhetsloven også?

Det meste av DORA-arbeidet — IKT-risiko, hendelsesrapportering, leverandørregister, kontroller, revisjonsspor — overføres direkte. Vi har laget en egen side som viser hvordan IdentityStream støtter Digitalsikkerhetsloven.

Se NIS2-siden vår →