Hva er DORA?
Digital Operational Resilience Act — kjent som DORA — er forordning (EU) 2022/2554, vedtatt av Europaparlamentet og Rådet den 14. desember 2022. EU publiserte den i Den europeiske unions tidende den 27. desember 2022. Den trådte i kraft 16. januar 2023 og ble fullt anvendelig den 17. januar 2025.
DORA adresserer et spesifikt gap i EUs finansielle regulering. Før DORA håndterte finansinstitusjoner operasjonell risiko primært ved å sette av kapital. Denne tilnærmingen dekket imidlertid ikke IKT-relaterte forstyrrelser tilstrekkelig, som kan påvirke mange institusjoner samtidig når en delt teknologileverandør svikter. Derfor introduserer DORA et enhetlig rammeverk på tvers av EU for IKT-risikostyring, hendelsesrapportering, testing av operasjonell motstandskraft og tilsyn med tredjeparts teknologileverandører.
Hvem må etterleve DORA?
DORA gjelder for to hovedgrupper av organisasjoner involvert i informasjons- og kommunikasjonsteknologi (IKT)-tjenester innen finanssektoren.
Den første gruppen er finansielle enheter. Disse inkluderer kredittinstitusjoner, betalingsinstitusjoner, e-pengeforetak, verdipapirforetak, forsikrings- og gjenforsikringsforetak, tilbydere av kryptotjenester, verdipapirsentraler, sentrale motparter og handelsplasser, blant andre oppført i forordningens artikkel 2.
Den andre gruppen er IKT-tredjepartsleverandører — selskaper som leverer teknologitjenester til finansielle enheter. Denne gruppen inkluderer skytjenesteleverandører, programvareutviklere, dataanalyseselskaper, cybersikkerhetsselskaper, datasenterleverandører og enhver annen leverandør hvis tjenester støtter en regulert finansinstitusjons virksomhet.
Viktig er det også at DORA dekker IKT-leverandører basert utenfor EU. Hvis et teknologiselskap i USA, Storbritannia eller Asia leverer tjenester til EU-regulerte finansinstitusjoner, gjelder DORA for det forholdet.
Kravet om LEI under DORA
DORA krever at finansielle enheter fører et detaljert informasjonsregister som dekker alle deres IKT-tredjepartsleverandører. Kommisjonens gjennomføringsforordning (EU) 2024/2956, publisert 2. desember 2024, fastsetter standardmalene for dette registeret.
Artikkel 3(5) i den nevnte gjennomføringsforordningen slår fast direkte:
“Finansielle enheter skal bruke en gyldig og aktiv identifikator for juridiske enheter (LEI) eller den europeiske unike identifikatoren nevnt i artikkel 16 i direktiv (EU) 2017/1132 (‘EUID’), og der begge disse identifikatorene er tilgjengelige, begge to, for å identifisere alle sine IKT-tredjepartsleverandører som er juridiske personer, med unntak av enkeltpersoner som opptrer i forretningsmessig sammenheng.”
Med andre ord må enhver IKT-tredjepartsleverandør som er en juridisk enhet, kunne identifiseres ved hjelp av enten en gyldig og aktiv LEI eller en EUID. Begge må være oppdaterte. En utgått eller foreldet LEI tilfredsstiller ikke dette kravet.
LEI eller EUID — hvilken gjelder for deg?
Begge identifikatorene tilfredsstiller DORA-kravene, men de dekker ulike situasjoner. Å forstå forskjellen hjelper deg med å velge riktig.
LEI (Legal Entity Identifier) er en globalt anerkjent alfanumerisk kode på 20 tegn basert på ISO-standard 17442. Global Legal Entity Identifier Foundation (GLEIF) forvalter det globale LEI-systemet og gjør alle LEI-data offentlig tilgjengelige i Global LEI Index. LEI dekker juridiske enheter i over 200 jurisdiksjoner og inkluderer også eierskaps- og kontrolldata.
EUID (European Unique Identifier) er knyttet til EUs system for sammenkobling av foretaksregistre (BRIS). Fordi den utelukkende er koblet til nasjonale registre i EU, dekker den kun enheter registrert i EUs medlemsstater.
Her trekker gjennomføringsforordningen et avgjørende skille: IKT-leverandører etablert utenfor EU må identifiseres kun ved bruk av LEI. EUID er rett og slett ikke tilgjengelig for enheter utenfor EU. Som følge av dette er LEI den eneste gyldige identifikatoren for enhver leverandør som opererer fra land utenfor EU.
For leverandører basert i EU fungerer begge identifikatorene. For globale operasjoner eller leverandører med eksponering utenfor EU, er imidlertid LEI det sterkeste valget på grunn av sin internasjonale anerkjennelse og bredere datadekning.
Hva “gyldig og aktiv” betyr i praksis
Gjennomføringsforordningen krever spesifikt en gyldig og aktiv LEI. Dette refererer til statusen som vises i GLEIFs globale database.
En LEI som viser statusen “Issued” (utstedt) er gyldig og aktiv, og tilfredsstiller dermed DORA. En LEI som viser “Lapsed” (utgått) har utløpt, og tilfredsstiller følgelig ikke kravet. Finansielle enheter kan ikke registrere en utgått LEI som en samsvarende identifikator i sitt informasjonsregister.
En LEI forblir gyldig i ett år fra utstedelsesdatoen eller siste fornyelse. Etter dette må eieren fornye den for å opprettholde aktiv status. Ved fornyelse verifiserer den utstedende organisasjonen enhetens referansedata — inkludert juridisk navn, registrert adresse og eierstruktur — mot offisielle registerkilder. Denne prosessen sikrer at dataene i den globale LEI-databasen forblir nøyaktige og oppdaterte.
Du kan sjekke statusen for enhver LEI ved å bruke GLEIFs LEI-søkevektøy eller gjennom LEI Systems søk.
Hvorfor LEI er den praktiske standarden for DORA-etterlevelse
DORA-regulatorene valgte LEI fordi den løser et problem som ingen nasjonal identifikator kan: konsekvent, grenseoverskridende identifikasjon av juridiske enheter i ett enkelt globalt anerkjent format.
Nasjonale organisasjonsnumre varierer betydelig mellom land, er ikke alltid maskinlesbare, og dekker ikke enheter utenfor EU i det hele tatt. LEI gir derimot én konsekvent kode for enhver juridisk enhet, uavhengig av hvor den er registrert. I tillegg, siden LEI-data er offentlig tilgjengelige og etterrettelige, kan finansinstitusjoner sjekke leverandørdetaljer umiddelbart uten å be om dokumenter.
For finansinstitusjoner som administrerer mange IKT-leverandører på tvers av ulike land, reduserer denne standardiseringen den administrative kompleksiteten ved DORA-etterlevelse betydelig. Et enkelt LEI-oppslag gir verifisert informasjon om leverandørens juridiske navn, registreringsdetaljer og eierstruktur — alt dette er direkte relevant for DORAs forpliktelser knyttet til tredjepartsrisikostyring.
For IKT-leverandører gjør det å inneha en gyldig LEI det enkelt for finansinstitusjonskunder å inkludere dem korrekt i sitt DORA-register. Leverandører uten en gyldig LEI skaper derimot hull i etterlevelsen for sine kunder og risikerer dermed å skade forretningsforholdet. GLEIF gir ytterligere kontekst om hvordan LEI støtter dette i sin oversikt over regulatorisk bruk av LEI.
Hva IKT-leverandører bør gjøre nå
Sjekk om du har en gyldig LEI. Hvis du leverer IKT-tjenester til en EU-regulert finansinstitusjon, må kunden din identifisere deg i sitt DORA-informasjonsregister. Kontakt dem for å bekrefte om de har registrert din LEI og om den er aktiv for øyeblikket.
Registrer en LEI hvis du ikke har en. Prosessen er heldigital og fullføres innen 24 timer for de fleste jurisdiksjoner. Du må oppgi selskapets juridiske navn, registrerte adresse og organisasjonsnummer. I de fleste tilfeller verifiserer systemet disse dataene automatisk mot offisielle foretaksregistre. LEI System er en akkreditert GLEIF-registreringsagent. Du kan starte din LEI-registrering i dag.
Forny din LEI hvis den er utgått. En utgått LEI må fornyes før kundene dine kan bruke den i et DORA-register. Fornyelse gjenoppretter statusen “Issued” og re-validerer selskapets referansedata. Du kan fornye din LEI raskt gjennom LEI System.
Hold dine LEI-data oppdaterte. Hvis firmanavn, registrert adresse eller eierstruktur er endret, må du oppdatere dine LEI-referansedata tilsvarende. Foreldede LEI-data skaper komplikasjoner for etterlevelsen for dine finansinstitusjonskunder når de sender inn sitt register til nasjonale myndigheter.
DORA i sammenheng med bredere EU-regulering
DORA fungerer ikke isolert. Den eksisterer sammen med andre EU-forordninger som også bruker LEI som standardidentifikator for juridiske enheter, inkludert MiFID II-transaksjonsrapportering, EMIR-derivatrapportering og EUs forordning om umiddelbare betalinger. For finansielle enheter som allerede bruker LEI for transaksjonsrapportering, tilfører DORA derfor en ytterligere dimensjon snarere enn et helt nytt system.
I tillegg er DORA direkte knyttet til NIS2-direktivet (direktiv (EU) 2022/2555) om cybersikkerhet. DORA fungerer som en sektorspesifikk rettsakt under NIS2 for finansielle enheter. Du kan lese mer om NIS2 og LEI i artikkelen om NIS2 og LEI på dette nettstedet. For en bredere oversikt over hvordan LEI fungerer på tvers av EUs finansielle reguleringer, se Hvordan LEI fungerer i praksis i EU.
DORA og LEI — nøkkelfakta i korte trekk
Hva er DORA? Forordning (EU) 2022/2554 om digital operasjonell motstandskraft for finanssektoren.
Når ble DORA anvendelig? 17. januar 2025.
Hvem må etterleve den? Finansielle enheter i EU og deres IKT-tredjepartsleverandører, inkludert leverandører utenfor EU som betjener finansinstitusjoner i EU.
Hva krever DORA for identifikasjon av IKT-leverandører? En gyldig og aktiv LEI eller EUID, som spesifisert i kommisjonens gjennomføringsforordning (EU) 2024/2956.
Hvilken identifikator gjelder for IKT-leverandører utenfor EU? Kun LEI. EUID dekker kun enheter registrert i EU.
Hvilken LEI-status tilfredsstiller DORA? Kun “Issued”. En “Lapsed” LEI tilfredsstiller ikke kravet.
Hvor kan jeg registrere eller fornye en LEI? Gjennom en akkreditert GLEIF-registreringsagent som LEI System.