Hvad er DORA?
Forordningen om digital operationel robusthed — kendt som DORA — er forordning (EU) 2022/2554, vedtaget af Europa-Parlamentet og Rådet den 14. december 2022. EU offentliggjorde den i Den Europæiske Unions Tidende den 27. december 2022. Den trådte i kraft den 16. januar 2023 og blev fuldt anvendelig den 17. januar 2025.
DORA adresserer et specifikt hul i EU’s finansielle regulering. Før DORA håndterede finansielle institutioner primært operationel risiko ved at afsætte kapital. Denne tilgang dækkede imidlertid ikke i tilstrækkelig grad ICT-relaterede forstyrrelser, som kan påvirke mange institutioner samtidig, når en fælles teknologileverandør svigter. Derfor indfører DORA en ensartet ramme i hele EU for ICT-risikostyring, hændelsesrapportering, test af operationel robusthed og tilsyn med tredjeparts teknologileverandører.
Hvem skal overholde DORA?
DORA gælder for to hovedgrupper af organisationer, der er involveret i informations- og kommunikationsteknologi (ICT)-tjenester i den finansielle sektor.
Den første gruppe er finansielle enheder. Disse omfatter bl.a. kreditinstitutter, betalingsinstitutter, e-pengeinstitutter, investeringsselskaber, forsikrings- og genforsikringsselskaber, udbydere af kryptoaktivtjenester, centrale værdipapirdepotinstitutioner, centrale modparter og handelspladser samt andre, der er opført i artikel 2 i forordningen.
Den anden gruppe er ICT-tredjepartsleverandører — virksomheder, der leverer teknologitjenester til finansielle enheder. Denne gruppe omfatter cloud computing-udbydere, softwareudviklere, dataanalysevirksomheder, cybersikkerhedsvirksomheder, datacenterudbydere og enhver anden leverandør, hvis tjenester understøtter en reguleret finansiel institutions drift.
Det er vigtigt, at DORA også omfatter ICT-udbydere med hjemsted uden for EU. Hvis en teknologivirksomhed i USA, Storbritannien eller Asien leverer tjenester til EU-regulerede finansielle institutioner, gælder DORA for dette forhold.
LEI-kravet under DORA
DORA kræver, at finansielle enheder fører et detaljeret informationsregister, der omfatter alle deres ICT-tredjepartsleverandører. Kommissionens gennemførelsesforordning (EU) 2024/2956, offentliggjort den 2. december 2024, fastsætter standardskabelonerne for dette register.
Artikel 3, stk. 5, i denne gennemførelsesforordning fastslår direkte:
“Finansielle enheder skal anvende en gyldig og aktiv legal entity identifier (LEI) eller den europæiske unikke identifikator, der er omhandlet i artikel 16 i direktiv (EU) 2017/1132 (‘EUID’), og hvor det er muligt begge disse identifikatorer, til at identificere alle deres ICT-tredjepartsleverandører, der er juridiske personer, med undtagelse af fysiske personer, der handler i erhvervsmæssig egenskab.”
Med andre ord skal enhver ICT-tredjepartsleverandør, der er en juridisk enhed, kunne identificeres ved hjælp af enten en gyldig og aktiv LEI eller en EUID. Begge skal være aktuelle. En LEI, der er bortfaldet eller udløbet, opfylder ikke dette krav.
LEI eller EUID — hvilken gælder for jer?
Begge identifikatorer opfylder DORA-kravene, men de dækker forskellige situationer. At forstå forskellen hjælper jer med at vælge korrekt.
LEI (Legal Entity Identifier) er en globalt anerkendt alfanumerisk kode på 20 tegn baseret på ISO-standard 17442. Global Legal Entity Identifier Foundation (GLEIF) forvalter Global LEI System og gør alle LEI-data offentligt tilgængelige i Global LEI Index. LEI dækker juridiske enheder i over 200 jurisdiktioner og omfatter også data om ejerskab og kontrol.
EUID (European Unique Identifier) er knyttet til EU’s Business Registers Interconnection System (BRIS). Da den udelukkende er forbundet til nationale registre i EU, dækker den kun enheder registreret i EU-medlemsstater.
Her foretager gennemførelsesforordningen en afgørende sondring: ICT-udbydere, der er etableret uden for EU, skal kun identificeres ved hjælp af LEI. EUID er ganske enkelt ikke tilgængelig for enheder uden for EU. Derfor er LEI den eneste gyldige identifikator for enhver udbyder, der opererer fra uden for EU.
For udbydere med hjemsted i EU kan begge identifikatorer anvendes. For globale aktiviteter eller udbydere med eksponering uden for EU er LEI dog det stærkere valg på grund af dens internationale anerkendelse og bredere datadækning.
Hvad “gyldig og aktiv” betyder i praksis
Gennemførelsesforordningen kræver specifikt en gyldig og aktiv LEI. Dette henviser til den status, der fremgår af GLEIF’s globale database.
En LEI med status “Issued” er gyldig og aktiv og opfylder derfor DORA. En LEI med status “Lapsed” er udløbet og opfylder derfor ikke kravet. Finansielle enheder kan ikke registrere en bortfaldet LEI som en compliant identifikator i deres informationsregister.
En LEI forbliver gyldig i ét år fra udstedelsesdatoen eller seneste fornyelse. Derefter skal ejeren forny den for at bevare aktiv status. Ved fornyelse genverificerer den udstedende organisation enhedens referencedata — herunder juridisk navn, registreret adresse og ejerstruktur — mod officielle registerkilder. Denne proces sikrer, at data i den globale LEI-database forbliver korrekte og opdaterede.
I kan kontrollere status for enhver LEI ved hjælp af GLEIF’s LEI-søgeværktøj eller via LEI System-søgning.
Hvorfor LEI er den praktiske standard for DORA-overholdelse
DORA-tilsynsmyndighederne valgte LEI, fordi den løser et problem, som ingen national identifikator kan: ensartet, grænseoverskridende identifikation af juridiske enheder i ét globalt anerkendt format.
Nationale virksomhedsregistreringsnumre varierer betydeligt mellem lande, er ikke altid maskinlæsbare og dækker slet ikke enheder uden for EU. LEI giver derimod én ensartet kode for enhver juridisk enhed, uanset hvor den er stiftet. Derudover er LEI-data offentligt tilgængelige og verificerbare, så finansielle institutioner kan kontrollere udbyderoplysninger med det samme uden at anmode om dokumentation.
For finansielle institutioner, der håndterer mange ICT-leverandører på tværs af forskellige lande, reducerer denne standardisering markant den administrative kompleksitet ved DORA-overholdelse. Et enkelt LEI-opslag giver verificerede oplysninger om udbyderens juridiske navn, registreringsoplysninger og ejerstruktur — alt sammen direkte relevant for DORA’s forpligtelser vedrørende tredjepartsrisikostyring.
For ICT-udbydere gør det at have en gyldig LEI det enkelt for finansielle institutionskunder at inkludere dem korrekt i deres DORA-register. Udbydere uden en gyldig LEI skaber derimod compliance-huller for deres kunder og risikerer derfor at skade forretningsforholdet. GLEIF giver yderligere kontekst om, hvordan LEI understøtter dette, i sin oversigt over regulatorisk anvendelse af LEI.
Hvad ICT-udbydere bør gøre nu
Kontrollér, om I har en gyldig LEI. Hvis I leverer ICT-tjenester til en EU-reguleret finansiel institution, skal jeres kunde identificere jer i deres DORA-informationsregister. Kontakt dem for at bekræfte, om de har registreret jeres LEI, og om den i øjeblikket er aktiv.
Registrér en LEI, hvis I ikke har en. Processen er fuldt digital og gennemføres inden for 24 timer i de fleste jurisdiktioner. I skal oplyse jeres virksomheds juridiske navn, registrerede adresse og registreringsnummer. I de fleste tilfælde verificerer systemet disse data automatisk mod officielle virksomhedsregistre. LEI System er en akkrediteret GLEIF-registreringsagent. I kan påbegynde jeres LEI-registrering i dag.
Forny jeres LEI, hvis den er bortfaldet. En bortfaldet LEI skal fornyes, før jeres kunder kan bruge den i et DORA-register. Fornyelse gendanner status “Issued” og revaliderer jeres virksomheds referencedata. I kan forny jeres LEI hurtigt via LEI System.
Hold jeres LEI-data opdaterede. Hvis jeres virksomhedsnavn, registrerede adresse eller ejerstruktur har ændret sig, skal I opdatere jeres LEI-referencedata tilsvarende. Forældede LEI-data skaber compliance-komplikationer for jeres finansielle institutionskunder, når de indsender deres register til nationale myndigheder.
DORA i konteksten af bredere EU-regulering
DORA fungerer ikke isoleret. Den ligger side om side med andre EU-regler, der også bruger LEI som standardidentifikator for juridiske enheder, herunder MiFID II-transaktionsrapportering, EMIR-derivatrapportering og EU-forordningen om straksbetalinger. For finansielle enheder, der allerede bruger LEI’er til transaktionsrapportering, tilføjer DORA derfor en yderligere dimension snarere end et helt nyt system.
Derudover er DORA direkte forbundet med NIS2-direktivet (direktiv (EU) 2022/2555) om cybersikkerhed. DORA fungerer som en sektorspecifik retsakt under NIS2 for finansielle enheder. I kan læse mere om NIS2 og LEI i artiklen om NIS2 og LEI på dette site. For et bredere overblik over, hvordan LEI fungerer på tværs af EU’s finansielle regulering, se Hvordan LEI fungerer i praksis i EU.
DORA og LEI — nøglefakta i korte træk
Hvad er DORA? Forordning (EU) 2022/2554 om digital operationel robusthed for den finansielle sektor.
Hvornår blev DORA anvendelig? 17. januar 2025.
Hvem skal overholde kravene? EU-finansielle enheder og deres ICT-tredjepartsleverandører, herunder ikke-EU-udbydere, der betjener EU-finansielle institutioner.
Hvad kræver DORA for identifikation af ICT-udbydere? En gyldig og aktiv LEI eller EUID, som angivet i Kommissionens gennemførelsesforordning (EU) 2024/2956.
Hvilken identifikator gælder for ikke-EU ICT-udbydere? Kun LEI. EUID dækker kun EU-registrerede enheder.
Hvilken LEI-status opfylder DORA? Kun “Issued”. En “Lapsed” LEI opfylder ikke kravet.
Hvor kan jeg registrere eller forny en LEI? Via en akkrediteret GLEIF-registreringsagent såsom LEI System.