Virksomheder omfattet af forordningen om digital operationel modstandsdygtighed (DORA)

Virksomheder, der er omfattet af DORA

Det følger af artikel 2, stk. 1, at følgende virksomheder, herunder finansielle enheder og tredjepartsudbydere af IKT-tjenester, er omfattet af forordningen:

  1. kreditinstitutter
  2. betalingsinstitutter, herunder betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366
  3. kontooplysningstjenesteudbydere
  4. e-pengeinstitutter, herunder e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF
  5. investeringsselskaber
  6. udbydere af kryptoaktivtjenester, som er meddelt tilladelse i henhold til Europa-Parlamentets og Rådets forordning om markeder for kryptoaktiver og om ændring af forordning (EU) nr. 1093/2010 og (EU) nr. 1095/2010 og direktiv 2013/36/EU og (EU) 2019/1937 (»forordningen om markeder for kryptoaktiver«), og udstedere af aktivbaserede tokens
  7. værdipapircentraler
  8. centrale modparter
  9. markedspladser
  10. transaktionsregistre
  11. forvaltere af alternative investeringsfonde
  12. administrationsselskaber
  13. udbydere af dataindberetningstjenester
  14. forsikrings- og genforsikringsselskaber
  15. forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere
  16. arbejdsmarkedsrelaterede pensionskasser
  17. kreditvurderingsbureauer
  18. administratorer af kritiske benchmarks
  19. udbydere af crowdfundingtjenester
  20. securitiseringsregistre
  21. tredjepartsudbydere af IKT-tjenester.

På grund af harmoniseringen af det fragmenterede lovgivningsmæssige landskab varierer indvirkningen på finansielle enheder baseret på de allerede eksisterende krav vedrørende IKT-risici. Virkningen for den enkelte finansielle enhed varierer yderligere afhængigt af den nødvendige gennemførelsesdybde baseret på proportionalitetsprincippet, jf. artikel 4 i DORA.

Mikrovirksomheder

Forordningen indeholder undtagelser for finansielle enheder, der kan karakteriseres som værende en »mikrovirksomhed«.

En mikrovirksomhed er en finansiel enhed, der ikke er en markedsplads, en central modpart, et transaktionsregister eller en værdipapircentral, med mindre end 10 ansatte og en årlig omsætning og/eller en årlig samlet balance på højst 2 mio. EUR.

Artikel 16

Det følger af forordningens artikel 16, at forordningens artikel 5-15 om IKT-risikostyring ikke finder anvendelse på:

  • Små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366
  • Institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke Danmark har besluttet ikke at anvende den mulighed, der er omhandlet i forordningens artikel 2, stk. 4
  • E-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF
  • Små arbejdsmarkedsrelaterede pensionskasser.

I stedet er ovenstående virksomheder omfattet af en forenklet krav om IKT-risikostyring, jf. artikel 16 i forordningen.

Finansielle virksomheder, der ikke er omfattet af DORA

Det følger af artikel 2, stk. 3, at følgende virksomheder ikke er omfattet af forordningen:

  1. forvaltere af alternative investeringsfonde, der er omhandlet i artikel 3, stk. 2, i direktiv 2011/61/EU
  2. forsikrings- og genforsikringsselskaber, der er omhandlet i artikel 4 i direktiv 2009/138/EF
  3. arbejdsmarkedsrelaterede pensionskasser, som forvalter pensionsordninger, som tilsammen ikke har mere end 15 medlemmer i alt
  4. fysiske eller juridiske personer, der er undtaget i henhold til artikel 2 og 3 i direktiv 2014/65/EU
  5. forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere, som er mikrovirksomheder eller små eller mellemstore virksomheder
  6. postgirokontorer, der er omhandlet i artikel 2, stk. 5, nr. 3), i direktiv 2013/36/EU.
Senest opdateret 16-01-2025