DORA, TLPT og TIBER – hva endringene betyr i praksis

DORA, TLPT og TIBER – hva endringene betyr i praksis

Forfatter:
Frank Haugnes

Digital operasjonell motstandsdyktighet er ikke lenger et valg. Med DORA er forventningene skjerpet, kravene konkretisert – og trusselbasert testing gjort bindende. TLPT markerer overgangen fra intensjon til faktisk dokumentert motstandsevne.

Fra “god praksis” til faktisk plikt

Digital operasjonell motstandsdyktighet er ikke lenger noe vi bør jobbe med – det er nå noe vi må dokumentere. Med DORA og de nye tekniske reguleringsstandardene (RTS) er trusselbasert testing gått fra å være modenhetsarbeid til et tydelig regulatorisk krav. TLPT gjør dette helt konkret.

DORA har strammet inn forventningene

Da DORA trådte i kraft i juli 2025, var retningen klar. Endringsforskriften i januar 2026 gjorde den enda tydeligere. Med RTS for Threat-Led Penetration Testing (TLPT) er avansert, etterretningsstyrt testing nå et krav for utpekte finansforetak – ikke en valgfri øvelse.

TIBER-EU er ikke nytt – men nå bindende

TLPT bygger direkte på TIBER-EU. Forskjellen er at det som tidligere var et anbefalt rammeverk, nå er regulatorisk forpliktende. Foretak kan bruke TIBER-EU eller nasjonale varianter, men kravene i DORA artikkel 26 og 27 må oppfylles fullt ut. Det gir forutsigbarhet – og langt mindre rom for tolkning.

Dette handler ikke om tester, men om realitet

TLPT er noe helt annet enn tradisjonell penetrasjonstesting. Det er en helhetlig test av om virksomheten faktisk klarer å:

  • oppdage et avansert angrep
  • forstå hva som skjer
  • ta riktige beslutninger
  • og gjenopprette kritiske funksjoner

Alt skjer gjennom realistiske scenarier, basert på reelle trusselaktører, og med klare krav til styring, roller og dokumentert oppfølging.

Tilsyn er en del av øvelsen

TLPT gjennomføres ikke i et vakuum. Tilsynsmyndigheter skal involveres, testopplegg skal godkjennes, og funn skal følges opp. Det stiller krav til struktur, eierskap og moden samhandling – ikke bare teknisk kapasitet.

Mitt viktigste poeng

TLPT under DORA er et tydelig signal: det holder ikke lenger å ha sikkerhetstiltak. Foretak må kunne vise at de virker – under realistiske angrep, mot de mest kritiske funksjonene.

De som tar dette tidlig, bygger klare prosesser og forankrer arbeidet i styring og risikohåndtering, vil ikke bare møte regulatoriske krav. De vil også stå langt sterkere når det virkelig gjelder. Ønsker du en dypere gjennomgang av kravene, metodikken og praktiske erfaringer, har vi samlet dette i et eget white paper om TLPT under DORA og bruk av TIBER-EU i praksis.