يضع قانون DORA المتطلبات الفنية للمنشآت المالية ومقدمي خدمات تكنولوجيا المعلومات والاتصالات في أربعة مجالات:

إدارة مخاطر تكنولوجيا المعلومات والاتصالات وحوكمتها

الاستجابة للحوادث والإبلاغ عنها

اختبار المرونة التشغيلية الرقمية

إدارة مخاطر الجهات الخارجية

يشمل المحور الخامس من DORA مشاركة المعلومات، وهو أمرٌ مشجَّع ولكنه غير إلزامي، على عكس المحاور الأربعة الأخرى.

من المتوقع أن تضطلع المنشآت المالية التي يشملها نطاق لائحة DORA بدور نشط في إدارة مخاطر الجهات الخارجية في مجال تكنولوجيا المعلومات والاتصالات. وعند التعاقد الخارجي لتنفيذ وظائف حسّاسة أو جوهرية، من المتوقع أن تتفاوض المنشآت المالية على بنود تعاقدية محددة تتعلق باستراتيجيات الخروج، وعمليات التدقيق، وأهداف الأداء الخاصة بإتاحة البيانات وسلامتها وأمنها، وغيرها من الجوانب. لا يسمح للمنشآت بالتعاقد مع مزوّدي خدمات تكنولوجيا المعلومات والاتصالات الذين لا يستطيعون الامتثال لهذه المتطلبات. يمتلك البنك المركزي الأوروبي والسلطات الوطنية المختصة صلاحية تعليق أو إنهاء العقود غير الممتثلة. تعمل المفوضية الأوروبية على دراسة إمكانية صياغة بنود تعاقدية موحّدة يمكن للمنشآت ومزوّدي خدمات تكنولوجيا المعلومات والاتصالات استخدامها للمساعدة في ضمان امتثال اتفاقياتهم للائحة DORA.

يتعيّن على المنشآت المالية أيضًا تحديد تبعياتها لمزوّدي خدمات تكنولوجيا المعلومات والاتصالات من الأطراف الثالثة، كما يُطلب منها المساعدة في ضمان عدم تركز وظائفها الحساسة والمهمة أكثر من اللازم لدى مزوّد واحد أو مجموعة صغيرة من المزوّدين.

سيخضع مزوّدو خدمات تكنولوجيا المعلومات والاتصالات المصنّفون كمزوّدين "مهمون" لإشراف مباشر من الهيئات الرقابية الأوروبية (ESAs) المعنية. ولا تزال المفوضية الأوروبية تعمل على تطوير المعايير التي تُستخدم لتحديد المزوّدين المصنّفين كمزوّدين مهمين. وسيُعيّن مشرف رئيسي من إحدى هيئات ESA لكل مزوّد يستوفي تلك المعايير. وبالإضافة إلى إنفاذ متطلبات DORA على المزوّدين المهمين، يتمتع المشرفون الرئيسيون بصلاحية منعهم من التعاقد مع منشآت مالية أو مع مزوّدي خدمات تكنولوجيا معلومات واتصالات آخرين لا يمتثلون للائحة DORA.