
The Digital Operational Resilience Act (DORA) är en EU-förordning som syftar till att stärka den digitala motståndskraften hos finansiella aktörer. Den började tillämpas den 17 januari 2025 och säkerställer att banker, försäkringsbolag, värdepappersbolag och andra berörda finansiella organisationer kan stå emot, hantera och återhämta sig från störningar inom Informations- och kommunikationsteknik (IKT), såsom cyberattacker eller systemfel. DORA inför harmoniserade regler för operativ motståndskraft inom EU:s finanssektor och omfattar cirka 20 kategorier av finansiella institut samt deras kritiska IKT-tjänsteleverantörer.
Moderna finansiella tjänster är starkt beroende av teknik och tredjepartsleverantörer, vilket gör dem sårbara för cyberincidenter och avbrott. Om IKT-risker inte hanteras korrekt kan de störa kritiska tjänster över landsgränser och till och med hota den bredare finansiella stabiliteten. DORA infördes för att hantera dessa sårbarheter – den kräver att verksamheter höjer sin operativa robusthet så att digitala störningar inte undergräver stabilitet och förtroende. Kort sagt markerar DORA en ny era av regulatoriskt fokus på operativ resiliens, med omfattande krav som finansiella aktörer måste uppfylla för att bibehålla förtroende och stabilitet i ett teknikdrivet finansiellt system.
DORA:s fem pelare
DORA bygger på fem centrala pelare som definierar kärnkraven för digital motståndskraft. Nedan följer en översikt över varje pelare och vad den innebär.
- IKT-riskhantering
Organisationer måste ta fullt ansvar för att hantera IKT-risker genom att etablera en robust styrnings- och kontrollram för digital operativ motståndskraft. Det inkluderar kontinuerlig identifiering, bedömning och riskreducering av cyber- och teknikrisker, med definierade nivåer för riskaptit/tolerans. Organisationer förväntas förebygga och upptäcka IKT-incidenter proaktivt och vara förberedda på att agera och återhämta sig från störningar, samtidigt som man lär och utvecklar arbetssätt baserat på tidigare incidenter. - Rapportering av IKT-relaterade incidenter
DORA standardiserar hur betydande IKT-incidenter ska klassificeras och rapporteras inom EU. Finansiella aktörer behöver formella processer för att upptäcka incidenter, kategorisera allvarlighetsgrad (utifrån påverkan, varaktighet och påverkade tjänster) samt rapportera större incidenter till tillsynsmyndigheter utan dröjsmål. Målet är ökad transparens och snabb respons på systemiska problem. Organisationer behöver ofta stärka hur de bedömer incidenters påverkan och rotorsaker för att möta DORA:s kriterier. Internt innebär detta även tydliga incidentprocesser, kommunikationsflöden och eskaleringsvägar till ledning samt notifiering av berörda intressenter. - Testning av digital operativ motståndskraft
Regelbunden testning av IKT-system och säkerhetskontroller är obligatorisk för att säkerställa att organisationer kan stå emot och återhämta sig från störningar. DORA kräver omfattande scenariobaserad testning (t.ex. cyberattack-simuleringar, disaster recovery-övningar m.m.) samt snabb åtgärd av identifierade sårbarheter. De största eller mest kritiska instituten måste dessutom genomföra avancerad threat-led penetration testing (TLPT) med oberoende experter minst vart tredje år för kritiska system och tjänster. Testprogrammen validerar att försvar och backup-planer fungerar i realistiska förhållanden. - Tredjepartsriskhantering för IKT
Finansiella aktörer är fortsatt ansvariga för risker som uppstår via leverantörer och tjänsteleverantörer. DORA ställer därför krav på rigorös tredjepartsstyrning. Organisationer måste genomföra due diligence vid val av IKT-leverantörer, säkerställa att avtal innehåller krav på motståndskraft och säkerhet, samt löpande övervaka leverantörers prestanda och risk under hela relationen. Syftet är att förhindra att en svag länk hos en moln- eller IT-leverantör hotar organisationens (eller systemets) stabilitet. Det inkluderar även strategier för att undvika överberoende av enskilda kritiska leverantörer och att ha exitplaner om en leverantör inte kan möta DORA:s krav. - Informationsdelning
DORA uppmuntrar finansiella aktörer att dela cyberhotinformation och best practice som en del av en gemensam resiliensinsats. Genom betrodda upplägg för informationsdelning (t.ex. i branschforum eller via tillsyn) kan aktörer höja medvetenheten om nya risker, begränsa spridning av attacker och stödja samordnade åtgärder i sektorn. Även om denna pelare är mindre “styrande” i detalj understryker den att ingen aktör är isolerad – att dela hotinformation och lärdomar stärker hela ekosystemets försvar.
Vanliga utmaningar
Att anpassa sig till DORA kan vara utmanande eftersom efterlevnad kräver nya förmågor och tvärfunktionellt arbete. Vanliga utmaningar inkluderar.
- Tvärfunktionell samordning
DORA ställer höga krav på samarbete mellan IT, säkerhet, risk, compliance och verksamhet. Organisationer har ofta svårt att bryta silos, till exempel att synka cybersäkerhet med risk- och kontinuitetsplanering, men ett samlat angreppssätt krävs för att möta DORA:s mål. Att få styrelsens/ledningens stöd och engagera intressenter på alla nivåer är avgörande men kan vara svårt i praktiken. - Nya testkrav
DORA inför avancerade testkrav (som TLPT och regelbundna scenarioövningar) som många organisationer inte genomfört i den omfattning eller frekvens som krävs. Dessa tester är resurskrävande och kan kräva certifierade oberoende testare, vilket kräver specialistkompetens och budget. Organisationer med äldre IT-miljöer kan uppleva det svårt att skapa realistiska scenarier, åtgärda sårbarheter och få nödvändiga godkännanden inom DORA:s tidsramar. - Leverantörsberoenden
Att säkerställa att tredjepartsleverantörer (moln, kärnsystemleverantörer m.m.) uppfyller DORA:s krav är komplext. Finansiella aktörer behöver inventera leverantörer, bedöma risk, och ofta uppdatera många avtal med DORA-krav. Att hantera detta kan vara överväldigande, särskilt med många och olika leverantörer. Dessutom är man beroende av leverantörers medverkan – om en kritisk leverantör inte lever upp till kraven eller vägrar avtalsändringar kvarstår compliance-risken hos den finansiella aktören. - Policyharmonisering
DORA behöver integreras i befintliga ramverk för risk, cybersäkerhet och styrning utan att skapa gap eller dubbelarbete. Många följer redan riktlinjer (EBA, ISO 27001, nationella regler); att mappa DORA mot dessa kan vara komplext. Policys för incidenthantering, kontinuitet och outsourcing kan behöva uppdateras. Att skapa konsekvens, tydlighet och samtidigt utbilda personal under tighta deadlines är en påtaglig utmaning.
Vanliga frågor
Vilka organisationer omfattas av DORA?
DORA gäller främst finansiella företag inom EU, men påverkar även ICT-leverantörer som tillhandahåller tjänster till dessa företag. Organisationer bör bedöma både direkt omfattning och indirekta krav genom kund- eller leverantörsavtal.
Vad är syftet med DORA?
Syftet är att stärka den digitala operativa motståndskraften i finanssektorn. Det innebär att organisationer ska kunna förebygga, hantera och återhämta sig från ICT-relaterade störningar och incidenter.
Vilka områden behöver hanteras enligt DORA?
Typiska områden är ICT-riskhantering, incidentrapportering, testning av digital motståndskraft, leverantörs- och tredjepartsrisk samt dokumentation av avtal och beroenden.
Vad är ett informationsregister enligt DORA?
Ett informationsregister samlar uppgifter om avtal med ICT-tredjepartsleverantörer. Det används för att ge överblick över beroenden, kritiska funktioner och underlag för tillsyn.
Hur börjar vi med en DORA-gap-analys?
Börja med att kartlägga tjänster, system, leverantörer, kritiska funktioner och befintliga kontroller. Jämför sedan nuläget mot DORA-kraven och prioritera åtgärder utifrån risk och tillsynsförväntningar.
Vi hjälper er att nå efterlevnad
Kristensson i Skåne AB är en oberoende konsultpartner med spets inom informationssäkerhet, IT-styrning och regelefterlevnad. Vi hjälper finansiella organisationer att navigera DORA-beredskap och bygga långsiktig operativ motståndskraft genom ett strukturerat och praktiskt angreppssätt.
- DORA-beredskapsbedömning och gap-analys
Vi börjar med att granska era nuvarande arbetssätt för IKT-risk och kontinuitet mot DORA:s krav. Gap-analysen visar tydligt var ni redan uppfyller kraven och vad som behöver förbättras. Ni får en tydlig roadmap med åtgärder prioriterade efter risk, så att ni kan börja med de mest kritiska gapen. - Ramverk för riskhantering och styrning
Kristensson hjälper er att utveckla eller förbättra ert ramverk för IKT-riskhantering i linje med DORA. Vi etablerar styrningsstrukturer (t.ex. roller, kommittéer) och processer för att identifiera, förebygga, upptäcka, hantera och återhämta sig från IKT-risker enligt regulatoriska förväntningar. Det kan innebära uppdatering av policys för incidenthantering, kontinuitet och disaster recovery samt att integrera dem i ett samlat resiliensprogram. - Implementering av incidentrapportering och resiliens-testning
Vi hjälper er att bygga de incidenthanterings- och rapporteringsförmågor som krävs. Vi tar fram interna eskaleringsflöden och anpassning till EU:s rapportmallar och tidslinjer. Vi hjälper också etablera ett testprogram för digital operativ motståndskraft – från sårbarhetsanalyser och tabletop-övningar till koordinering av TLPT. Fokus är att testning inte bara “bockas av”, utan att fynd åtgärdas och lärdomar matas tillbaka i riskcykeln. - Stöd för tredjepartsriskhantering
Vi stärker er kontroll över IKT-leverantörer genom att bygga ett leverantörsriskregister och due diligence-processer för kritiska leverantörer och koncentrationsrisk. Vi granskar och rekommenderar uppdateringar i leverantörsavtal med DORA-klausuler (säkerhet, kontinuitet, revisionsrätt m.m.) och hjälper er ta fram uppföljningsstrategier samt beredskaps- och exitplaner om en leverantör inte möter kraven. - Dokumentation och utbildning
DORA kräver omfattande dokumentation och hög intern medvetenhet. Vi hjälper er ta fram eller revidera nödvändiga dokument (IKT-riskpolicys, playbooks, återställningsplaner, governance charter) anpassade till DORA. Vi genomför även utbildningar och workshops så att IT, risk, ledning och andra funktioner förstår sina roller. På så vis bygger ni en resilienskultur som går bortom checklistor. - Kontinuerlig förbättring och löpande efterlevnad
Vårt stöd slutar inte vid första implementeringen. Vi hjälper er etablera mekanismer för kontinuerlig uppföljning och förbättring så att digital resiliens blir ett pågående program. Det inkluderar återkommande granskningar, uppdateringar vid nya hot och förändringar samt stöd i att hålla dokumentation aktuell. Målet är att ni inte bara uppfyller DORA, utan använder det som en strategisk fördel över tid.
DORA-efterlevnad kan vara komplex, men med rätt partner är det en möjlighet att stärka er organisations operativa grundförmåga. Kristensson i Skåne AB finns här för att stötta er i varje steg – från beredskapsbedömning till fullt program och kontinuerlig förbättring. Om er bank, ert försäkringsbolag eller er finansiella organisation vill säkerställa DORA-beredskap eller stärka er digitala operativa motståndskraft är ni välkomna att höra av er.
Kontakta oss för att diskutera en skräddarsydd DORA-roadmap och ta nästa steg mot att stärka verksamheten i ett föränderligt hotlandskap. Vi ser fram emot att hjälpa er att omvandla regulatoriska krav till verklig motståndskraft och långsiktig framgång.
Utvalda officiella källor: Finansinspektionen: IKT-risker (Dora); EUR-Lex: förordning (EU) 2022/2554; Europeiska bankmyndigheten: DORA.
