6 min read· 1,252 words

DORA incidentrapportering: Krav och tidslinjer

Publicerad: 24 september 2025·Uppdaterad: 11 november 2025·Granskad av Opsios ingenjörsteam

Översatt från engelska och granskad av Opsios redaktion. Visa originalet →

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

DORA incidentrapportering: Krav och tidslinjer

Nar en stor IKT-incident intraffar borjar klockan omedelbart. Europeiska parlamentet, 2022, kravver initial notifiering till tillsynsmyndigheter inom 4 timmar fran att incidenten klassificeras som stor, foljt av mellanliggande rapporter inom 72 timmar och slutrapporter inom en manad. Dessa tidslinjer ar de stramaste i EU:s finansiella reglering och kraver robusta processer, utbildade team och forbyggda rapportmallar.

I korthet

- Initial incidentnotifiering kravvs inom 4 timmar fran klassificering som stor (Europeiska parlamentet, 2022)

- Sex klassificeringskriterier avgoor om en incident ar "stor"

- Finansiella entiteter maste aven logga betydande cyberhot

- Frivillig rapportering till CERT-EU och sektorspecifika ISAC:er uppmuntras

Hur definierar DORA en stor IKT-relaterad incident?

DORA Artikel 18 etablerar sex klassificeringskriterier for att avgora om en incident utloser obligatorisk rapportering. EBA:s tekniska standarder, 2024, ger detaljerade troskvarden och metodik for konsekvent tillampling.

De sex klassificeringskriterierna

En IKT-relaterad incident klassificeras som stor baserat pa:

Kunder, motparter och transaktioner som paverkas. Antal paverkade kunder eller finansiella motparter och volymen av paverkade transaktioner.
Ryktesopaverkan. Potentiell skada pa entitetens rykte med hansyn till mediauppmarksamhet, kundklagomol eller regulatoriskt intresse.
Varaktighet och tjansteavbrott. Hur lange incidenten forsta och total avbrottstid.
Geografisk spridning. Antal EU-medlemsstater som paverkas.
Dataforluster. Volym och kanslighet hos komprometterad data.
Kritiskhet hos paverkade tjanster. Om incidenten paverkar kritiska eller viktiga affaersfunktioner.

Troskvarden och vaasentlighet

De tekniska standarderna definierar specifika troskvarden. En incident som uppfyller ett eller flera kriterier pa "stor" niva utloser rapporteringsskyldigheter. Troskelvarden tar hansyn till entitetens storlek.

Klassificeringen maste ske snabbt. Ni har inte obegransad tid att bedoma om en incident ar stor. DORA forvantar fordefinierade klassificeringsprocedurer som kan tillampas inom timmar.

Betydande cyberhot

Utover bekraftade incidenter kraver Artikel 19 att finansiella entiteter frivilligt notifierar om betydande cyberhot, det vill saga hot som potentiellt kan materialiseras till stora incidenter.

(https://www.eba.europa.eu/), 2024).]

Vilka ar de exakta rapporteringstidslinjerna?

Den trefasiga rapporteringsstrukturen ar icke-forhandlingsbar. Europeiska parlamentet, 2022, Artikel 19-20 definierar tidslinjer och innehallskrav for varje fas.

Fas 1: Initial notifiering (inom 4 timmar)

Den initiala notifieringen maste lamnas inom 4 timmar fran att incidenten klassificeras som stor. Rapporten ger grundlaggande information:

Incidentens natur och typ
Preliminar konsekvensbedoomning
Initial klassificering mot de sex kriterierna
Om incidenten har begransats
Forsta indikation pa rotorsak (om kand)
Vidtagna atgarder

Fyra timmar ar tight. Ni behover forbyggda mallar, utbildade respondenter och tydliga eskaleringsvaagar.

Fas 2: Mellanliggande rapport (inom 72 timmar)

Rapporten uppdaterar den initiala notifieringen med mer detalj:

Uppdaterad konsekvensbedoomning med kvantifierade siffror
Detaljerad beskrivning av paverkade tjanster och kunder
Rotorsaksanalys (eller framsteg mot den)
Begransnings- och atgardsatgarder vidtagna
Forvantad tidslinje for fullstandig losning
Kommunikationsatgarder med kunder och intressenter

Fas 3: Slutrapport (inom en manad)

Slutrapporten ger den fullstandiga efterincidentanalysen:

Komplett rotorsaksanalys
Total konsekvenskvantifiering
Fullstandig tidslinje fran detektion till losning
Laardomar och forebyggande atgarder
Kostnader forknippade med incidenten

Baserat pa vara incidentresponsovningar med nordiska finansinstitut ar 4-timmarsnotifieringen den mest utmanande tidslinjen. Organisationer utan forbyggda mallar och ovade processer behover typiskt 6-8 timmar for sitt forsta forsok. Regelbundna tabletop-ovningar ar vasentliga.

Kostnadsfri experthjälp

Vill ni ha expertstöd med dora incidentrapportering: krav och tidslinjer?

Våra molnarkitekter hjälper er med dora incidentrapportering: krav och tidslinjer — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör

50+ certifierade ingenjörerAWS Advanced Partner24/7 support

Hur bygger man en kompatibel incidentrapporteringsprocess?

Processdesign avgor om ni moter tidslinjerna under press. NIST Computer Security Incident Handling Guide, 2024, ger kompletterande processvaagled som overensstammer med DORA:s krav.

Forberedelse fore incident

Bygg grunden innan incidenter intraffar:

Klassificeringsbeslutstraad. Skapa floodesscheman som mappar incidentkaraktaristika till DORA:s sex kriterier. En teammedlem ska kunna klassificera en incident pa under 30 minuter.

Forbyggda rapportmallar. Utarbeta mallar for initiala, mellanliggande och slutrapporter. Forifylla falt som inte forandras mellan incidenter.

Eskaleringsmatriser. Definiera vem som klassificerar, vem som godkanner, vem som skriver rapporten och vem som lamnar in den. Inkludera reservkontakter. Inkludera procedurer utanfor kontorstid.

Tillsynsmyndighetskontaktinformation. Vet exakt var rapporter ska lamnas in, i vilket format, genom vilka kanaler. Testa inlahmningsprocessen innan en incident.

Under incidenten

Kor parallella spar: teknisk respons och regulatorisk rapportering.

Responsteamet fokuserar pa begransning och aterhaamtning. Rapporteringsteamet fokuserar pa klassificering, notifiering och intressentkommunikation. Dessa maste vara olika personer. Incidentrespondenter ska inte skriva regulatoriska rapporter medan de begransar ett aktivt introng.

Underhall en livincidentlogg fran forsta ogonblicket. Loggen matar alla tre rapporteringsfaser.

Efterincidentaktiviteter

Genomfor en grundlig rotorsaksanalys. Dokumentera laardomar. Uppdatera klassificeringsbeslutstraad om incidenten avsloojade luckor.

Slutrapporten ar ett tillfalle att demonstrera mognad for tillsynsmyndigheter. En valstrukturerad rapport med arlig rotorsaksanalys bygger regulatooriskt fortroende.

[PERSONAL EXPERIENCE] Organisationer som hanterar DORA-incidentrapportering bast separerar rapporteringsfunktionen fran responsfunktionen. Nar samma team forsooker begransa en incident och skriva rapporter simultant lider bada. En dedikerad incidentrapporteringskoordinator gor betydande skillnad.

Vilka interna processer stodjer DORA-incidentrapportering?

EBA, 2024, forvantar att finansiella entiteter underhaller omfattande intern incidenthantering som matar den externa rapporteringsprocessen.

Intern incidentloggning

Alla IKT-relaterade incidenter maste registreras, klassificeras och analyseras internt. Inte bara stora incidenter. Den interna loggen fangar incidenter under troskelvardet som kan eskalera eller bidra till monsteranalys.

Trendanalys

DORA forvantar att finansiella entiteter identifierar monster fran incidentdata. Drabbas vissa system av upprepade problem? Orsakar tredjepartsleverantorer aterkommande incidenter? Klustrar incidenter kring specifika tidsperioder?

Trendanalys matar tillbaka till IKT-riskhanteringsramverket (Pelare 1). Incidentdata bor informera riskbedomningar och skyddsprioriteiringar.

Kommunikationsprotokoll

Utover regulatorisk rapportering forvantar DORA effektiv kommunikation med:

Paverkade kunder
Hogre ledning och ledningsorganet
Andra finansiella entiteter (frivillig hotdelning)
Media (nar incidenter drar offentlig uppmarksamhet)

[UNIQUE INSIGHT] Det mest forbisedda DORA-incidentrapporteringskravet ar skyldigheten att bedoma om incidenter som initialt verkar smoa kan aggregera till nagot stort. Tre smoa incidenter hos samma tredjepartsleverantor inom en manad kan individuellt falla under troskelvardet men kollektivt indikera systemrisk. Bygg er klassificeringsprocess for att flagga monster, inte bara enskilda handelser.

Hur skiljer sig DORA-incidentrapportering fran GDPR?

Nar en IKT-incident involverar personuppgifter galler bade DORA och GDPR parallellt. Europeiska dataskyddsstyrelsen, 2024, erkanner overlappen och rekommenderar koordinerade processer.

Parallella skyldigheter

DORA kraver initial notifiering till Finansinspektionen inom 4 timmar. GDPR kraver notifiering till IMY (Integritetsskyddsmyndigheten) inom 72 timmar. Bada tidslinjerna kor fran medvetenhet/klassificering.

Innehallsskillnader

DORA fokuserar pa operativ resiliens: tjanstepoverkan, transaktionsvolymer, varaktighet. GDPR fokuserar pa dataskydd: datakategorier, antal registrerade, sannolika konsekvenser.

En enda incident kan krava tva olika rapporter till tva olika myndigheter med olika informationsfokus.

Koordinerad rapportering

Bygg en enhetlig incidentbedomning som fangar bade DORA- och GDPR-relevant information fran borjan. Incidentloggen bor flagga om personuppgifter ar involverade sa GDPR-rapporteringssparet aktiveras automatiskt.

(https://edpb.europa.eu/), 2024).]

FAQ

Vad hander om vi missar 4-timmarsdeadlinen?

Sen rapportering kan resultera i tillsynsatgarder. Tillsynsmyndigheter tar hansyn till orsaken och entitetens overgripande compliance. Att demonstrera robusta processer med en engaangsfoorsening ar annorlunda an att visa systemisk oformaga. Dokumentera orsaken till eventuell forsening.

Rapporterar vi till Finansinspektionen eller direkt till EU-myndigheter?

Rapportera till Finansinspektionen. De delar relevant information med andra EU-organ vid behov. EBA, 2024, koordinerar informationsdelning mellan nationella myndigheter.

Maste vi rapportera incidenter hos vara IKT-tredjepartsleverantorer?

Ja. Om en incident hos en tredjepartsleverantor paverkar era tjanster eller moter era kriterier for stor incident maste ni rapportera den. Er leverantor bor notifiera er enligt avtal. Ni ansvarar for klassificering och rapportering.

Hur hanterar vi incidenter som passerar troskelvardet efter initial bedomning?

Omklassificera och rapportera. Om en initialt icke-stor incident eskalerar lamna initial notifiering fran omklassificeringspunkten. 4-timmarsklockan borjar om.

Kan vi anvanda befintliga incidenthanteringsverktyg for DORA?

De flesta incidenthanteringsplattformar (ServiceNow, PagerDuty, Jira Service Management) kan anpassas. Anpassa klassificeringsarbetsfloden, lagg till DORA-specifika falt och bygg rapportgenereringsmallar.

Viktiga slutsatser om DORA incidentrapportering Krav tidslinjer

DORA:s incidentrapporteringskrav kravrer forberedelse, inte improvisation. 4-timmarsfoonsterets initial notifiering lamnar inget utrymme for att bygga processer under en kris. Forbyggda mallar, ovade procedurer och tydliga rollforedlningar ar icke-forhandlingsbara.

Separera respons- och rapporteringsfunktioner. Ova klassificeringsarbetsfloodet genom regelbundna tabletop-ovningar. Koordinera DORA- och GDPR-rapporteringsprocesser.

De organisationer som investerar i forberedelse hanterar stora incidenter med tillforsikt. De som inte gor det upptacker pa det harda sattet att regulatorisk rapportering under tidspress kraver process, inte hjaltedaad.

Meta description: DORA kraver initial incidentnotifiering inom 4 timmar med sex klassificeringskriterier (EU-parlamentet, 2022). Guide till tidslinjer och processer.

Om författaren

Fredrik Karlsson

Group COO & CISO at Opsio