Opsio - Cloud and AI Solutions
8 min read· 1,751 words

DORA-konsult: Så väljer ni rätt expert för er organisation

Publicerad: ·Uppdaterad: ·Granskad av Opsios ingenjörsteam
Översatt från engelska och granskad av Opsios redaktion. Visa originalet →
Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

DORA-konsult: Så väljer ni rätt expert för er organisation

DORA-konsult: Så väljer ni rätt expert för er organisation

En DORA-konsult hjälper finansiella organisationer att uppfylla EU:s krav på digital operativ motståndskraft (Digital Operational Resilience Act) — från IKT-riskhantering och incidentrapportering till resiliens-testning och tredjepartsövervakning. Rätt val av konsult kan vara skillnaden mellan en pappersprodukt som samlar damm och en faktisk förbättring av er operativa resiliens. Fel val innebär bortkastade pengar och en falsk trygghet som spricker vid första tillsynsgranskning.

Viktiga slutsatser

  • DORA gäller fullt ut sedan januari 2025 och övervakas i Sverige av Finansinspektionen — tillsynsaktiviteter pågår redan
  • En kvalificerad DORA-konsult kombinerar regulatorisk expertis med praktisk cybersäkerhetserfarenhet — undvik konsulter som bara levererar dokumentmallar
  • Gapanalys mot DORAa fem pelare är det kritiska första steget innan ni skriver kontrakt med en konsult
  • Tredjepartsriskhantering — inklusive molnleverantörer — är det område där flest organisationer underskattar komplexiteten

Vad DORA faktiskt kräver — och varför det spelar roll

DORA trädde i kraft den 17 januari 2025 och är direkt tillämplig som EU-förordning, vilket innebär att den inte behöver implementeras i svensk lag utan gäller som den är. Förordningen omfattar i princip alla finansiella aktörer: banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, fondbolag och — viktigt nog — deras kritiska IKT-tredjepartsleverantörer.

Kärnan i DORA är fem pelare som tillsammans ska säkerställa att finansiella organisationer kan motstå, reagera på och återhämta sig från IKT-relaterade störningar:

PelareVad det innebär konkretTypisk utmaning
IKT-riskhanteringRamverk för att identifiera, skydda mot, upptäcka, hantera och återhämta sig från IKT-riskerAtt integrera med befintligt riskramverk utan att skapa parallella strukturer
IncidentrapporteringKlassificering och rapportering av allvarliga IKT-incidenter till FinansinspektionenTidsfrister för initial notifiering (4 timmar) kräver automatiserade processer
Resiliens-testningRegelbunden testning inklusive TLPT (Threat-Led Penetration Testing) för betydande aktörerAtt hitta kvalificerade testare och integrera resultat i riskprocessen
TredjepartsriskhanteringRegister och riskbedömning av alla IKT-tredjepartsleverantörerMolnleverantörer, SaaS-tjänster och underleverantörer i flera led
HotinformationsdelningFrivilligt men uppmuntrat utbyte av cyberhotinformationAtt bygga tillitsfulla delningsrelationer utan att röja känslig information

Det vi ser från Opsios SOC i Karlstad är att många organisationer underskattade komplexiteten i pelare fyra — tredjepartsriskhantering. När ni använder AWS, Azure eller Google Cloud som infrastruktur, SaaS-leverantörer för kärnprocesser och outsourcade drifttjänster, växer registret snabbt till hundratals leverantörsrelationer som alla behöver riskbedömmas och avtalsmässigt hanteras.

Kostnadsfri experthjälp

Vill ni ha expertstöd med dora-konsult: så väljer ni rätt expert för er organisation?

Våra molnarkitekter hjälper er med dora-konsult: så väljer ni rätt expert för er organisation — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Vad gör en DORA-konsult — och vad borde de göra?

En DORA-konsult är en specialist som hjälper er organisation att tolka, implementera och upprätthålla DORA-kravens fem pelare. Men marknaden spänner från enskilda konsulter med en PowerPoint-mall till stora revisionsbyråer med hundratals specialister. Skillnaden i värde är enorm.

Grundläggande leverabler

Det minsta ni bör förvänta er av en seriös DORA-konsult:

  • Gapanalys — en systematisk genomgång av er nuvarande förmåga mot varje DORA-krav, med tydlig prioritering av åtgärder
  • Ramverksdesign — anpassning av ert befintliga IKT-riskramverk (eller skapande av nytt) till DORAas kravstruktur
  • Policyutveckling — konkreta policyer och procedurer, inte generiska mallar
  • Testplanering — design av resiliens-testprogram, inklusive förberedelse för TLPT om ni är en betydande aktör
  • Leverantörsregistrering — uppbyggnad av IKT-tredjepartsregistret med riskklassificering
  • Utbildning — anpassade workshops för styrelse, ledningsgrupp och operativ personal

Vad som skiljer en utmärkt konsult från en medioker

Det vi ser bland Opsios kunder inom finanssektorn är att de bästa konsulterna gör tre saker som de genomsnittliga missar:

De testar, inte bara dokumenterar. En bra DORA-konsult nöjer sig inte med att producera policydokument — de hjälper er att faktiskt testa era processer. En incidentrapporteringsprocess som ser bra ut på papper men aldrig övats är värdelös under en verklig incident.

De förstår molnarkitektur. DORA ställer specifika krav på hur ni hanterar risker kopplade till molntjänster. En konsult som inte förstår skillnaden mellan shared responsibility-modellen i AWS och Azure, eller vad det innebär att köra i eu-north-1 (Stockholm) kontra en region utanför EU, kommer att missa kritiska risker. Molnsäkerhet

De bygger för kontinuitet, inte för engångsprojekt. DORA är inte ett projekt med start och slut — det är ett löpande krav. De bästa konsulterna bygger interna förmågor och processer som er organisation kan driva självständigt efter konsultuppdraget.

Så utvärderar ni en DORA-konsult — praktisk checklista

Att välja rätt konsult kräver en strukturerad utvärdering. Här är ramverket vi rekommenderar:

1. Verifiera regulatorisk kompetens

Ställ konkreta frågor:

  • Hur tolkar ni kravet på "proportionalitet" i DORA — vad innebär det praktiskt för en organisation av vår storlek?
  • Vilka RTS:er (Regulatory Technical Standards) från ESA har ni arbetat med i pågående uppdrag?
  • Hur ser ni på förhållandet mellan DORA och NIS2 för organisationer som potentiellt omfattas av båda?

En konsult som inte kan ge specifika svar på dessa frågor saknar nödvändig djupkompetens.

2. Kräv teknisk trovärdighet

DORA är inte bara ett compliance-ramverk — det handlar om faktisk teknisk motståndskraft. Er konsult behöver förstå:

  • Incidentdetektering och -hantering i praktiken, inte bara i policydokument
  • Molninfrastruktur och shared responsibility — vad ansvarar ni för kontra er molnleverantör?
  • TLPT-metodik (Threat-Led Penetration Testing) enligt TIBER-EU-ramverket
  • Kontinuitetsplanering och disaster recovery i moderna molnmiljöer

3. Kontrollera referensuppdrag

Begär minst två referensuppdrag från organisationer med liknande profil. Fråga referenserna:

  • Levererade konsulten faktisk förbättring eller bara dokumentation?
  • Höll de tidsplanen och budgeten?
  • Finns organisationen kvar som löpande stöd eller försvann de efter slutleveransen?

4. Utvärdera samarbetsmodellen

AspektBra teckenVarningsflagga
GapanalysFast pris, tydlig leverabel, 2–4 veckor"Vi behöver en längre utredning innan vi kan ge pris"
KunskapsöverföringWorkshops och utbildning ingårAlla leverabler förblir "black box"
VerktygAnvändning av etablerade ramverk, öppna formatProprietära verktyg som skapar inlåsning
Löpande stödTydlig modell för support efter implementeringInget erbjudande om fortsatt stöd
TeamsammansättningNamngiven seniorexpertis som faktiskt utför arbetetSeniora namn i säljet, juniora i leveransen

Gapanalys: Det avgörande första steget

Oavsett vilken konsult ni väljer bör det första konkreta steget vara en gapanalys. Den fungerar som en röntgenbild av organisationens nuvarande förmåga mot DORAas fem pelare.

En väl genomförd gapanalys ger er:

  • Nulägesbild — var står ni inom varje pelare, uttryckt i konkret mognadsnivå
  • Åtgärdslista — prioriterade insatser med uppskattad insats och tidslinje
  • Beslutsunderlag — styrelse och ledning får en tydlig bild av vad som krävs, till vilken kostnad
  • Utgångspunkt för mätning — ni kan senare visa konkret förbättring

Vår erfarenhet är att organisationer som redan har ISO/IEC 27001-certifiering eller ett moget ISMS typiskt ligger 40–60 procent på väg mot DORA-efterlevnad. De största gapen finns oftast inom resiliens-testning och tredjepartsriskhantering, eftersom dessa pelare ställer mer specifika krav än vad ISO 27001 täcker.

Managerade molntjänster

Tredjepartsriskhantering — den underskattade pelaren

Om vi ska peka ut ett enda område där organisationer konsekvent underskattar komplexiteten är det tredjepartsriskhantering. DORA kräver att ni upprättar och underhåller ett register över alla IKT-tredjepartsleverantörer, genomför riskbedömningar av varje leverantör, säkerställer att avtalen innehåller specifika DORA-krav och har exitstrategier för kritiska leverantörsrelationer.

I praktiken innebär det att varje molntjänst ni använder — från AWS-infrastruktur till den SaaS-baserade lönehanteringen — behöver kartläggas, riskklassificeras och avtalsmässigt hanteras.

Vad det betyder för er molnstrategi

DORA förändrar spelplanen för hur finansiella organisationer upphandlar och förvaltar molntjänster. Ni behöver:

  • Koncentrationsriskanalys — hur beroende är ni av en enskild molnleverantör?
  • Avtalsgenomgång — uppfyller era nuvarande avtal med AWS, Azure eller GCP DORA-kraven?
  • Exitplanering — kan ni migrera bort från en kritisk leverantör inom rimlig tid?
  • Underleverantörsinsyn — vilka underleverantörer använder era leverantörer?

En DORA-konsult utan molnkompetens kommer att missa dessa aspekter, eller behandla dem ytligt. Och det är just här en managerad tjänsteleverantör (MSP) med finanssektorkompetens kan fungera som förlängd arm — både som operativt stöd och som en part som själv behöver uppfylla DORAas krav på tredjepartsleverantörer.

Cloud FinOps

Tidsplan och budget — realistiska förväntningar

Att ge exakta siffror utan att känna er organisation vore oseriöst, men här är de intervall vi ser i praktiken:

FasTypisk tidsramRelativ kostnad
Gapanalys2–6 veckor
Ramverksdesign och policyutveckling2–4 månader★★★
Teknisk implementering3–6 månader★★★★
Resiliens-testning (inkl. TLPT-förberedelse)2–4 månader★★★
Tredjepartsregistrering och avtalsgranskning3–6 månader (löpande)★★
Utbildning och kulturförändringLöpande

Observera att många av dessa aktiviteter körs parallellt. En realistisk total tidsplan från start till dokumenterad efterlevnad är 6–18 månader, beroende på er utgångspunkt.

Vad ni kan göra redan innan konsulten börjar

Tre saker som sparar tid och pengar:

1. Inventera era IKT-leverantörer — skapa ett grundläggande register över alla tredjeparter som levererar IKT-tjänster

2. Samla befintlig dokumentation — riskanalyser, incidentprocedurer, kontinuitetsplaner, testresultat

3. Utse intern projektägare — en person med mandat att driva arbetet internt, helst med tillgång till både IT och compliance

DORA och den bredare regulatoriska kontexten

DORA existerar inte i ett vakuum. Finansiella organisationer i Sverige navigerar samtidigt GDPR, NIS2 (som lex generalis), Finansinspektionens egna föreskrifter (FFFS) och i förekommande fall EBA:s riktlinjer för outsourcing och ICT-riskhantering.

En skicklig DORA-konsult ser dessa som ett sammanhängande regulatoriskt ekosystem och bygger era processer så att ett ramverk adresserar överlappande krav. Att bygga separata silos för DORA, NIS2 och GDPR är ett recept för duplicerat arbete och inkonsekventa processer.

Från Opsios perspektiv som managerad tjänsteleverantör med SOC/NOC i Sverige ser vi att organisationer som redan investerat i stark incidenthantering och säkerhetsövervakning har en avsevärd fördel. DORAas krav på incidentrapportering och hotdetektering bygger vidare på precis den typen av operativ förmåga.

Managerad DevOps

Vanliga frågor

Vad kostar en DORA-konsult?

Kostnaden varierar kraftigt beroende på organisationens storlek och mognadsnivå. Ett inledande gapanalysprojekt för en medelstor finansiell aktör landar typiskt på 300 000–800 000 SEK, medan en fullständig implementering med löpande stöd kan kosta betydligt mer. Begär alltid en fast offert på gapanalysen innan ni binder er till ett större åtagande.

Måste vi ha en extern DORA-konsult eller kan vi hantera det internt?

Rent formellt finns inget krav på extern konsult, men DORA ställer krav inom fem parallella pelare som få organisationer har fullständig intern kompetens för. Särskilt resiliens-testning (inklusive TLPT) och tredjepartsriskhantering kräver specialistkunskap. De flesta organisationer vi arbetar med använder en hybridmodell: intern projektledning med extern expertis för specifika områden.

Hur lång tid tar en DORA-implementering?

En realistisk tidsplan för en medelstor finansiell organisation är 6–18 månader från gapanalys till dokumenterad efterlevnad, beroende på nuvarande mognadsnivå. Organisationer som redan har ett moget ISMS, exempelvis ISO 27001-certifiering, kan ofta korta ner tidslinjen avsevärt.

Hur förhåller sig DORA till NIS2?

DORA är sektorspecifik för finansiella aktörer och fungerar som lex specialis i förhållande till NIS2. Det innebär att finansiella organisationer som omfattas av DORA i praktiken följer DORA istället för NIS2 för överlappande krav. Men om er verksamhet har delar utanför finanssektorn kan NIS2 fortfarande vara relevant parallellt.

Vad händer om vi inte uppfyller DORA-kraven?

Finansinspektionen har befogenhet att utfärda förelägganden, sanktionsavgifter och i allvarliga fall återkalla tillstånd. Utöver de formella sanktionerna innebär bristande efterlevnad en faktisk operativ risk — ni riskerar driftstörningar som skadar kunder och affärsrelationer. DORA handlar i grunden om att er verksamhet ska överleva en allvarlig cyberincident.

Relaterad läsning

Om författaren

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Fredrik är koncernens COO och CISO på Opsio. Han fokuserar på operationell excellens, styrning och informationssäkerhet och arbetar nära leverans- och ledningsteamen för att samordna teknik, risk och affärsresultat i komplexa IT-miljöer. Han leder Opsios säkerhetspraktik, inklusive SOC-tjänster, penetrationstester och compliance-ramverk.

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.