DORA – så bygger du en säkerhetsram för finanssektorn

Digital Operational Resilience Act (DORA) är EU-förordningen som införs för att förbättra den operativa motståndskraften inom finanssektorn. Med ett ökat fokus på IT-säkerhet ställer DORA nya krav på banker, försäkringsbolag, betalningsinstitut och fintech-bolag från 2025. I denna guide visar vi hur din organisation kan bygga en DORA-anpassad säkerhetsram som uppfyller EU-kraven och stärker ert skydd mot cyberhot.

Vad är DORA och varför är det viktigt?

DORA (Digital Operational Resilience Act) är det nya gemensamma EU-regelverket för effektiv och övergripande hantering av digitala risker i finansbranschen. Den nya strukturen flyttar fokus från att endast handla om företagens finansiella ställning till att även säkerställa hur väl de kan upprätthålla verksamheten och stå emot vid olika incidenter, cyberhot och IT-problem.

Syftet med DORA är att säkerställa att företag i finanssektorn kan:

• Stå emot cyberattacker och andra digitala hot
• Upprätthålla kritiska tjänster även under störningar
• Ha kontroll över sin IT-miljö och dess sårbarheter
• Hantera incidenter strukturerat och effektivt
• Samarbeta korrekt med externa leverantörer av IT-tjänster

Med en enhetlig tillsynsmetod för alla relevanta sektorer i hela EU säkerställs både konvergens och harmonisering av tidigare praxis vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter. Att hantera och stå emot cyberhot och incidenter är i högsta grad en prioriterad ledningsfråga.

När börjar DORA gälla?

DORA började gälla redan 2023 och sedan januari 2025 ska finansiella företag och deras tredjepartsleverantörer av kritiska IT-tjänster efterleva regelverket. Under 2024 kommer flera regulatoriska och tekniska standarder för implementering att definieras och utfärdas av de europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA).

Vilka omfattas av DORA?

DORA gäller över 20 typer av verksamheter inom finanssektorn. Det är inte bara banker och försäkringsbolag som omfattas av DORA. Reglerna gäller för alla finansiella företag, inklusive tredjepartsföretag som levererar kritiska IT-tjänster och som lyder under de europeiska tillsynsmyndigheterna (ESA).

Finansiella institut

• Banker
• Kreditinstitut
• Betaltjänstleverantörer
• Försäkringsbolag

Värdepappersmarknaden

• Värdepappersbolag
• Börser
• Fondbolag
• Förvaltare av alternativa investeringsfonder

Övriga aktörer

• Fintech-bolag
• Leverantörer av kryptotillgångar
• IT-tjänsteleverantörer inom finans
• Datarapporteringstjänster

Även tredjepartsleverantörer av IT-tjänster omfattas indirekt, eftersom deras kunder måste säkerställa compliance. Detta innebär att DORA påverkar hela ekosystemet av leverantörer till finanssektorn, inte bara de direkta aktörerna.

De fem huvudpelarna i DORA

DORA delar in kraven i fem kärnområden. Tillsammans utgör de den säkerhetsram som finanssektorn behöver bygga upp för att säkerställa digital operativ motståndskraft.

1. ICT Risk Management (riskhantering)

Inom ICT Risk Management kräver DORA att finansiella aktörer har väldokumenterade ramverk för hantering av ICT-risker. Organisationen måste ha processer för:

• Identifiering av IT-relaterade risker i system och processer
• Bedömning och prioritering av risker baserat på affärspåverkan
• Kontinuerlig uppföljning och övervakning
• Implementerad kontrollmiljö med tydliga ansvarsområden
• Regelbunden rapportering till ledning och styrelse

Det krävs även en styrelseförankrad riskstrategi som tydligt definierar organisationens riskaptit och hanteringsmetoder.

2. Incidenthantering och rapportering

DORA ställer högre krav på incidenthantering och rapportering av ICT-relaterade incidenter. Finansföretag måste kunna:

• Identifiera incidenter i realtid genom effektiv övervakning
• Kategorisera incidenter baserat på allvarlighetsgrad och påverkan
• Rapportera internt till rätt intressenter och externt till myndigheter
• Dokumentera åtgärder och lärdomar från incidenter
• Rapportera större incidenter till tillsynsmyndigheter inom strikta tidsramar

Tiden till rapportering kan vara mycket kort – i vissa fall endast timmar efter att en incident upptäckts.

3. Digital Operational Resilience Testing (DORT)

Organisationen måste testa sin cyberresiliens genom regelbundna och strukturerade tester:

• Sårbarhetsskanning av system och infrastruktur
• Penetrationstest för att identifiera säkerhetsbrister
• Hotmodellering för att förstå potentiella attackvektorer
• Scenarioövningar för att testa organisationens respons
• Threat-led penetration testing (TLPT) för vissa större aktörer

Testerna ska validera att kontroller fungerar under verkliga angrepp och ge underlag för kontinuerliga förbättringar av säkerheten.

4. Leverantörskontroll och tredjepartshantering

DORA kräver att finansföretag har kontroll över sina leverantörsrelationer:

• Bedömer risker hos IT-leverantörer innan avtal ingås
• Har avtal som täcker säkerhet, incidenter och rapportering
• Övervakar leverantörer löpande för att säkerställa efterlevnad
• Utvecklar exit-planer för att hantera leverantörsbyten
• Har tydlig ansvarsfördelning mellan organisation och leverantör

Det gäller alla typer av leverantörer — även molntjänster och andra digitala tjänsteleverantörer.

5. Informationsdelning

Företag kan ingå avtal för att dela hotinformation och säkerhetsinsikter med andra aktörer inom finanssektorn. Detta ska ske på ett kontrollerat och lagligt sätt för att stärka hela sektorns motståndskraft mot cyberhot.

Behöver ni hjälp med DORA-anpassning?

Opsio erbjuder expertis inom DORA-compliance och kan hjälpa er organisation att identifiera gap och implementera nödvändiga åtgärder för att möta kraven.

Kontakta oss för en DORA-analys

Så bygger du en DORA-anpassad säkerhetsram — steg för steg

Att implementera DORA kräver en strukturerad approach. Här är en praktisk vägledning för att bygga en säkerhetsram som uppfyller kraven.

Steg 1: Genomför en DORA-gap-analys

Börja med att identifiera var din organisation står idag i förhållande till DORA-kraven:

• Identifiera vilka specifika krav som gäller för er verksamhetstyp
• Kartlägg var organisationen står idag gällande processer och kontroller
• Dokumentera vilka kontroller och processer som saknas
• Skapa en prioriterad åtgärdsplan baserad på riskbedömning

Steg 2: Skapa en ICT-riskhanteringsprocess

Etablera en strukturerad process för att hantera IT-relaterade risker:

• Kartlägg system och informationstillgångar
• Bedöm kritikalitet för olika system och processer
• Definiera risknivåer och acceptanskriterier
• Etablera en riskhanteringspolicy med tydliga roller och ansvar
• Implementera regelbundna riskanalyser med uppföljning

Steg 3: Uppdatera incidenthanteringsprocesser

Säkerställ att organisationen kan hantera och rapportera incidenter enligt DORA-kraven:

• Utveckla ett incidentramverk med tydliga definitioner
• Skapa en kategoriseringsmodell baserad på allvarlighetsgrad
• Definiera roller och ansvar vid incidenthantering
• Etablera rapporteringsflöden internt och till myndigheter
• Implementera dokumentationsrutiner för incidenter

Steg 4: Inför teknisk övervakning och loggning

DORA kräver att organisationen har tekniska förutsättningar för att upptäcka och hantera incidenter:

• Implementera centraliserad loggning av system och nätverk
• Etablera övervakning av system för att upptäcka avvikelser
• Inför lösningar för hotdetektion och analys
• Säkerställ spårbarhet vid incidenter genom beviskedja

Steg 5: Planera och genomför resiliens-tester

Testa organisationens förmåga att motstå och hantera cyberattacker:

• Genomför regelbunden sårbarhetsskanning av system
• Planera och utför penetrationstester baserat på kritikalitet
• Utveckla scenariobaserade övningar för incidentrespons
• För högriskorganisationer: planera för TLPT-tester

Steg 6: Bygg ett program för leverantörskontroll

Säkerställ kontroll över tredjepartsleverantörer av IT-tjänster:

• Utveckla processer för due diligence av leverantörer
• Implementera riskklassificering av leverantörer
• Granska och uppdatera avtal för att möta DORA-krav
• Definiera KPI:er och servicekrav för leverantörer
• Etablera löpande övervakning av leverantörers efterlevnad
• Skapa exit-strategier för kritiska leverantörer

Steg 7: Implementera styrning och rapportering

Säkerställ att ledning och styrelse är involverade i DORA-efterlevnad:

• Utveckla och få godkännande för policys och ramverk
• Etablera processer för att övervaka risknivåer
• Implementera regelbunden rapportering till ledning
• Säkerställ tydligt ansvar och tillräckliga resurser

Behöver ni stöd i implementeringen?

Opsio erbjuder expertis inom alla aspekter av DORA-implementering, från gap-analys till tekniska lösningar och processutveckling.

Kontakta oss för implementeringsstöd

Vilka företag får störst påverkan av DORA?

DORA påverkar olika typer av finansiella aktörer på olika sätt, beroende på verksamhetens art och komplexitet.

Banker och kreditinstitut

Får de mest omfattande kraven på grund av sin centrala roll i det finansiella systemet. Behöver implementera samtliga delar av DORA med hög detaljeringsgrad.

Betalningsbolag & fintech

Hög teknisk komplexitet leder till hög regulatorisk påverkan. Innovativa tjänster kräver särskild uppmärksamhet kring säkerhetstestning och leverantörshantering.

Försäkringsbolag

Måste stärka incidentrapportering och riskhantering. Behöver särskilt fokusera på kontinuitetsplanering och hantering av kunddata.

IT-leverantörer till finanssektorn

Även om IT-leverantörer inte direkt omfattas av DORA, påverkas de indirekt genom att deras kunder kräver DORA-compliance. Detta innebär att leverantörer behöver:

• Anpassa sina tjänster för att möta DORA-krav
• Utveckla rapporteringsmekanismer för incidenter
• Erbjuda transparens kring säkerhetsåtgärder
• Acceptera granskning och revision från kunder

Vanliga missförstånd om DORA

Det finns flera missuppfattningar om DORA som kan leda till felaktiga prioriteringar i implementeringsarbetet.

Vanliga missförstånd

• DORA gäller bara banker och stora finansiella institut
• DORA handlar enbart om tekniska säkerhetslösningar
• Endast stora organisationer berörs av regelverket
• Ett enda verktyg eller system kan lösa alla DORA-krav
• Det räcker att uppfylla GDPR för att vara DORA-compliant

Faktiska förhållanden

• DORA omfattar över 20 typer av finansiella verksamheter
• DORA kräver både processer, styrning och tekniska lösningar
• Även mindre aktörer omfattas, med anpassade krav
• DORA kräver ett holistiskt angreppssätt med flera komponenter
• DORA går längre än GDPR och fokuserar på operativ motståndskraft

DORA kräver en kombination av processer, policys, teknik och styrning för att skapa en heltäckande digital operativ motståndskraft. Det är viktigt att se DORA som ett ramverk för att stärka organisationens förmåga att motstå och hantera cyberhot, inte bara som en regulatorisk börda.

Vad kostar DORA-efterlevnad?

Kostnaden för att implementera DORA varierar kraftigt beroende på flera faktorer:

• Företagets storlek – större organisationer har fler system och processer att anpassa
• IT-miljöns komplexitet – äldre system och fragmenterade miljöer kräver mer arbete
• Nuvarande säkerhetsmognad – organisationer med låg mognadsgrad behöver investera mer
• Antal leverantörer – fler leverantörsrelationer kräver mer omfattande kontrollsystem
• Testkrav – vissa organisationer behöver genomföra mer avancerade tester som TLPT

Opsio kan ta fram en exakt analys och åtgärdsplan baserad på er organisations specifika förutsättningar och behov.

Vill ni veta vad DORA innebär för er organisation?

Opsio erbjuder en kostnadsfri initial bedömning av er organisations DORA-beredskap och kan ge en uppskattning av implementeringskostnader.

Kontakta oss för kostnadsbedömning

Varför anlita Opsio för DORA-anpassning?

Opsio erbjuder expertis inom alla aspekter av DORA-implementering och kan hjälpa er organisation att effektivt möta de nya kraven.

Analys och planering

• DORA-gap-analys
• Riskhantering och governance
• Implementeringsplanering
• Kostnadsoptimering

Processer och kontroller

• Incidenthantering och rapporteringsflöden
• Implementering av säkerhetskontroller
• Övervakning, loggning och SOC
• Leverantörskontroll och dokumentation

Testning och validering

• Penetrationstest och sårbarhetshantering
• Scenariobaserade övningar
• TLPT-tester för större organisationer
• Kontinuerlig förbättring och uppföljning

Vi hjälper dig och ditt företag genom hela resan mot DORA-compliance, från initial analys till fullständig implementering och löpande uppföljning.

Kontakta oss för en DORA-genomlysning

Vill ni veta exakt hur DORA påverkar er verksamhet och vilka åtgärder som krävs för att möta de nya kraven? Opsio erbjuder en grundlig genomlysning av er organisation och tar fram en skräddarsydd handlingsplan.

Redo att stärka er digitala motståndskraft?

Fyll i kontaktformuläret så återkommer vi snabbt med information om hur vi kan hjälpa er organisation att möta DORA-kraven.

Kontakta oss idag