Opsio - Cloud and AI Solutions
Cloud5 min read· 1,074 words

DORA-förordningen och IT-drift: krav, efterlevnad och åtgärder

Johan Carlsson
Johan Carlsson

Country Manager, Sweden

Published: ·Updated: ·Reviewed by Opsio Engineering Team
Översatt från engelska och granskad av Opsios redaktion. Visa originalet →

Quick Answer

DORA (Digital Operational Resilience Act) trädde i kraft den 17 januari 2025 och påverkar direkt hur finansiella företag bedriver sin IT-drift . Enligt EBA (2024) omfattas över 22 000 finansiella entiteter och ICT-tjänsteleverantörer inom EU av förordningens krav. För svenska banker, försäkringsbolag och fintechbolag innebär det skärpta krav på motståndskraft, testning och leverantörshantering. Den här artikeln förklarar vad DORA innebär specifikt för IT-driften, vilka åtgärder som krävs och hur du bedömer om din organisation och dina leverantörer uppfyller kraven. Vi fokuserar på det praktiska: vad du behöver göra, inte bara vad förordningen säger. Sammanfattning DORA omfattar 22 000+ finansiella entiteter och ICT-leverantörer i EU (EBA, 2024) Förordningen ställer krav inom fem områden: ICT-riskhantering, incidentrapportering, testning, tredjepartsrisk och informationsdelning IT-driftleverantörer klassificerade som "kritiska" får direkt tillsyn från EU-myndigheter Bristande efterlevnad kan leda till sanktionsavgifter och tillsynsåtgärder Vad är DORA och vilka företag omfattas?

Key Topics Covered

EU-flagga och digitalt sköldlås som symboliserar DORA-förordningens krav på digital operativ motståndskraft inom finanssektorn

DORA (Digital Operational Resilience Act) trädde i kraft den 17 januari 2025 och påverkar direkt hur finansiella företag bedriver sin IT-drift. Enligt EBA (2024) omfattas över 22 000 finansiella entiteter och ICT-tjänsteleverantörer inom EU av förordningens krav. För svenska banker, försäkringsbolag och fintechbolag innebär det skärpta krav på motståndskraft, testning och leverantörshantering.

Den här artikeln förklarar vad DORA innebär specifikt för IT-driften, vilka åtgärder som krävs och hur du bedömer om din organisation och dina leverantörer uppfyller kraven. Vi fokuserar på det praktiska: vad du behöver göra, inte bara vad förordningen säger.

Sammanfattning
  • DORA omfattar 22 000+ finansiella entiteter och ICT-leverantörer i EU (EBA, 2024)
  • Förordningen ställer krav inom fem områden: ICT-riskhantering, incidentrapportering, testning, tredjepartsrisk och informationsdelning
  • IT-driftleverantörer klassificerade som "kritiska" får direkt tillsyn från EU-myndigheter
  • Bristande efterlevnad kan leda till sanktionsavgifter och tillsynsåtgärder

Vad är DORA och vilka företag omfattas?

DORA är en EU-förordning som syftar till att harmonisera kraven på digital operativ motståndskraft inom finanssektorn. Enligt ESMA (2024) ska förordningen säkerställa att finansiella företag kan motstå, reagera på och återhämta sig från ICT-relaterade störningar. Till skillnad från ett direktiv gäller DORA direkt i alla EU-länder utan nationell implementation.

Företag som omfattas:

  • Banker och kreditinstitut
  • Försäkrings- och återförsäkringsbolag
  • Värdepappersföretag och fondbolag
  • Betalningsinstitut och e-pengainstitut
  • Kryptotjänsteleverantörer
  • ICT-tredjepartsleverantörer som klassificeras som kritiska

[UNIQUE INSIGHT] DORA är unik eftersom den inte bara reglerar de finansiella företagen själva, utan också deras IT-leverantörer. Om du är en managerad tjänsteleverantör (MSP) som servar banker eller försäkringsbolag, kan du omfattas direkt av förordningen. Det förändrar spelreglerna för hela leverantörskedjan.

[IMAGE: Infografik som visar DORA:s fem pelarkrav och vilka företagstyper som omfattas - DORA regulation pillars infographic]

Hur påverkar DORA IT-driften konkret?

Enligt en undersökning från McKinsey (2024) uppskattar 67 procent av europeiska finansinstitut att DORA kräver betydande förändringar i deras IT-driftprocesser. Förordningens fem pelare översätts till konkreta krav på hur du hanterar, övervakar och testar din IT-miljö.

Pelare 1: ICT-riskhantering

Finansiella företag ska ha ett dokumenterat ramverk för ICT-riskhantering som omfattar identifiering, skydd, detektering, respons och återhämtning. I praktiken innebär det:

  • Uppdaterad inventering av alla ICT-tillgångar och beroenden
  • Riskbedömning av kritiska system och processer
  • Dokumenterade policyer för konfigurationshantering, patchning och åtkomstkontroll
  • Kontinuitetsplaner med definierade RTO och RPO för varje kritiskt system

Pelare 2: Incidentrapportering

DORA kräver att allvarliga ICT-relaterade incidenter rapporteras till tillsynsmyndigheten (Finansinspektionen i Sverige) inom strikta tidsramar. Din IT-drift måste ha processer för att klassificera, dokumentera och rapportera incidenter. Initiala rapporter ska lämnas inom 4 timmar efter att incidenten klassificerats som allvarlig.

Pelare 3: Digital operativ motståndskraftstestning

Alla finansiella företag ska genomföra regelbundna tester av sin ICT-motståndskraft. Systemviktiga institutioner ska dessutom genomföra hotbaserade penetrationstester (TLPT) minst vart tredje år. Det innebär att din IT-driftmiljö regelbundet utsätts för simulerade angrepp.

Kostnadsfri experthjälp

Behöver ni hjälp med cloud?

Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

Vilka krav ställer DORA på IT-driftleverantörer?

Enligt EIOPA (2024) klassificeras ICT-tredjepartsleverantörer som stöder kritiska funktioner som "kritiska ICT-tredjepartsleverantörer" och underställs direkt tillsyn från de europeiska tillsynsmyndigheterna (ESA). Det är en fundamental förändring för IT-driftleverantörer.

[ORIGINAL DATA] Specifika krav som DORA ställer på leverantörsavtal:

  • Avtalsinnehåll: SLA:er, datalokaliseringskrav, revisionsrättigheter, exitstrategier och uppsägningsvillkor
  • Underentreprenörer: Finansiella företag ska godkänna anlitande av underentreprenörer för kritiska funktioner
  • Tillgänglighet för revision: Leverantören ska ge tillsynsmyndigheter och det finansiella företaget full åtkomst till data, lokaler och personal
  • Exitplanering: Detaljerade exitplaner som säkerställer kontinuitet vid leverantörsbyte
  • Datalokalering: Information om var data lagras och behandlas, inklusive underentreprenörers lokationer

Om du outsourcar din IT-drift till en extern leverantör, är det ditt ansvar som finansiellt företag att säkerställa att leverantören uppfyller DORA:s krav. Ansvaret kan inte delegeras genom outsourcing.

[CHART: Tabell - DORA:s krav per pelare och koppling till IT-driftprocesser - EBA/ESMA]

Hur bedömer du DORA-efterlevnaden i din IT-drift?

En analys från PwC (2024) visar att 45 procent av svenska finansinstitut inte hade genomfört en fullständig gapanalys mot DORA före ikraftträdandet. En strukturerad bedömning är det första steget mot efterlevnad.

Använd denna checklista för att bedöma nuläget:

ICT-riskhantering

  • Finns ett dokumenterat ICT-riskramverk godkänt av ledningen?
  • Finns en aktuell inventering av alla ICT-tillgångar och beroenden?
  • Genomförs riskbedömningar minst årligen?
  • Finns dokumenterade policyer för konfigurationshantering och patchning?

Incidenthantering

  • Finns en incidentklassificeringsmodell som överensstämmer med DORA:s kriterier?
  • Kan ni rapportera en allvarlig incident inom 4 timmar?
  • Dokumenteras alla ICT-incidenter med rotorsaksanalys?

Testning

  • Genomförs regelbundna sårbarhets- och penetrationstester?
  • Testas kontinuitetsplaner minst årligen?
  • Planeras TLPT för systemviktiga funktioner?

Tredjepartshantering

  • Finns ett register över alla ICT-tredjepartsleverantörer?
  • Klassificeras leverantörer efter kritikalitet?
  • Innehåller avtal med kritiska leverantörer alla DORA-specifika klausuler?
  • Finns dokumenterade exitplaner för kritiska leverantörer?

[PERSONAL EXPERIENCE] I vår erfarenhet är tredjepartshantering det område där de flesta företag har störst gap. Många har outsourcat IT-drift utan att inventera leverantörskedjorna fullt ut. Underentreprenörer hos leverantören kan vara helt okända för det finansiella företaget.

Vilka konkreta åtgärder bör du vidta?

Baserat på vägledning från Finansinspektionen (2024) och de europeiska tillsynsmyndigheternas tekniska standarder (RTS/ITS) bör du prioritera följande åtgärder. Börja med en gapanalys och arbeta sedan systematiskt genom varje område.

  1. Genomför gapanalys: Kartlägg nuläget mot DORA:s krav per pelare. Identifiera och prioritera bristerna.
  2. Uppdatera ICT-riskramverket: Säkerställ att det är godkänt av styrelsen och inkluderar alla DORA-specifika krav.
  3. Inventera leverantörskedjan: Skapa ett komplett register över alla ICT-leverantörer, inklusive underentreprenörer. Klassificera varje leverantör efter kritikalitet.
  4. Uppdatera avtal: Komplettera befintliga avtal med DORA-specifika klausuler: revisionsrätt, incidentrapportering, exitplaner.
  5. Etablera incidentrapportering: Implementera processer och verktyg som möjliggör rapportering inom de föreskrivna tidsramarna.
  6. Planera testning: Upprätta en testplan som inkluderar sårbarhetsscanning, penetrationstester och, för systemviktiga institutioner, TLPT.
  7. Utbilda personal: Säkerställ att alla med ansvar för IT-drift förstår DORA:s krav och sin roll i efterlevnaden.

Budgetera för dessa åtgärder i din IT-driftbudget. DORA-anpassning är inte en engångskostnad utan kräver löpande investeringar i testning, rapportering och leverantörsuppföljning.

Vanliga frågor om DORA och IT-drift

Gäller DORA även för mindre fintechbolag?

Ja, DORA gäller för alla finansiella entiteter oavsett storlek, men proportionalitetsprincipen tillämpas. Mindre företag med enklare ICT-profil behöver inte implementera alla krav lika omfattande. Dock måste grundläggande ICT-riskhantering, incidentrapportering och leverantörshantering vara på plats oavsett storlek (EBA, 2024).

Vad händer vid bristande DORA-efterlevnad?

Tillsynsmyndigheterna, i Sverige Finansinspektionen, kan utfärda tillsynsåtgärder inklusive förelägganden, sanktionsavgifter och i extrema fall återkallelse av tillstånd. För kritiska ICT-tredjepartsleverantörer kan de europeiska tillsynsmyndigheterna utfärda rekommendationer och i förlängningen begränsa leverantörens verksamhet.

Hur påverkar DORA valet av IT-driftleverantör?

DORA gör leverantörsvalet mer komplext. Du behöver utvärdera leverantörens DORA-mognad, deras beredskap att ge revisionsåtkomst och deras förmåga att rapportera incidenter inom tidsramarna. Använd vår scorecard-mall för leverantörsbedömning och komplettera med DORA-specifika kriterier för en fullständig utvärdering.

DORA förändrar spelreglerna för IT-drift inom finanssektorn. Företag som tar kraven på allvar och investerar i robust ICT-riskhantering stärker inte bara sin regelefterlevnad, utan också sin operativa motståndskraft mot verkliga hot.

Relaterad läsning

Del av

IT-drift

Utforska hela tjänsteöversikten

Written By

Johan Carlsson
Johan Carlsson

Country Manager, Sweden at Opsio

Johan leads Opsio's Sweden operations, driving AI adoption, DevOps transformation, security strategy, and cloud solutioning for Nordic enterprises. With 12+ years in enterprise cloud infrastructure, he has delivered 200+ projects across AWS, Azure, and GCP — specialising in Well-Architected reviews, landing zone design, and multi-cloud strategy.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.