Vad betyder DORA inom finans?

DORA står för Digital Operational Resilience Act, EU-förordningen 2022/2554. Den ställer enhetliga krav på digital operativ motståndskraft för finansiella enheter och deras kritiska IKT-tredjepartsleverantörer, med tillämpning från den 17 januari 2025. För svenska banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer och kryptotjänsteleverantörer betyder DORA att IKT-risk hanteras lika strikt som finansiell risk.

Förordningen är direkt tillämplig i Sverige utan särskild lagstiftning, men kompletteras av Finansinspektionens föreskrifter och tillsyn. Den ersätter eller harmoniserar tidigare branschspecifika krav på drift och säkerhet i finanssektorn.

Vad DORA omfattar

DORA är en förordning, inte ett direktiv. Det innebär att den gäller direkt i alla EU-medlemsstater, inklusive Sverige, utan nationell implementeringsakt. Den är dessutom lex specialis i förhållande till NIS2 och cybersäkerhetslagen: när DORA är tillämplig på en finansiell enhet går den före NIS2:s motsvarande krav.

Tillämpningsdatumet 17 januari 2025 är fast. Det fanns ingen övergångsperiod efter det datumet, vilket innebär att alla berörda enheter ska ha implementerat samtliga krav på IKT-riskhantering, incidentrapportering, motståndskraftsprovning och tredjepartsriskhantering vid tillämpningstillfället.

De fem pelarna i DORA

• IKT-riskhantering: styrning, ramverk, klassificering av IKT-tillgångar, kontinuerlig riskbedömning, kontinuitetsplanering och säkerhetsåtgärder. Ledningsorganet bär det yttersta ansvaret.
• Incidentrapportering: klassificering av allvarliga IKT-incidenter och frivillig rapportering av betydande cyberhot till behörig myndighet, med initial, mellanliggande och slutlig rapport inom angivna tidsfrister.
• Motståndskraftsprovning: årliga grundläggande tester av IKT-system och, för viktigare enheter, hotbaserad penetrationstestning (TLPT) minst vart tredje år enligt TIBER-EU-metodik.
• Tredjepartsriskhantering: register över alla kontraktsmässiga arrangemang med IKT-tredjepartsleverantörer, obligatoriska avtalsklausuler, koncentrationsriskbedömning och exit-strategier.
• Informationsdelning: frivilliga arrangemang för delning av cyberhotsinformation och underrättelser mellan finansiella enheter.

Vem berörs av DORA

DORA omfattar närmare tjugo kategorier av finansiella enheter, bland annat banker, försäkrings- och återförsäkringsbolag, värdepappersbolag, fondbolag, betalningsinstitut, institut för elektroniska pengar, leverantörer av kryptotillgångstjänster (under MiCAR), centrala motparter, värdepapperscentraler, kreditvärderingsinstitut och leverantörer av datarapporteringstjänster. Krav på proportionalitet finns för mindre och mikroenheter, men de är inte helt undantagna.

Förutom finansiella enheter omfattas kritiska IKT-tredjepartsleverantörer. EU-myndigheterna (ESA) klassar varje år hyperscalers och stora cloud providers, managed services-leverantörer och datacenter som kritiska om de når tröskelvärdena. Dessa leverantörer hamnar då under direkt EU-tillsyn, med möjlighet till böter och anvisningar.

För svenska företag är tillämpningen av DORA oftast tydlig: om Finansinspektionen är din tillsynsmyndighet är DORA en av de förordningar du måste följa.

Tillsyn i Sverige

I Sverige är Finansinspektionen den behöriga myndigheten för DORA-tillsyn av nationellt licensierade finansiella enheter. På EU-nivå sker tillsynen av kritiska IKT-tredjepartsleverantörer av en av de europeiska tillsynsmyndigheterna: EBA (banking), ESMA (värdepapper) eller EIOPA (försäkring), beroende på leverantörens huvudsakliga kundbas.

Det operativa kravet på incidentrapportering går via Finansinspektionens rapporteringskanaler. Allvarliga incidenter ska initialt rapporteras inom fyra timmar efter klassificering, med fullständig rapport inom en månad.

Hur DORA samspelar med andra regelverk

Så hjälper Opsio

Opsio hjälper finansiella enheter och deras leverantörer att uppfylla DORA-kraven genom hanterade molntjänster med avtal som speglar DORA artikel 30 om obligatoriska avtalsklausuler, samt cybersäkerhetstjänster som täcker incidentdetektion, hotjakt och rapporteringsstöd. Vi stöder också TLPT-förberedelse, kontinuitetsprovning och dokumentation av tredjepartsregistret. Kontakta oss för en DORA-beredskapsgenomgång.

Vanliga frågor

När började DORA gälla?

DORA antogs i december 2022 och tillämpas från den 17 januari 2025. Det fanns ingen övergångsperiod efter tillämpningsdatumet, så alla berörda enheter förväntas följa förordningen från första dagen.

Är DORA en lag eller ett direktiv?

DORA är en EU-förordning (Regulation (EU) 2022/2554). Det innebär att den är direkt tillämplig i Sverige utan nationell implementeringsakt, till skillnad från ett direktiv som NIS2 som måste införlivas via svensk lag.

Vad händer om vi inte uppfyller DORA?

Finansinspektionen kan vidta tillsynsåtgärder, inklusive föreläggande, anmärkning, varning och administrativa sanktionsavgifter. För kritiska IKT-tredjepartsleverantörer kan EU-tillsynsmyndigheterna utfärda dagliga viten som löper tills bristen åtgärdas. Allvarliga brister kan också påverka licensvillkor.

Måste vår molnleverantör följa DORA?

Indirekt ja. Som finansiell enhet ansvarar du för att avtalet med din IKT-tredjepartsleverantör uppfyller DORA artikel 30. Leverantörer som klassas som kritiska av EU:s tillsynsmyndigheter (ESA) hamnar dessutom under direkt EU-tillsyn. För hanterade molntjänster bör du verifiera att leverantören kan tillhandahålla revisionsrätt, dataportabilitet och exit-stöd enligt förordningen.

Hur skiljer sig DORA från NIS2?

DORA är lex specialis för finanssektorn. Om du är en finansiell enhet som täcks av DORA är det DORA:s IKT-krav som gäller, inte NIS2:s motsvarande krav. NIS2 fortsätter att gälla för entiteter i andra sektorer (energi, transport, hälso- och sjukvård, digital infrastruktur med flera). Båda regelverken är inspirerade av ENISA:s ramverk och har överlappande filosofi.