Seadot cybersecurity
EN

Så påverkar DORA leverantörer och tredjepartsrisker

När man pratar om EU:s regelverk DORA (Digital Operational Resilience Act) tänker många på banker, försäkringsbolag och andra finansaktörer. Men en av de största förändringarna i DORA är att det inte bara gäller de direkta aktörerna inom finanssektorn, utan även deras leverantörer.
Det innebär att allt från molntjänstleverantörer och IT-konsulter till datahallar och cybersäkerhetsföretag kan omfattas av DORA. 

 

Varför leverantörer omfattas av DORA

En central del av DORA är att minska risken för att en extern aktör blir en svag länk i det finansiella ekosystemet.

  • Finanssektorn är starkt beroende av externa leverantörer.
  • Många tjänster, som betalningslösningar, molninfrastruktur och kunddatahantering, sköts av tredje part.
  • Ett avbrott hos en leverantör kan snabbt få systemeffekter i hela finansmarknaden.

Därför ställer DORA tydliga krav på tredjepartsrisker, alltså de risker som uppstår när ett företag använder sig av externa leverantörer.

 

Vilka leverantörer berörs?

DORA gäller i första hand för finansiella företag, men indirekt också för deras leverantörer. Det betyder att:

  • Molnleverantörer (t.ex. hosting, datalagring, SaaS-lösningar) behöver uppfylla DORA-krav om de har finansiella aktörer som kunder.
  • IT-drift och cybersäkerhetsföretag måste kunna visa hur de hanterar incidenter och risker.
  • Konsulter och underleverantörer som levererar tjänster till finansiella aktörer kan omfattas.

I praktiken: om din kund måste följa DORA, så kommer du som leverantör också behöva anpassa dig.

 

Krav på leverantörsstyrning

DORA lägger stor vikt vid hur företag hanterar sina leverantörer. Det betyder att banker och försäkringsbolag måste:

  1. Göra riskanalyser innan de skriver avtal med en leverantör.
  2. Se till att avtalen innehåller krav på regelefterlevnad, säkerhet och incidentrapportering.
  3. Ha en exit-strategi om leverantören inte längre kan leverera.
  4. Genomföra löpande uppföljning av leverantörens förmåga att leverera säkert och stabilt.

För leverantörer innebär det att man måste vara förberedd på kundernas nya krav, både juridiskt och tekniskt.

 

Exempel: Så kan DORA slå mot leverantörer

  • En molntjänstleverantör som lagrar kunddata för banker kan behöva redovisa detaljerade processer för backup, redundans och säkerhetstester.
  • En IT-konsult som bygger betallösningar kan behöva anpassa sina rutiner för incidentrapportering så att de matchar bankens DORA-krav.
  • Ett cybersäkerhetsföretag kan behöva visa att deras system för hotdetektion uppfyller specifika standarder.

Kort sagt: även mindre leverantörer kan påverkas, eftersom kraven följer med genom hela kedjan.

 

Vad leverantörer bör göra nu

För att inte hamna på efterkälken är det klokt att leverantörer redan nu börjar förbereda sig på DORA-kraven. Några viktiga steg:

  • Kartlägg kunderna: Vilka av era kunder omfattas direkt av DORA?
  • Gör en gap-analys: Vilka krav i DORA kan påverka er leverans?
  • Förbered dokumentation: Tydliga rutiner för incidentrapportering, riskhantering och säkerhetskontroller.
  • Uppdatera avtal: Säkerställ att era avtal med finansiella aktörer kan möta DORA-kraven.
  • Utbilda personalen: Se till att både IT- och affärssidan förstår vad DORA innebär för verksamheten.

 

Vanliga frågor om leverantörer och DORA

 

Måste alla IT-leverantörer följa DORA?
Inte alla, men om man levererar tjänster till en aktör som omfattas av DORA kommer kraven att reflekteras på er leverans.

Gäller DORA bara stora leverantörer?
Nej, även mindre underleverantörer kan påverkas om de är en del av en kritisk kedja.

Kan man bli utesluten som leverantör om man inte uppfyller DORA-krav?
Ja, finansiella aktörer kan behöva byta leverantör om risknivån blir för hög.

 

 

DORA är inte bara ett regelverk för banker och försäkringsbolag. Det är också ett regelverk som i praktiken skärper kraven på hela leverantörskedjan.
För leverantörer gäller det att snabbt förstå vad DORA innebär och förbereda sig på nya krav från kunderna. De som agerar tidigt kan till och med vända DORA till en konkurrensfördel genom att bli den leverantör som kunderna kan lita på i en mer reglerad framtid.

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.