Seadot cybersecurity
EN

De fem pelarna i DORA

De fem pelarna i DORA – en enkel förklaring

EU:s regelverk DORA (Digital Operational Resilience Act) är omfattande och tekniskt. För många företag kan det kännas som en snårig djungel av juridik, cybersäkerhet och riskhantering. Men egentligen kan DORA sammanfattas i fem huvudområden – eller ”pelare”.
Genom att förstå dessa pelare blir det mycket enklare att se vad DORA handlar om i praktiken och vilka steg företag behöver ta för att möta kraven.

 

Pelare 1: Riskhantering för IT och digitala tjänster

Kärnan i DORA är att företag inom finanssektorn måste ha kontroll över sina IKT-risker. Det handlar om att identifiera, mäta och hantera risker kopplade till digital infrastruktur.

Några centrala punkter:

  • Företag måste ha en dokumenterad process för hur de hanterar IKT-risker.
  • Det krävs kontinuerlig uppföljning av risknivåer.
  • Styrelse och ledning måste vara involverade och ansvariga, inte bara IT-avdelningen.

Exempel: En bank behöver ha en tydlig plan för vad som händer om deras betalsystem plötsligt går ner.

 

Pelare 2: Incidentrapportering och hantering

DORA ställer tydliga krav på att företag snabbt ska kunna upptäcka och rapportera incidenter.

Det innebär:

  • Att företag måste ha rutiner för att upptäcka, analysera och rapportera IT-incidenter.
  • Rapporteringsskyldighet inom satta tidsramar till tillsynsmyndigheter vid allvarliga incidenter. I Sverige är Finansinspektionen tillsynsmyndighet.
  • Kommunikation med kunder när incidenter påverkar deras tjänster.

Exempel: Om en cyberattack slår ut en försäkringsaktörs webbportal måste detta både åtgärdas och rapporteras enligt DORA.

 

Pelare 3: Testning av digital resiliens

För att visa att verksamheten och systemen verkligen klarar störningar kräver DORA regelbunden heltäckande testning.

Det kan vara:

  • Penetrationstester för att upptäcka sårbarheter.
  • Krisövningar där man simulerar större avbrott.
  • Kontinuitetstester av kritiska system.
  • Avancerad hotbildsstyrd penetrationstestning för större finansiella aktörer som omfattas.

Exempel: En aktör kan behöva testa vad som händer om deras molnleverantör plötsligt får driftstörningar och hur snabbt verksamheten kan återgå till normal drift.

 

Pelare 4: Hantering av leverantörer och tredjepartsrisker

DORA lägger stort fokus på att externa leverantörer inte får bli en svag länk.

Det innebär:

  • Företag måste ställa tydliga krav i sina avtal med leverantörer.
  • Riskbedömning innan man tar in en ny leverantör.
  • Löpande uppföljning av leverantörens säkerhetsnivå.

Exempel: En bank som använder en molntjänst måste ha avtal som reglerar säkerhet, tillgänglighet och hur incidenter rapporteras.

 

Pelare 5: Informationsdelning och samarbete

Slutligen, trots att pelare 5 inte är obligatoriskt, uppmuntrar DORA till informationsdelning mellan aktörer. Tanken är att hela sektorn ska bli starkare genom att dela kunskap och varningar.

Det kan handla om:

  • Säker delning av hotinformation mellan banker.
  • Gemensamma forum för cybersäkerhetsfrågor.
  • Samarbete med myndigheter kring nya hot.

Exempel: Om en aktör upptäcker en ny typ av phishing-attack kan denna information delas med andra för att förebygga fler incidenter.

 

 

 

Vanliga frågor om de fem pelarna i DORA

 

Varför pratar man om just fem pelare?
De fem pelarna utgör de fem kapitlen med krav i förordningen, DORA omfattar mycket mer, men de fem pelarna summerar kärnan i regelverket.

Måste alla företag göra avancerade tester?
Det beror på storlek och riskprofil. Större företag förväntas genomföra mer omfattande tester enligt Riksbankens koordination.

Vad är nytt i DORA jämfört med tidigare regler?
Att leverantörskedjan omfattas tydligare, systematisk hantering av IKT-risker, samt att det finns hårdare krav på incidentrapportering till tillsynsmyndigheter.

 

De fem pelarna i DORA visar tydligt vad regelverket handlar om: att säkerställa att den finansiella sektorn står stadigt även när något går fel. För företag innebär det inte bara fler regler – utan också en möjlighet att bygga starkare digital motståndskraft och skapa större förtroende hos kunder och partners.

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.