Seadot cybersecurity
EN

DORA

Våra tjänster utgör bland annat:

  • DORA GAP-Analys & Rekommendationer.
  • DORA Implementering & Verifiering.
  • Internrevision mot DORA-förordningen.
  • Utbildning för styrelse eller ledning inom DORA.

Ladda ner DORA Regelefterlevnad

DORA Regelefterlevnad

Ladda ner vår DORA-guide

DORA – steg för steg

Digital Operational Resilience Act (DORA)

Digital Operational Resilience Act (DORA) är en EU-förordning som trädde i kraft den 17 januari 2025 och syftar till att stärka den digitala motståndskraften i finanssektorn. Med ökande cyberhot och ett allt större beroende av digital infrastruktur är DORA avgörande för att säkerställa att banker, försäkringsbolag, betalningsinstitut och andra finansiella aktörer kan hantera, stå emot och återhämta sig från IKT-relaterade incidenter.

Vad är DORA och vem omfattas av regelverket?

Digital Operational Resilience Act (DORA) är en EU-förordning som syftar till att skapa ett enhetligt ramverk för hantering av IKT-relaterade risker inom finanssektorn. Målet är att mildra digitala incidenter och säkerställa att finanssektorn i Europa kan upprätthålla motståndskraftiga verksamheter.

DORA innebär att:

  • Finansiella aktörer måste följa enhetliga krav på säkerheten i sina nätverk och informationssystem.

  • Alla aktörer ska kunna stå emot, reagera på och återhämta sig från olika typer av IKT-relaterade störningar och hot.

Vilka omfattas?
DORA gäller för ett brett spektrum av organisationer:

  • Kreditinstitut och betalningsinstitut

  • Centrala motparter och handelsplatser

  • Försäkrings- och återförsäkringsbolag

  • Kreditvärderingsinstitut

  • Andra finansiella entiteter

  • Tredjepartsleverantörer av IKT (t.ex. molntjänster och andra kritiska leverantörer)

DORA:s fem pelare
Förordningen består av 64 artiklar, där de relevanta delarna för finansiella aktörer och IKT-leverantörer delas in i fem pelare:

  1. IKT-riskhantering (Artikel 5–16)

  2. Incidenthantering, klassificering och rapportering (Artikel 17–23)

  3. Testning av digital operativ motståndskraft (Artikel 24–27)

  4. Hantering av IKT-tredjepartsrisker (Artikel 28–30)

  5. Informationsutbyte (Artikel 45 – frivilligt)

Till dessa pelare hör även tekniska och implementeringsstandarder (RTS/ITS) som förtydligar och kompletterar förordningens krav.

Vad innebär DORA i praktiken?

För att upprätthålla kontroll över IKT-risker behöver finansiella aktörer:

  • Ha omfattande förmågor för att möjliggöra en stark och effektiv riskhantering.

  • Införa mekanismer och policyer för att identifiera, hantera och rapportera allvarliga incidenter till behörig myndighet (t.ex. Finansinspektionen i Sverige).

  • Säkerställa att det finns policyer för testning av IKT-system, kontroller och processer.

  • Ha rutiner för hantering av tredjepartsrisker.

DORA är en verklig spelväxlare för hur finanssektorn närmar sig operativ motståndskraft. Det kräver en bredare syn på resiliens och utveckling av nya sofistikerade förmågor.

Med rätt angreppssätt kan DORA bidra till att:

  • Förbättra förmågan att hantera IKT-risker.

  • Fördjupa kunskap om verksamhetens påverkan vid operativa störningar, även på ledningsnivå.

  • Skapa säkerhet genom att se till att åtgärder finns på plats efter säkerhetstester.

  • Inkludera tredjepartsleverantörer i riskhanteringen och skapa en helhetskontroll över IKT-relaterade operativa risker.

Vad innebär proportionalitetsprincipen?

DORA innehåller en proportionalitetsprincip som innebär att reglerna ska implementeras i proportion till varje organisations:

  • Storlek och riskprofil

  • Art och omfattning av tjänster

  • Verksamhetens komplexitet

Det betyder att mindre aktörer – exempelvis mikroföretag, små och medelstora företag – inte behöver uppfylla alla krav i förordningen. De mest avancerade kraven, såsom hotbildsstyrd penetrationstestning (Threat-Led Penetration Testing, TLPT), gäller enbart de största och mest betydande finansiella aktörerna.

Vad behöver organisationer göra för att uppnå DORA-efterlevnad?

Att bygga digital operativ motståndskraft handlar inte enbart om tekniska lösningar och regleringar, utan även om:

  • Medvetenhet och kunskap inom hela organisationen

  • Kontinuerlig förbättring i processer och rutiner

  • Ledningens och styrelsens ansvar för IKT-risker och kontinuitet

Enligt DORA är styrelsen i en finansiell aktör skyldig att ha tillräcklig kompetens inom riskhantering och informationssäkerhet samt ta det övergripande ansvaret för organisationens motståndskraft.

Rekommenderade första steg:

  • Genomför en gap- och mognadsbedömning baserad på de slutliga kraven i DORA (Level 1) och de tekniska/implementeringsstandarderna (ITS/RTS, Level 2).

  • Fokusera särskilt på att stärka:

  • Styrningen av IKT-risker, inklusive metodik och identifiering av kritiska funktioner.

  • Mognad i insamling och analys av incident- och hotdata.

  • Scenariobaserade säkerhetstester.

  • Identifiering och kartläggning av IKT-tredjepartsleverantörer.

  • Förmågan att övervaka, analysera och hantera tredjepartsrisker.

Redo att ta nästa steg?

Har du frågor eller vill veta mer om hur Seadot kan hjälpa er organisation? Vi är redo att stötta dig i arbetet med att stärka informationssäkerheten.

Kontakta oss

Email:
info@seadot.se
För generella förfrågningar

Emma Stewén, vice VD
emma@seadot.se
+46 76 601 15 10
För frågor om våra tjänster

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.