DORA är inte längre ett förberedelseprojekt! Så här ser de första tillsynsrapporterna ut

I april publicerade både norska och danska Finanstilsynet tillsynsrapporter där DORA utgör den regulatoriska grunden. Det är ett påtagligt skifte: från regelverket som förberedelseprojekt till regelverket som aktivt tillsynsverktyg. Vi på Seadot har gått igenom båda rapporterna och här är vår analys av vad de innebär och vad vi tror kommer hända härnäst.

Två inspektioner, samma mönster

Norska Finanstilsynet granskade Eika Boligkreditt i december 2025. Danska Finanstilsynet granskade DLR Kredit under hösten 2025. De två entiteterna är olika till storlek och marknadsroll, men tillsynsmyndigheternas fynd är påfallande lika.

Det centrala problemet i båda fallen är inte avsaknad av dokumentation, båda entiteterna har policyer och styrdokument på plats. Problemet är att dokumenten inte är operationaliserade. De finns i systemen men styr inte den faktiska verksamheten. Det här är något vi känner igen från många organisationer: DORA-förberedelsen har i många fall stannat på policynivå när det egentliga kravet handlar om att styra och kontrollera verksamheten i praktiken.

Ett annat återkommande tema är tredjepartsrisken. Båda entiteterna använder externa IKT-leverantörer för kritiska funktioner och i båda fallen saknas tillräcklig kontroll, riskbedömning och testning av dessa leveranser. DORA ställer höga krav på just detta: det räcker inte med ett SLA. Entiteten måste aktivt följa upp, kontrollera och testa även leverantörens sida.

De områden tillsynsmyndigheterna reagerar på

Sammanfattar man de båda rapporterna framträder fem tydliga områden som tillsynsmyndigheterna förväntar sig att entiteten hanterar på ett strukturerat och dokumenterat sätt.

IKT-riskstyrning och ansvarsfördelning

I båda entiteten är gränserna mellan första och andra försvarslinjen för IKT-risk otydliga. Tillsynsmyndigheterna förväntar sig att styrelsen aktivt styr och följer upp IKT-riskarbetet, inte bara godkänner policyer en gång per år. En informationssäkerhetspolicy som inte är anpassad till organisationens faktiska risknivå, eller ett riskramverk som inte påverkar dagliga beslut, är inte tillräckligt. Det krävs också att det finns rätt kompetens i alla försvarslinjer, något som saknades i båda fallen.

Beredskap och kontinuitet

Beredskapsplaner måste vara operationella, faktiskt användbara i en skarp situation. Det räcker inte med planer som ser bra ut på papper om de saknar tydliga återställningstider, inte täcker leverantörernas miljöer eller aldrig har testats mot realistiska scenarier. Den danska rapporten visar konkret hur bristfälliga beredskapsplaner i värsta fall kan påverka en hel kundbas, i DLR Kredits fall de banker som är beroende av deras tjänster för att leverera bolån.

Tredjepartsrisker och leverantörskontroll

Det här området får bred kritik i båda rapporterna och är enligt vår bedömning det område där flest organisationer fortfarande har störst gap. DORA kräver att alla tredjepartsleveranser som stödjer kritiska funktioner ska vara riskbedömda, att kontroller genomförs löpande och att det finns testade exitplaner. I det norska fallet visste entiteten inte ens hur många hos leverantören som hade åtkomst till deras driftsmiljö och genomförde inga kontroller av det. Det är en tydlig påminnelse om att outsourcing inte innebär att ansvaret försvinner.

Incidentklassificering och -hantering

Klassificering av IKT-incidenter är ett område som ofta undervärderas i DORA-arbetet. Den danska rapporten visar att brister här får direkt konsekvenser: utan korrekt klassificering riskerar man att allvarliga händelser hanteras på fel nivå och att rapporteringsskyldigheter till tillsynsmyndigheten missar att aktiveras.

Testning av digital operationell motståndskraft

Båda entiteterna får kritik för att testprogrammen är för begränsade: de täcker inte alla kritiska system och leverantörer, saknar krav på frekvens och uppföljning, och är inte baserade på realistiska scenarier. Särskilt den norska rapporten betonar att beredskapstestning måste inkludera allvarliga scenarier som angrepp mot leverantörens infrastruktur och att sårbarheter måste dokumenteras och hanteras systematiskt.

Från förberedelse till praktik

Det här är inte två slumpmässiga inspektioner, det här är en signal om vad som kommer. Tillsynsmyndigheterna i Norden har nu börjat använda DORA som aktivt inspektionsverktyg, och det mönster vi ser i dessa första rapporter kommer säkerligen återkomma. Regelverket är designat för löpande tillsyn, inte engångskontroll.

Det som gör de här rapporterna särskilt värdefulla är att de ger en konkret bild av vad tillsynsmyndigheterna faktiskt tittar på när de är på plats. Det är inte en teoretisk checklista, det är ett praktiskt prov på om styrning, dokumentation och kontroll fungerar i verkligheten. Och räckvidden är bred: många artiklar testas och båda rapporterna pekar på att en organisation kan leva upp till DORA på papper men falla på operationaliseringen.

För organisationer som ännu inte kommit så långt är det nu dags att prioritera och att använda de här rapporterna som ett riktmärke för var förberedelserna står.

Källor

Finanstilsynet (NO): Tilsynsrapport – Eika Boligkreditt AS, december 2025. Läs rapporten

Finanstilsynet (DK): Redegørelse om IT-inspektion i DLR Kredit, april 2026. Läs rapporten