Seadot cybersecurity
SV

Vanliga frågor om DORA

DORA – Digital Operational Resilience Act – är EU:s regelverk för att stärka den digitala motståndskraften inom finanssektorn. Sedan den 17 januari 2025 gäller DORA fullt ut i hela EU. Det innebär att banker, försäkringsbolag, fondbolag och andra finansiella aktörer redan nu måste leva upp till kraven.
Här har vi samlat de vanligaste frågorna och svaren om DORA, förklarat på ett enkelt sätt.

 

Vad är DORA?

DORA står för Digital Operational Resilience Act och är en EU-förordning. Syftet är att säkerställa att finanssektorn kan stå emot digitala störningar, cyberattacker och IT-incidenter utan att den finansiella stabiliteten i Europa hotas.

 

När började DORA gälla?

DORA trädde i kraft i januari 2023, men började tillämpas fullt ut den 17 januari 2025. Sedan dess är det ett bindande regelverk i alla EU-länder.

 

Vilka företag omfattas av DORA?

DORA gäller för ett stort antal finansiella aktörer, bland annat:

  • Banker och kreditinstitut
  • Försäkrings- och återförsäkringsbolag
  • Fondbolag och värdepappersföretag
  • Betaltjänstleverantörer
  • Börser och centrala motparter

Även leverantörer till dessa aktörer, som molntjänstföretag och IT-driftbolag, påverkas indirekt.

 

Varför behövs DORA?

Finanssektorn är starkt digitaliserad och därmed sårbar. Ett avbrott i en molntjänst eller en cyberattack kan snabbt få stora konsekvenser för hela samhället.
DORA säkerställer att sådana risker hanteras strukturerat och enhetligt i hela EU.

 

Vilka är de fem pelarna i DORA?

  1. Riskhantering – Företag måste identifiera och hantera IT-risker.
  2. Incidentrapportering – Allvarliga incidenter ska upptäckas och rapporteras.
  3. Testning – Företag måste regelbundet testa sin digitala resiliens.
  4. Leverantörsstyrning – Risker i leverantörskedjan ska hanteras.
  5. Informationsdelning – Aktörer uppmuntras att dela hotinformation.

 

Hur hänger DORA ihop med NIS2?

Både DORA och NIS2 syftar till att öka cybersäkerheten i Europa, men de skiljer sig åt:

  • NIS2 gäller många olika sektorer, inte bara finans.
  • DORA är mer detaljerad och specifik för finansiella tjänster.
    För vissa företag gäller båda regelverken parallellt.

 

Vad innebär DORA för leverantörer?

Leverantörer till finansiella företag måste kunna leva upp till kundernas DORA-krav, exempelvis:

  • Dokumenterade processer för riskhantering och incidentrapportering.
  • Tydliga avtal som reglerar säkerhet och kontinuitet.
  • Löpande revisioner och tester.

 

Vilka är de största utmaningarna med DORA?

  • Att bygga upp strukturer för incidentrapportering.
  • Att säkerställa att hela leverantörskedjan lever upp till kraven.
  • Att få med ledning och styrelse i det praktiska ansvaret.
  • Att anpassa verksamheten till kraven under skarp drift.

 

Vilka sanktioner kan man få om man inte följer DORA?

Sanktionerna varierar mellan olika EU-länder men kan inkludera:

  • Böter
  • Begränsningar i verksamheten
  • Förbud att använda vissa leverantörer

Det viktiga är att visa att man arbetar aktivt med att uppfylla kraven.

 

Hur kan man arbeta med DORA i praktiken?

  1. Kartlägg era system och leverantörer.
  2. Identifiera era kritiska och viktiga funktioner.
  3. Säkerställ processer för incidentrapportering.
  4. Utför regelbundna tester.
  5. Följ upp avtal och leverantörsrisker.
  6. Utbilda ledning och personal.

 

Är DORA bara en börda – eller kan det bli en fördel?

DORA ses ibland som ännu ett regelverk att följa, men det kan också bli en konkurrensfördel.

  • Företag som är väl förberedda stärker sitt kundförtroende.
  • Strukturerad riskhantering kan minska kostnader över tid.
  • Transparens mot kunder och myndigheter skapar trygghet.

 

För att sammanfatta de hela:

Sedan 17 januari 2025 gäller DORA fullt ut i hela EU. För företag inom finanssektorn och deras leverantörer är det nu en del av vardagen.
Regelverket handlar inte bara om compliance, utan om att bygga digital motståndskraft och säkerställa en stabilare finansmarknad i en tid av ökande cyberhot.

Seadot cybersecurity

Enhanced digital resilience – when it really matters

Security Areas

Our Services

Contact

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.