Advania logo
    Kontakta oss
    Gå tillbaka

    DORA

    Vad är Digital Operational Resilience Act (DORA)?

    Den 17 januari 2025 träder EU:s nya regelverk DORA (Digital Operational Resilience Act) i kraft. Syftet med DORA är att stärka den digitala motståndskraften hos verksamheter inom finanssektorn – att säkerställa att de kan förebygga, hantera och återhämta sig från IT-incidenter. Med ökande cyberhot och ett alltmer digitaliserat ekosystem ställer DORA tydliga krav på kontinuitet, säkerhet och robusta processer i hela leveranskedjan, inklusive tredjepartsleverantörer av IT-tjänster.

    DORA innebär en harmonisering av cybersäkerhetskrav inom EU och gör digital operativ motståndskraft till ett formellt tillsynsområde på samma nivå som exempelvis finansiell stabilitet.

    Vilka verksamheter omfattas av DORA?

    DORA gäller ett brett spektrum av aktörer inom finansbranschen, bland annat:

    • Banker och kreditinstitut
    • Försäkrings- och återförsäkringsbolag
    • Värdepappersbolag, börser och clearinghus
    • Betaltjänstleverantörer och e-pengainstitut
    • Pensionsfonder
    • Leverantörer av kritiska tredjepartstjänster, som molnplattformar, datalagring och nätverksdrift

    Totalt berörs över 22 000 verksamheter inom EU. Även vissa svenska bolag som tidigare inte varit direkt tillsynspliktiga kommer nu att omfattas, särskilt om de tillhandahåller viktiga digitala tjänster till finansiella företag.

    Fem grundpelare i DORA

    För att säkerställa digital motståndskraft fokuserar DORA på fem centrala områden:

    1. Riskhantering inom IKT
      Verksamheter måste ha strukturerade processer för att identifiera, hantera och minska risker kopplade till informations- och kommunikationsteknik (IKT).

    2. Incidentrapportering
      Allvarliga IT-incidenter ska rapporteras till relevanta tillsynsmyndigheter inom fastställda tidsramar.

    3. Testning av operativ motståndskraft
      Organisationer ska regelbundet testa sina system, bland annat genom penetrationstester och scenarier för krishantering.

    4. Tredjepartsrisker
      Verksamheter behöver ha tydliga rutiner för att hantera risker kopplade till leverantörer av digitala tjänster – inklusive avtal, övervakning och avslut av samarbete.

    5. Informationsdelning
      DORA uppmuntrar frivillig informationsdelning mellan aktörer om hot, sårbarheter och incidenter, för att stärka det kollektiva cyberskyddet inom sektorn.

    DORA – En möjlighet att bygga förtroende och framtid

    DORA handlar inte bara om regelefterlevnad – det är ett ramverk för att skapa stabilare, säkrare och mer pålitliga digitala tjänster i en tid där teknik och tillit går hand i hand. Genom att arbeta proaktivt med DORA visar du att din verksamhet tar ansvar för både säkerhet och långsiktig affärskontinuitet.

    Vanliga frågor om DORA

    Vad är DORA?

    DORA, eller Digital Operational Resilience Act, är en EU-förordning som syftar till att stärka den digitala operativa motståndskraften inom den finansiella sektorn. Den ställer krav på allt från IT- och cybersäkerhet till hantering av tredjepartsrisker, som molntjänstleverantörer.

    Vilka organisationer omfattas av DORA?

    DORA omfattar ett brett spektrum av aktörer inom den finansiella sektorn, inklusive banker, försäkringsbolag och värdepappersföretag. Dessutom omfattas kritiska tredjepartsleverantörer av IT-tjänster, vilket innebär att även molnleverantörer och andra teknikpartners måste följa regelverket.

    När träder DORA-förordningen i kraft?

    DORA-förordningen trädde i kraft den 16 januari 2023 och blir fullt tillämplig från och med den 17 januari 2025. Företag inom den finansiella sektorn har fram till detta datum på sig att anpassa sin verksamhet för att uppfylla de nya kraven.

    Andra relevanta ord i samma kategori