Vilka leverantörer räknas som kritiska enligt DORA?

En ICT-tredjepartsleverantör klassas som kritisk om de tillhandahåller tjänster som är väsentliga för affärskritiska funktioner och där avbrott skulle få betydande konsekvenser. Exempel är kärnbankssystem, betalningsplattformar och större molntjänster. Finansföretaget måste själv klassificera sina kritiska leverantörer baserat på verksamhetspåverkan.

Måste ICT-leverantörer registrera sig hos tillsynsmyndigheter?

Ja, kritiska ICT-tredjepartsleverantörer måste registrera sig hos en huvudansvarig tillsynsmyndighet (Lead Overseer) inom EU. Detta gäller leverantörer som betjänar flera finansiella företag och bedöms som systemviktiga. Registreringen innebär att leverantören kan bli föremål för direkt tillsyn och regelbundna revisioner.

Vad händer om en ICT-leverantör inte uppfyller DORA-kraven?

Om en leverantör inte uppfyller kraven kan finansföretaget bli sanktionerat för bristande kontroll av sin leverantörskedja. För kritiska leverantörer som står under direkt tillsyn kan tillsynsmyndigheten utfärda förelägganden, böter eller i extrema fall förbjuda leverantören att verka inom EU:s finanssektor.

Hur skiljer sig DORA från NIS2 när det gäller leverantörskrav?

DORA är mer detaljerat och specifikt för finanssektorn. Det kräver explicita exitstrategier, detaljerade register över alla ICT-leverantörer och direkttillsyn av kritiska leverantörer. NIS2 har bredare krav på leverantörskontroll men är mindre specifikt om vilka avtalsklausuler som krävs. Finansiella företag kan omfattas av båda regelverken.

Vad är en exitstrategi och varför krävs det i DORA?

En exitstrategi är en plan för hur finansföretaget kan avsluta samarbetet med en leverantör utan att verksamheten drabbas. Detta inkluderar rutiner för dataöverföring, migrering till ny leverantör och säkerställande av kontinuitet. DORA kräver detta för att minska beroendet av enskilda leverantörer och säkerställa att finansiella tjänster kan fortsätta även vid avtalsbrott.

DORA-krav på ICT-leverantörer: Vad du måste veta

DORA (Digital Operational Resilience Act) trädde i kraft 17 januari 2025 och förändrade spelreglerna för finanssektorns IT-leverantörer.

Förordningen ställer krav på både finansiella företag och deras ICT-tjänsteleverantörer (Information and Communication Technology, informations- och kommunikationsteknik) när det gäller säkerhet, resiliens och kontroll.

För ICT-leverantörer innebär det nya krav på transparens, incidentrapportering och i vissa fall direkt tillsyn från europeiska myndigheter. För finansiella företag innebär det att varje IT-avtal nu måste innehålla specifika klausuler och att leverantörer måste kunna bevisa sin säkerhetsnivå.

Vad räknas som en ICT-tjänsteleverantör?

DORA definierar ICT-tjänsteleverantörer brett. Det inkluderar alla företag som tillhandahåller digitala tjänster till finanssektorn, oavsett om de är tekniska specialister eller mer generella tjänsteleverantörer.

Typiska exempel på ICT-tjänsteleverantörer:

Molntjänstleverantörer (AWS, Azure, Google Cloud)
Mjukvaruleverantörer för kärnbankssystem, trading-plattformar och betalningssystem
Dataleverantörer och analysverktyg
IT-konsulter som hanterar kritiska system
Outsourcade IT-driftleverantörer
Backup- och katastrofåterställningstjänster

Om en leverantör har tillgång till finansföretagets system eller hanterar data som påverkar kritiska affärsfunktioner omfattas de av DORA:s krav.

Hur DORA kategoriserar leverantörer

DORA ställer grundkrav på alla ICT-leverantörer, men kraven skärps beroende på verksamhetspåverkan.

Alla ICT-leverantörer (grundnivå)

Alla leverantörer som tillhandahåller ICT-tjänster till finanssektorn omfattas av DORA:s grundkrav:

Avtal med obligatoriska klausuler (servicenivåavtal, revisionsrätt, incidentrapportering)
Registrering i finansföretagets leverantörsregister
Exitstrategier
Löpande riskbedömning och övervakning

Detta gäller oavsett leverantörens storlek eller tjänstens kritikalitet.

Leverantörer som stödjer kritiska eller viktiga funktioner

Finansföretaget måste själv identifiera vilka leverantörer som stödjer kritiska eller viktiga funktioner.

Bedömningen utgår från verksamhetspåverkan (vad händer om tjänsten slutar fungera?), substituerbarhet (hur lätt är det att byta leverantör?) och komplexitet (hur beroende är verksamheten av denna specifika tjänst?).

För dessa leverantörer gäller ytterligare krav:

Djupare exit- och substituerbarhetsanalys
Mer omfattande riskbedömning och testning
Tätare uppföljning och dokumentation
Specifika krav på möjlighet att genomföra revisioner

Kritiska ICT-tredjepartsleverantörer (EU-nivå)

EU:s finanstillsynsmyndigheter (EBA, ESMA, EIOPA) kan utse vissa leverantörer till kritiska ICT-tredjepartsleverantörer.

Dessa leverantörer:

Får en huvudansvarig tillsynsmyndighet (Lead Overseer) som ansvarar för direkt tillsyn
Måste registrera sig hos tillsynsmyndigheter
Genomgår regelbundna säkerhetsrevisioner
Rapporterar direkt till myndigheter

Detta gäller främst stora systemleverantörer som betjänar många finansiella företag, exempelvis Amazon Web Services, Microsoft Azure och Google Cloud.

Praktisk prioritering: Även om alla leverantörer måste kartläggas behöver de inte granskas lika djupt. Använd en riskbaserad ansats där kritiska leverantörer får mest resurser.

Vad finansiella företag måste göra

DORA ställer omfattande krav på hur finansiella företag hanterar sina ICT-leverantörer.

1. Register över alla ICT-leverantörer (Artikel 28)

Varje finansiellt företag måste upprätthålla ett komplett register över samtliga ICT-tjänsteleverantörer. Registret ska innehålla:

Leverantörens namn och kontaktuppgifter
Typ av tjänst och vilka system som berörs
Geografisk placering för datalagring och verksamhet
Datum för avtalets start och förnyelse
Beskrivning av vilka data leverantören hanterar
Klassificering (kritisk eller icke-kritisk)

Registret ska vara uppdaterat och tillgängligt för tillsynsmyndigheter vid begäran.

2. Klassificera kritiska leverantörer

Finansföretaget måste bedöma vilka leverantörer som är kritiska. Frågor att ställa är: Kan verksamheten fortsätta fungera utan tjänsten? Finns det alternativ, och hur lång tid skulle ett byte ta? Hur unikt är erbjudandet på marknaden?

Kritiska leverantörer kräver djupare granskning och tätare uppföljning än vanliga leverantörer.

3. Ställa rätt krav i avtal (Artikel 30)

Alla avtal med ICT-leverantörer måste innehålla specifika klausuler. Detta är inte frivilligt, utan ett lagkrav enligt DORA.

Obligatoriska avtalsklausuler:

Fullständig beskrivning av tjänsten, inklusive var och hur data hanteras
Servicenivåavtal (SLA) med mätbara prestanda- och tillgänglighetskrav
Säkerhetskrav och certifieringar, såsom krav på ISO 27001 eller SOC 2
Revisionsrätt: Finansföretaget måste kunna granska leverantörens säkerhet, antingen själva eller via tredje part
Incidentrapportering: Leverantören måste rapportera säkerhetsincidenter omedelbart till finansföretaget
Exitstrategi: Tydliga rutiner för hur data och tjänster överlämnas vid avtalets slut
Underleverantörer (4:e part): Leverantören måste informera om vilka underleverantörer som används och var data lagras

Utan dessa klausuler kan finansföretaget inte teckna eller förnya avtalet.

4. Löpande övervakning och uppföljning

Det räcker inte att göra en initial bedömning. Leverantörshanteringen måste vara kontinuerlig.

Finansföretaget måste:

Granska leverantörens säkerhetsnivå regelbundet (minst årligen för kritiska leverantörer)
Följa upp incidenter och avvikelser
Testa exitstrategier för att säkerställa att de fungerar
Dokumentera alla kontroller och beslut

Vad ICT-leverantörer måste göra

För ICT-leverantörer innebär DORA ökad transparens och i vissa fall direkt tillsyn.

1. Uppfylla avtalsklausuler

Leverantören måste kunna visa att de uppfyller de krav som ställs i avtalet. Detta inkluderar:

Dokumenterade säkerhetsrutiner och certifieringar
Snabb och transparent incidentrapportering
Rätt till kundens revision av säkerhetsnivån
Dataportabilitet vid avtalsslut

Om leverantören inte kan uppfylla dessa krav riskerar de att förlora sina kunder inom finanssektorn.

2. Hantera underleverantörer (4:e partsrisk)

Leverantören ansvarar även för sina egna underleverantörer. Det innebär att de måste:

Kartlägga var data faktiskt lagras och vem som har åtkomst
Säkerställa att underleverantörer håller samma säkerhetsnivå
Rapportera vilka underleverantörer som används till finansföretaget

Detta är särskilt viktigt för molntjänster som i sin tur använder infrastruktur från större aktörer.

3. Registrering för kritiska leverantörer (EU-nivå)

Om en ICT-leverantör klassas som kritisk på EU-nivå måste de registrera sig hos en Lead Overseer. Detta innebär att de kommer att granskas direkt av tillsynsmyndigheter.

Vad direkt tillsyn innebär:

Regelbundna säkerhetsrevisioner av oberoende granskare
Skyldighet att rapportera väsentliga incidenter direkt till myndigheter
Krav på att följa specifika säkerhetsstandarder
Risk för sanktioner vid bristande efterlevnad

För leverantören innebär detta betydligt högre krav på dokumentation och transparens.

Exitstrategier: Vad som krävs

Alla avtal med kritiska ICT-leverantörer måste innehålla en exitstrategi.

Vad en exitstrategi måste innehålla

En godkänd exitstrategi ska beskriva hur all data hämtas ut i ett användbart format, hur lång tid det tar att byta till en ny leverantör och hur tjänstekontinuitet säkerställs under övergången. Exitstrategin måste testas, inte bara finnas på pappret.

Detta kräver samarbete mellan finansföretaget och leverantören. Avtalet måste tydligt ange leverantörens skyldigheter att underlätta en smidig övergång.

Hur NIS2 och DORA överlappar

Vissa ICT-leverantörer kan omfattas av både DORA och NIS2-direktivet. Detta gäller framförallt större molntjänster och IT-infrastrukturleverantörer.

Vad är skillnaden?

DORA gäller specifikt för leverantörer till finanssektorn och har detaljerade krav på avtal och exitstrategier
NIS2 gäller för samhällsviktiga verksamheter och ställer bredare säkerhetskrav

En leverantör som bedriver verksamhet inom både finanssektorn och annan samhällsviktig infrastruktur måste uppfylla båda regelverken. I praktiken innebär det att de strängaste kraven gäller.

Praktisk checklista: Vad ska göras nu?

För finansiella företag

Inventera alla ICT-leverantörer och skapa ett komplett register
Klassificera vilka leverantörer som är kritiska för verksamheten
Granska befintliga avtal och säkerställ att de innehåller DORA:s obligatoriska klausuler
Förhandla fram exitstrategier med kritiska leverantörer
Implementera rutiner för löpande leverantörsuppföljning

För ICT-leverantörer

Granska era avtal med finanskunder och identifiera vilka klausuler som saknas
Dokumentera säkerhetsrutiner och börja arbeta mot relevanta certifieringar (ISO 27001, SOC 2)
Kartlägg era egna underleverantörer och var data lagras
Säkerställ att ni kan erbjuda dataportabilitet vid avtalsslut
Förbered er på revisioner och tillsyn om ni klassas som kritiska

Sammanfattning

DORA kräver att finansiella företag har:

Komplett register över alla ICT-leverantörer
Klassificering av kritiska leverantörer
Avtal med obligatoriska klausuler (servicenivåavtal, revisionsrätt, exitstrategier)
Löpande uppföljning och dokumentation

ICT-leverantörer måste kunna:

Bevisa säkerhetsnivå genom exempelvis certifieringar och dokumentation
Rapportera incidenter omedelbart
Tillåta revision från kunder
Tillhandahålla dataportabilitet vid avtalsslut