DORA (Digital Operational Resilience Act) är EU:s förordning som stärker cybersäkerheten inom finanssektorn. Den trädde i kraft januari 2025 och ställer krav på riskhantering, incidentrapportering, stresstester och kontroll av IT-leverantörer för banker, försäkringsbolag och andra finansiella institutioner.
Förordningen fokuserar på att säkerställa att finansiella institutioner kan hantera och återhämta sig från digitala störningar - cyberattacker, tekniska fel och andra säkerhetshot.
Vad innebär DORA regelverket?
DORA bygger på fem pelare som tillsammans säkerställer digital motståndskraft:
1. IKT-riskhantering (Artikel 6-16)
Alla finansiella företag måste ha ett ramverk för att identifiera, hantera och minimera IKT-risker.
Detta inkluderar riskbedömning av både interna system och externa leverantörer. Riskhanteringen ska dokumenteras och godkännas av ledningen.
2. Incidenthantering och rapportering (Artikel 17-23)
Säkerhetsincidenter måste rapporteras enligt strikta tidsramar:
- Initial notifiering: Inom 4 timmar efter upptäckt
- Incidentrapport: Inom 72 timmar med detaljer om påverkan
- Slutrapport: Inom en månad med analys och åtgärder
3. Stresstester av digital motståndskraft (Artikel 24-27)
Minst vart tredje år måste finansiella företag genomföra avancerade stresstester för att säkerställa att de kan hantera allvarliga cyberhot. Detta inkluderar simulering av verkliga cyberattacker.
4. Hantering av IKT-tredjepartsleverantörer (Artikel 28-44)
DORA ställer omfattande krav på leverantörshantering:
- Register över alla IKT-leverantörer
- Klassificering av kritiska leverantörer
- Leverantörsbedömning och kontinuerlig övervakning
- Exitstrategier för kritiska leverantörer
- Avtalskrav som säkerställer rätt till granskning och incidentrapportering
För en djupgående genomgång av vad ICT-leverantörer måste uppfylla och vilka avtalsklausuler som krävs, se vår guide till DORA-krav på ICT-leverantörer.
5. Informationsdelning (Artikel 45)
Finansiella företag uppmuntras att dela information om cyberhot och sårbarheter med varandra för att stärka sektorns samlade motståndskraft.
När trädde DORA i kraft?
DORA trädde i kraft 17 januari 2025. Alla finansiella institutioner inom EU måste nu följa förordningens krav fullt ut.
Praktisk checklista för DORA-efterlevnad
Leverantörsregister (Artikel 28):
- Dokumentera alla IKT-tjänsteleverantörer med namn, tjänster och avtalstider
- Klassificera vilka leverantörer som är kritiska
- Kartlägg var data lagras geografiskt
- Upprätta exitstrategier för kritiska leverantörer
Riskhantering (Artikel 6):
- Inventera alla IKT-tillgångar och system
- Genomför riskbedömningar av era IKT-risker
- Dokumentera säkerhetsåtgärder och kontroller
- Se till att ledningen godkänner riskhanteringsramverket
Incidenthantering (Artikel 17):
- Etablera process för att upptäcka och klassificera incidenter
- Säkerställ rapportering inom 4 timmar (initial), 72 timmar (komplett) och 1 månad (slutrapport)
- Dokumentera och testa incidenthanteringsprocessen regelbundet
Avtalskrav för IKT-leverantörer:
- Inkludera rätt till granskning av leverantörens säkerhet
- Kräv incidentrapportering från leverantören
- Dokumentera exitstrategier och övergångsplaner
- Specificera säkerhetskrav och SLA:er i alla IKT-avtal
Vilka företag omfattas av DORA?
DORA omfattar i princip alla företag som erbjuder finansiella tjänster inom EU. Det inkluderar till exempel banker och andra kreditinstitut, försäkringsbolag, värdepappersföretag, betalningsinstitut och e-penninginstitut. Dessutom måte även fondförvaltare, värdepappersfonder, pensionsfonder och kreditvärderingsinstitut följa regelverket.
En viktig aspekt av DORA är att regelverket även gäller för tredjepartsleverantörer som tillhandahåller IKT-tjänster (Informations- och kommunikationsteknologi) till finanssektorn. Det innebär att tekniska tjänsteleverantörer också måste följa reglerna när de arbetar med finansiella företag.
Det finns dock vissa lättnader för mindre företag. Mikroföretag, som definieras som företag med färre än 10 anställda och en årsomsättning eller balansomslutning som inte överstiger 2 miljoner euro, får vissa undantag från de mest krävande delarna av regelverket. Men även dessa företag måste upprätthålla en grundläggande nivå av digital säkerhet.
Hur skiljer sig DORA från NIS2?
DORA och NIS2 är båda EU-förordningar för cybersäkerhet, men riktar sig till olika sektorer med olika krav:
| Aspekt | DORA | NIS2 |
|---|---|---|
| Sektor | Endast finanssektorn | Samhällsviktig och digital infrastruktur (energi, transport, hälsovård, digital infrastruktur) |
| Fokus | Digital operativ motståndskraft | Bred cybersäkerhet |
| Stresstester | Obligatoriska vart 3:e år | Inte specificerat |
| Incidentrapportering | 4 timmar (initial) | 24 timmar (initial) |
| Leverantörskrav | Mycket detaljerade krav på IKT-leverantörer | Generella krav på leverantörsriskhantering |
| Tillsyn | Finansiella tillsynsmyndigheter | Nationella och sektorspecifika myndigheter |
Huvudskillnader:
-
Specificitet: DORA är skräddarsytt för finanssektorns unika risker och beroenden, medan NIS2 är ett bredare ramverk som ska anpassas till olika sektorer.
-
Leverantörshantering: DORA kräver detaljerade register, klassificering, exitstrategier och kontinuerlig övervakning av alla IKT-leverantörer. NIS2 har mer generella krav på leverantörsriskhantering.
-
Stresstester: DORA kräver obligatoriska stresstester av digital motståndskraft minst vart tredje år. NIS2 har inga motsvarande specifika krav.
-
Ledningsansvar: Både DORA och NIS2 kräver ledningens engagemang, men DORA ställer tydligare krav på ledningens aktiva roll i IKT-riskhanteringen.
Vissa organisationer kan omfattas av båda regelverken. En bank som också tillhandahåller kritisk digital infrastruktur kan till exempel behöva uppfylla både DORA:s finansspecifika krav och NIS2:s bredare cybersäkerhetskrav.
