Hantera IKT-leverantörer och risker utan kalkylblad
DORA gäller sedan januari 2025. ChainSec ger finansiella företag ett strukturerat sätt att hantera IKT-leverantörer, bedöma risker och följa upp leverantörssäkerhet — utan att jonglera kalkylblad, e-post och separata dokument.
Ett register för alla IKT-leverantörer
Slipp ha leverantörslistan i ett kalkylblad som snabbt blir inaktuellt. Samla alla IKT-leverantörer på ett ställe, klassificera kritiska leverantörer och koppla avtal och exitstrategier direkt i registret.
IKT-risker och tillgångar hänger ihop
Dokumentera IKT-tillgångar, bedöm risker i riskmatrisen och koppla säkerhetsåtgärder direkt till dem. Ni slipper hålla ett tillgångsregister och ett riskregister synkroniserade manuellt.
Leverantörsbedömningar utan e-postkaos
Skicka säkerhetsbedömningar direkt från plattformen, se svar i realtid och följ upp avvikelser. Slipp Excel-formulär som skickas fram och tillbaka — och tappa bort sig i e-posttrådar.
Samlad historik utan mejljakt
Aktivitet samlas i plattformen. Exportera en sammanställning över leverantörer, riskbedömningar och åtgärder — utan att jaga information i mejltrådar och hos olika personer.
Många finansiella företag har informationen om sina IKT-leverantörer — men den sitter i olika kalkylblad och hos olika personer. ChainSec samlar allt på ett ställe så att teamet jobbar med samma bild och slipper jaga uppdateringar internt.
Vad är DORA och vem omfattas?
Digital Operational Resilience Act (DORA) är en EU-förordning som trädde i kraft i januari 2025 och syftar till att stärka den digitala motståndskraften inom finanssektorn. Regelverket omfattar banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, pensionsfonder, kryptotillgångstjänsteleverantörer och andra finansiella aktörer samt deras kritiska IKT-tjänsteleverantörer.
ChainSec löser de vanligaste problemen med DORA-arbetet:
Alla IKT-leverantörer samlade i ett register — inte utspridda i kalkylblad och e-posttrådar.
Säkerhetsbedömningar som skickas och följs upp direkt i plattformen, utan Excel-formulär som e-postas fram och tillbaka.
Risker, tillgångar och kontroller kopplade till varandra — så att ni alltid vet läget.
IKT-leverantörer under kontroll. Utan kalkylbladsjonglering.
DORA kräver ett centralt register, klassificering av kritiska leverantörer och regelbundna bedömningar. ChainSec är ett generiskt GRC-verktyg ni kan strukturera DORA-arbetet kring — inte en DORA-specifik implementation.
Bygg ert IKT-leverantörsregister
Samla alla IKT-leverantörer på ett ställe. Dokumentera tjänster och avtal, klassificera vilka som är kritiska och koppla dokument direkt i registret. Ni vet alltid vad ni har — utan att ringa runt och fråga.
Koppla IKT-risker till tillgångar
Lägg till IKT-tillgångar, bedöm risker i riskmatrisen och koppla säkerhetskontroller direkt till dem. Allt hänger ihop i samma vy — ni slipper hålla separata dokument synkroniserade.
Skicka bedömningar utan e-postkaos
Skicka säkerhetsbedömningar direkt från plattformen och se svar i realtid. Följ upp avvikelser och dokumentera varje bedömning — utan Excel-formulär som mejlas fram och tillbaka.
Sammanställ underlag utan mejljakt
Aktivitet samlas i plattformen. Exportera en sammanställning över leverantörer, riskbedömningar och åtgärder utan att jaga information hos olika personer inför en granskning.
Se ChainSec i praktiken
Boka en demo så visar vi hur ni kan hantera riskbedömningar och leverantörsgranskningar i ett system. Efter demon får ni testa plattformen kostnadsfritt.
Frågor och svar
- När trädde DORA i kraft och vilka omfattas?
DORA trädde i kraft 17 januari 2025 och gäller alla finansiella företag i EU: banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, fondförvaltare, pensionsfonder och kryptotillgångstjänsteleverantörer. DORA har proportionalitetsregler och vissa lättnader för mikroföretag (färre än 10 anställda och omsättning under 2 milj EUR), men huvudregeln är att alla finansiella enheter omfattas oavsett storlek.
- Vad måste vi ha i vårt IKT-leverantörsregister?
Ni måste dokumentera alla IKT-leverantörer med: leverantörens namn och kontaktuppgifter, vilka tjänster de tillhandahåller, om de är kritiska eller inte, avtalsinformation och avtalstider, samt plats där data lagras och behandlas. Registret ska uppdateras kontinuerligt.
- Hur klassificerar vi kritiska IKT-leverantörer?
En IKT-leverantör är kritisk om: tjänsten är svår att ersätta på kort tid, avbrott skulle väsentligt påverka verksamheten, leverantören hanterar känslig eller affärskritisk data, eller ni har betydande beroende av leverantören. Dokumentera klassificeringen och riskbedömningen.
- Vilka klausuler krävs i avtal med IKT-leverantörer?
Avtal måste innehålla: rätt att granska leverantörens säkerhet och processer, krav på incidentrapportering till er, dokumenterade exitstrategier och övergångsplaner, säkerhetskrav och SLA:er, samt information om eventuella underleverantörer.
- Hur ofta ska vi bedöma våra IKT-leverantörer?
Kritiska leverantörer ska bedömas minst årligen. Genomför säkerhetsbedömningar, granska deras incidenthantering och återhämtningsförmåga, kontrollera att avtalskrav efterlevs, samt dokumentera alla bedömningar och identifierade risker.
- Vad är en exitstrategi och varför krävs det?
En exitstrategi beskriver hur ni kan avsluta samarbetet med en IKT-leverantör utan att störa verksamheten. Den ska inkludera: alternativa leverantörer, tidsplan för övergång, hur data överförs, samt hur kontinuitet säkerställs under bytet. Detta är obligatoriskt för kritiska leverantörer.
- Måste vi rapportera leverantörsincidenter?
Ja, om en IKT-leverantör har en incident som påverkar er verksamhet måste ni rapportera enligt DORA:s tidsramar: initial notifiering inom 24 timmar efter upptäckt (eller inom 4 timmar efter att incidenten klassificerats som major), mellanliggande rapport inom 72 timmar, och slutrapport senast en månad efter den mellanliggande rapporten. Dokumentera även mindre incidenter för årlig rapportering.
- Hur hjälper ChainSec med DORA:s leverantörskrav?
ChainSec är ett generiskt GRC-verktyg som ni kan strukturera DORA-arbetet kring: leverantörsregister för att samla IKT-leverantörer, riskhantering för att bedöma IKT-risker, och leverantörsbedömningar för att följa upp säkerhetskrav. ChainSec har inte DORA-specifika artikelimplementationer — det ger er verktyget, inte verdikten.