Vad det är
DORA (förordning EU 2022/2554) är EU:s förordning om digital operativ motståndskraft för finanssektorn. Den antogs i december 2022 och är tillämplig sedan den 17 januari 2025. Förordningen är direkt tillämplig i alla medlemsstater utan krav på nationell implementeringslagstiftning.
Grundlogiken är att finansiella entiteter ska kunna stå emot, reagera på och återhämta sig från alla typer av störningar och hot relaterade till informations- och kommunikationsteknik. DORA är sektorsspecifik till sin natur — den gäller finanssektorn och inte andra sektorer — men är horisontell inom sektorn i den meningen att den samlar krav som tidigare var utspridda i olika sektorsregler under ett enhetligt ramverk.
DORA fungerar som lex specialis i förhållande till NIS2 för de frågor den reglerar, särskilt riskhantering och incidentrapportering. Finansiella entiteter som omfattas av DORA anses därmed i huvudsak uppfylla motsvarande NIS2-krav genom DORA, men regelverken är inte identiska och parallell tillämpning kan förekomma i gränsfall.
Vem berörs
DORA har ett brett tillämpningsområde inom finanssektorn. Det omfattar banker och kreditinstitut, betalningsinstitut, e-penninginstitut, värdepappersföretag, handelsplatser, centrala motparter, transaktionsregister, förvaltare av alternativa investeringsfonder, försäkrings- och återförsäkringsföretag, försäkringsförmedlare, tjänstepensionsinstitut, kreditvärderingsinstitut samt leverantörer av kryptotillgångstjänster.
En central nyhet är att DORA också reglerar kritiska tredjepartsleverantörer av IKT-tjänster till finanssektorn — i praktiken stora molnleverantörer och andra teknikleverantörer som finansiella entiteter är beroende av. Dessa leverantörer omfattas av ett eget tillsynsramverk på EU-nivå och kan utses till kritiska av de europeiska tillsynsmyndigheterna ESA.
Mikroföretag inom finanssektorn omfattas av DORA men får proportionerliga och förenklade krav i enlighet med underordnad reglering och tekniska standarder från EBA och övriga ESA-myndigheter.
Krav på finansiella entiteter
DORA organiserar kraven i fem huvudområden.
IKT-riskhantering innebär att finansiella entiteter ska ha ett heltäckande ramverk för identifiering, skydd, upptäckt, respons och återhämtning avseende IKT-risker. Ramverket ska vara dokumenterat, testat och integrerat i organisationens övergripande riskhantering. Ledningsorganet har ett explicit ansvar för att godkänna och övervaka IKT-riskhanteringsramverket.
Hantering och klassificering av IKT-relaterade incidenter innebär att entiteter ska ha processer för att identifiera, klassificera och rapportera incidenter. Allvarliga IKT-relaterade incidenter ska rapporteras till behörig myndighet enligt ett trestegssystem. Den initiala rapporten ska lämnas inom fyra timmar efter att incidenten klassificerats som allvarlig, och senast inom 24 timmar från det att entiteten fick kännedom om incidenten. Intermediär rapport ska lämnas inom 72 timmar och slutrapport inom en månad.
Digital operativ resiliensprovning innebär att finansiella entiteter regelbundet ska testa sina IKT-system och verktyg. Finansiella entiteter som identifieras som in-scope enligt DORA:s kriterier och tillsynsmodell ska dessutom genomföra hotbildsstyrda penetrationstester, TLPT, med en återkommande skyldighet minst vart tredje år. Testerna ska utföras av certifierade testare och resultat ska delas med behörig myndighet.
Hantering av IKT-tredjepartsrisker innebär att entiteter ska ha en strategi för tredjepartsberoenden, genomföra riskbedömningar av leverantörer och säkerställa att avtal med IKT-leverantörer innehåller ett antal obligatoriska klausuler om tillgänglighet, säkerhet, revision och exitmöjligheter. Register över alla IKT-tredjepartsarrangemang ska upprätthållas och rapporteras till behörig myndighet.
Informationsutbyte innebär att finansiella entiteter uppmuntras att delta i arrangemang för utbyte av information och underrättelser om cyberhot med andra entiteter inom sektorn.
Kritiska tredjepartsleverantörer
DORA inför ett särskilt tillsynsramverk för kritiska tredjepartsleverantörer av IKT-tjänster. De europeiska tillsynsmyndigheterna — EBA, ESMA och EIOPA — kan gemensamt utse en leverantör som kritisk baserat på kriterier som systemisk betydelse, antal finansiella entiteter som är beroende av leverantören och leverantörens substituerbarhet. Kritiska leverantörer är föremål för direkt EU-tillsyn genom en utsedd ledande tillsynsmyndighet bland de tre ESA:erna, och kan bland annat åläggas att genomföra inspektioner och lämna information.
Detta är en betydande förändring jämfört med tidigare reglering, där tillsynen av teknikberoenden i finanssektorn i praktiken var fragmenterad och indirekt.
Koppling till andra regelverk
DORA fungerar som lex specialis gentemot NIS2 för finansiella entiteter avseende de frågor förordningen reglerar. Gränsfall kan uppstå och parallell tillämpning bör inte uteslutas utan analys.
GDPR är parallellt tillämplig när IKT-incidenter involverar personuppgifter. En allvarlig incident kan utlösa rapporteringsskyldigheter under både DORA och GDPR med delvis olika tidsramar och mottagare. DORA:s 72-timmarsram för intermediär rapport och GDPR:s 72-timmarsfrist för incidentanmälan sammanfaller tidsmässigt men är inte identiska i innehåll eller adressat.
CLOUD Act är relevant för finansiella entiteter som är beroende av amerikanska molnleverantörer. DORA:s krav på kontroll över IKT-tredjepartsberoenden och exitstrategier måste vägas mot den faktiska rättsliga exponeringen som CLOUD Act innebär.
AI Act berör finanssektorn i den utsträckning AI-system används i beslutsfattande processer, riskbedömning eller kundinteraktion. Hög-risk AI-system under AI Act och IKT-system under DORA kan överlappa, och krav på dokumentation, testning och mänsklig tillsyn kan behöva uppfyllas parallellt.
Tillsyn och sanktioner
Tillsyn utövas av nationella behöriga myndigheter, i Sverige primärt Finansinspektionen. För kritiska tredjepartsleverantörer utövas tillsyn på EU-nivå av en utsedd ledande ESA-myndighet.
Sanktionerna fastställs i nationell lagstiftning inom DORA:s ramar. För kritiska tredjepartsleverantörer kan de europeiska tillsynsmyndigheterna utdöma periodiska sanktionsavgifter på upp till en procent av den genomsnittliga dagliga globala omsättningen under föregående räkenskapsår, och detta kan utgå dagligen under en period på upp till sex månader tills överträdelsen är åtgärdad.
En praktisk anmärkning
DORA är ambitiös i sitt tillämpningsområde och ställer krav som för många finansiella entiteter innebär ett betydande arbete med dokumentation, testning och leverantörsstyrning. Det som i praktiken visat sig mest utmanande är tredjepartshanteringen — att upprätta fullständiga register, säkerställa att avtal innehåller obligatoriska klausuler och hantera situationer där stora teknikberoenden är svåra att förhandla om på lika villkor.
För teknikbolag och innovationsprojekt som levererar IKT-tjänster till finanssektorn innebär DORA att kundernas krav på avtalsmässig transparens, revisionsrätt och exitplanering ökar påtagligt. Det är inte längre tillräckligt att leverera en tekniskt fungerande tjänst — leverantören måste också kunna möta de regulatoriska krav som kunden är skyldig att ställa.
Primärkällor
Förordningstexten finns på EUR-Lex: EU 2022/2554. De europeiska tillsynsmyndigheterna EBA, ESMA och EIOPA publicerar tekniska standarder och riktlinjer på sina respektive webbplatser. Finansinspektionen på fi.se är relevant utgångspunkt för svensk tillämpning.