Vad är DORA och hur påverkas ditt företag?

– En enkel guide till EU-förordningen DORA, EU:s IT-säkerhetskrav för finanssektorn. Vad innebär det, vem påverkas och hur kan du förbereda din verksamhet?

Den 17 januari 2025 trädde DORA-förordningen (Digital Operational Resilience Act) i kraft i hela EU. Syftet är att stärka den digitala operativa motståndskraften i finanssektorn. Vilket innebär att finansiella företag och deras IT-leverantörer måste kunna hantera tekniska fel och cybersäkerhetsincidenter utan att det påverkar kunder eller den finansiella stabiliteten.

Kontorsbilder - IT-leverantör Göteborg

Om en bank drabbas av ett cyberangrepp kan konsekvenserna bli enorma, både för verksamheten och för samhället i stort. Just därför är DORA ett viktigt steg mot en säkrare och mer motståndskraftig finanssektor. I den här artikeln går vi igenom vad du behöver veta, utan att drunkna i paragrafer.

Vem omfattas av DORA?

DORA gäller banker, försäkringsbolag, fondbolag, värdepappersföretag, betaltjänstleverantörer, kryptotjänster och deras leverantörer av IKT-tjänster. Det omfattar även molntjänstleverantörer, driftpartners och andra tredjeparter i den digitala värdekedjan.

Enligt Finansinspektionen omfattas däremot inte exempelvis revisorer, redovisningskonsulter, fastighetsmäklare och inkassoföretag, såvida de inte har direkt licensplikt inom finanssektorn.

Vilka krav ställer DORA på finanssektorn?

DORA innehåller både tekniska och organisatoriska krav. De viktigaste områdena är:

  • Informationssäkerhet och åtkomsthantering
  • Beredskapsplaner och incidenthantering
  • Rapportering av IT-incidenter till Finansinspektionen
  • Kontinuitets- och återställningsplaner
  • Testning av digitala system och processer
  • Dokumentation och revisionsskyldighet

För många verksamheter innebär detta nya rutiner, tydligare ansvar och dokumenterade processer, särskilt i samarbetet med IT-leverantörer.

Är du osäker på om DORA påverkar din verksamhet?

För oss som arbetar med IT-säkerhet för finansiella verksamheter är det avgörande att inte bara förstå regelverket. Utan också kunna visa att vi uppfyller kraven och aktivt bidra till våra kunders digitala motståndskraft.

Vi hjälper dig gärna att göra en första bedömning, samt att ta fram konkreta åtgärder som gör att du följer DORA utan att göra det komplicerat.

Tänk också på NIS2

Samtidigt som DORA införs, kommer även NIS2-direktivet att påverka många företag i Sverige. Särskilt de som verkar inom samhällsviktiga sektorer eller hanterar känslig data. Precis som GDPR kräver NIS2 en hel del förberedelser.

Vi kan hjälpa dig att ta reda på vilka regler som gäller för just din verksamhet och vilka åtgärder du i så fall bör börja med.

[ Vill du ha mer information eller önskar hjälp för att komma igång med DORA? ]

Ta kontakt – vi hjälper dig gärna!

Trött på att fylla i formulär?

Du kan också ringa 040-626 75 00,  måndag–fredag kl. 08-17, eller skicka ett mail till kontakt@upheads.se

Skriven av:

Marcus Juvin

Head of Infrastructure & Security

040 - 626 75 23 marcus.juvin@upheads.se
Inspiration och kunskap direkt till din inkorg

Signa upp dig för vårt månatliga inspirationsbrev som ger dig tips, insikter och råd om nya arbetssätt, processer och säkerhet kopplat till Microsoft 365, Azure och olika verktyg i Microsofts molnplattform.