Skip to content.

Secondary navigation

Få en demo
white woman with glasses and cropped dark hair crossing arms and staring out a glass window with the reflection of green tree branches

Vad är DORA och när träder det i kraft? 

DORA (Digital Operational Resilience Act) trädde i kraft den 16 januari 2023 och börjar gälla för företag från och med den 17 januari 2025. Det här regelverket är en del av EU:s strategi med att stärka den operativa motståndskraften hos finansföretag.   

Det är väldigt viktigt att uppfylla dessa viktiga krav och utveckla en plan för efterlevnad. Det säkerställer att ditt företag har robusta system och processer på plats för att hantera digitala risker och säkerställer kontinuitet i ett alltmer reglerat och digitalt landskap.

Nu kör vi igång

Vad innebär DORA? 

DORA (Digital Operational Resilience Act) är det nya EU-regelverket som sätter finansbranschen och leverantörer av IKT-tjänster (informations- och kommunikationsteknik) i fokus när det gäller att hantera digitala risker som cyberhot och IT-relaterade problem.  

DORA kräver att finansinstitut och leverantörer av IKT-tjänster identifierar, förebygger och hanterar dessa risker utan att det drabbar kunderna eller leveranskedjorna. Regelverket säkerställer kontinuitet och motståndskraft även under ogynnsamma förhållanden.  

Det omfattar ett brett spektrum av företag i finansbranschen och även de leverantörer av IKT-tjänster som finansinstituten förlitar sig på. Syftet är förebygga, upptäcka och svara på cyberincidenter. Leverantörer av IKT-tjänster omfattas också av det här regelverket och säkerställer efterlevnad av standarder för operativ motståndskraft i hela finansbranschen.

Så förbereder du dig för DORA 

Det finns många viktiga frågor att ställa sig angående efterlevnaden av DORA. Ställ dig följande frågor:  

  • Hur kan vi systematiskt hantera potentiella operativa risker och IKT-risker i våra system?  
  • Vilka åtgärder bör vi vidta för att integrera cybersäkerhet och operativ motståndskraft i vår utbildning av medarbetarna?  
  • Hur kan vi anpassa våra strukturer, policyer och rutiner så att de avspeglar principerna i DORA?  
  • Hur kan vi använda teknik för att hålla oss informerade om uppdateringar av DORA eller andra relaterade bestämmelser, som NIS2-direktivet (Network and Information Systems Directive 2)?
Läs här hur NAVEX kan hjälpa dig

Vilka är de fem viktigaste områdena i DORA och vad innebär de?

DORA är ett regelverk som säkerställer att finansinstitut inom EU kan hantera och stå emot cyberhot, tredjepartsrisker och incidenter. DORA lyfter fram fem centrala områden för att stärka företagens motståndskraft:

  • Implementera ett effektivt ramverk för hantering av IKT-risker

    Finansiella aktörer måste ha en sund, heltäckande och väldokumenterad ram för IKT-riskhantering som innebär att man snabbt kan hantera och förebygga hot.  

    • Regelbundna riskbedömningar för att identifiera sårbarheter.  
    • Implementera säkerhetsåtgärder för att förhindra IKT-relaterade incidenter.  
    • Övervaka och utvärdera risker i realtid.  
    • Direktrapportera om IKT-relaterade problem.

Implementera ett effektivt ramverk för hantering av IKT-risker

Finansiella aktörer måste ha en sund, heltäckande och väldokumenterad ram för IKT-riskhantering som innebär att man snabbt kan hantera och förebygga hot.  

  • Regelbundna riskbedömningar för att identifiera sårbarheter.  
  • Implementera säkerhetsåtgärder för att förhindra IKT-relaterade incidenter.  
  • Övervaka och utvärdera risker i realtid.  
  • Direktrapportera om IKT-relaterade problem.

Så här uppfyller du kraven på efterlevnad enligt DORA

DORA syftar till att säkerställa att finansinstitut i EU kan motstå alla typer av störningar och cyberhot mot deras digitala system. För att uppnå efterlevnad enligt DORA krävs följande steg:

  • Utbilda medarbetare och intressenter om efterlevnad av DORA-regelverket

    Börja med att utbilda alla berörda intressenter om bestämmelserna i och konsekvenserna av DORA. Genomför utbildningsprogram som täcker regelverket och lägg fokus på digital motståndskraft och vad konsekvenserna kan bli om DORA inte efterlevs.

Utbilda medarbetare och intressenter om efterlevnad av DORA-regelverket

Börja med att utbilda alla berörda intressenter om bestämmelserna i och konsekvenserna av DORA. Genomför utbildningsprogram som täcker regelverket och lägg fokus på digital motståndskraft och vad konsekvenserna kan bli om DORA inte efterlevs.

Så kan NAVEX hjälpa dig att uppfylla efterlevnadskraven i DORA  

Ditt team förtjänar att vara stolta över att arbeta i ett företag som prioriterar lagliga och etiska metoder. Med NAVEX One kan du se till att både företaget och medarbetarna har de verktyg som behövs för att upprätthålla efterlevnad och viktiga standarder.

Svaren på dina vanligaste frågor om DORA 

  • Hur fungerar DORA när det gäller efterlevnad och reglering? 

    DORA, eller Digital Operational Resilience Act, är en ny EU-förordning som riktar sig till finanssektorn. Fokus ligger på att säkerställa att finansinstitut i EU kan motstå, reagera på och återhämta sig från alla typer av IKT-risker (informations- och kommunikationsteknik), särskilt risker inom cybersäkerhet.

  • Vem måste följa DORA?

    DORA gäller alla finansinstitut som är verksamma inom EU: bland annat banker, försäkringsbolag, värdepappersföretag och betalningsinstitut. Även tredjepartsleverantörer av IKT-tjänster berörs om de arbetar med dessa finansinstitut.

  • Vad är DORA:s tidsfrist för efterlevnad? 

    Efterlevnadskraven för DORA träder i kraft den 17 januari 2025. Det ger finansinstitut tid att anpassa sina interna processer och system för att säkerställa efterlevnad av förordningen.

  • Vilka är huvudkomponenterna i DORA? 

    DORAS krav är organiserade i fem centrala områden:  

    1. IKT-riskhantering – företag måste upprätta och upprätthålla robusta ramar för IKT-riskhantering för att identifiera och mildra risker.  
    2. Incidentrapportering – finansinstitut måste rapportera viktiga IKT-relaterade incidenter till relevanta myndigheter.  
    3. Testning av digital operativ motståndskraft – regelbunden testning av digital operativ motståndskraft krävs, exempelvis penetrationstestning.  
    4. IKT-riskhantering av tredjepartsleverantörer – företag måste hantera och övervaka risker för leverantörer av tredje part.  
    5. Informationsdelning – finansinstitut uppmuntras att dela information om cyberhot för att förbättra motståndskraften.

  • Vilka är huvudkomponenterna i DORA? 

    De fem områdena representerar ett övergripande tillvägagångssätt för att säkerställa att finansinstitut förblir motståndskraftiga mot digitala risker.  

    Tanken bakom detta är att:  

    • Stärka ramverket för riskhantering.  
    • Främja insyn och lyhördhet vid cyberincidenter.  
    • Se till att hela det ekonomiska ekosystemet, inklusive leverantörer av tredjepartstjänster, är förberett för driftsstörningar.  
    • Underlätta samarbete för att kunna hantera nya cybersäkerhetshot.

  • Varför är DORA så viktigt? 

    DORA är viktigt eftersom finanssektorn i allt högre grad förlitar sig på digital infrastruktur. Det gör branschen sårbar för cyberattacker och olika typer av incidenter. Med regelverket säkerställs en stabilitet i hela finansbranschen vad gäller cybersäkerhet och motståndskraft vid olika digitala incidenter.

  • Vilka är påföljderna om DORA inte efterlevs? 

    Bristande efterlevnad av DORA kan resultera i allvarliga påföljder som böter och skador på företagets anseende. Behöriga nationella myndigheter inom EU:s medlemsstater ansvarar för att verkställa dessa påföljder, och kan variera beroende på överträdelsen.