Vad är DORA? En enkel guide till EU:s nya lag om digital operativ motståndskraft

EU:s Digital Operational Resilience Act (DORA) förändrar hur organisationer inom finanssektorn hanterar cyberrisker, tredjepartsleverantörer och operativ motståndskraft. EU-förordningen trädde i kraft den 16 januari 2023 och efter en tvåårig förberedelseperiod började DORA tillämpas den 17 januari 2025. Från och med detta datum måste alla finansiella aktörer som banker, försäkringsbolag, fintech-företag och IKT-leverantörer som stöder dem, kunna visa för tillsynsmyndigheter att de uppfyller kraven.

Vad krävs egentligen enligt DORA, och vad innebär det för organisationer som möter krav i nivå med stora företag, men ofta med betydligt mindre resurser?

Här är en tydlig och enkel guide över vem som berörs och vad som krävs för att uppfylla kraven.

Vad är DORA?

DORA är en EU-förordning som syftar till att säkerställa att finanssektorn kan motstå, hantera och återhämta sig från cyberattacker och driftstörningar. Den går längre än tidigare regelverk som främst har fokuserat på rapportering och styrning, och inför obligatoriska krav inom fem nyckelområden:

• Riskhantering inom ICT
• Rapportering av incidenter
• Testning
• Tillsyn av tredjepartsleverantör
• Informationsdelning

Om du behandlar finansiella data, stödjer finansiella aktörer eller omfattas av DORA:s breda definition av en IKT-tjänsteleverantör är det sannolikt att förordningen gäller dig.

Vem måste följa kraven enligt DORA?

DORA gäller för ett brett spektrum av finansiella enheter och deras kritiska ICT-leverantörer, inklusive:

• Banker och kreditinstitut
• Försäkrings- och återförsäkringsföretag
• Värdepappersföretag
• Betalnings- och e-penninginstitut
• Leverantörer av tjänster för kryptotillgångar
• Rapporterande företag och handelsplatser
• Kritiska ICT-tjänsteleverantörer från tredje part, t.ex. molnleverantörer, SaaS-leverantörer och andra teknikleverantörer

Om du stödjer en finansiell aktörs verksamhet kan DORA innebära att din organisation behöver uppfylla höga krav på styrning, dokumentation och operativ motståndskraft.

Varför behövs DORA?

Finansiella tjänster är djupt sammanlänkade. En enda incident, oavsett om det är ett systemavbrott eller en cyberattack, kan snabbt sprida sig över landsgränser och branscher.

Den senaste tidens attacker mot leverantörskedjor har visat hur sårbara organisationer är för svagheter i sina IKT-ekosystem. DORA infördes som en del av EU:s Digital Finance Package för att stärka motståndskraften hos finansinstitut och deras leverantörer. Målet är att skapa en mer enhetlig nivå i hela sektorn och höja den övergripande motståndskraften.

De fem grundpelarna i DORA

1. Riskhantering inom IKT

DORA kräver att organisationer upprätthåller dokumenterade, strukturerade och regelbundet testade processer för hantering av IKT-risker. Dessa inkluderar:

• IKT-styrning och ansvarsområden
• Riskbedömningar
• Förebyggande och upptäckande säkerhetsåtgärder
• Backup och katastrofåterställning
• Processer för hantering av incidenter

2. Rapportering av incidenter

Finansiella aktörer måste följa tydliga regler för att klassificera, dokumentera och rapportera betydande IKT-relaterade incidenter. Incidenter ska identifieras snabbt, kategoriseras korrekt och rapporteras inom strikta tidsramar. Därför är tillförlitliga arbetsflöden och god dokumentation avgörande.

3. Test av digital operativ motståndskraft

Finansiella aktörer måste regelbundet testa hur effektiva deras kontroller är. Det omfattar allt från grundläggande bedömningar till avancerade hotledda penetrationstester, beroende på organisationens storlek och riskprofil.

4. Riskhantering för tredje part

Man måste:

• Identifiera alla ICT-leverantörer
• Bedöma och klassificera risker
• Övervaka prestanda och efterlevnad
• Säkerställa avtalsmässig anpassning till DORA
• Förbereda beredskaps- och exitstrategier

Mindre organisationer har ofta svårt med detta på grund av begränsade resurser och spridd dokumentation — vilket är precis den utmaning Trustlinks är utformat för att lösa.

5. Informationsutbyte

DORA uppmuntrar organisationer att dela information om cyberhot med varandra för att stärka den kollektiva motståndskraften.

Vilka är riskerna med bristande efterlevnad?

Bristande efterlevnad kan leda till:

• Böter och regulatoriska sanktioner
• Ökad tillsyn
• Avtalsmässiga begränsningar från kunder inom finanssektorn
• Skadat rykte
• Driftstörningar under incidenter

Många organisationer står redan inför utmaningar som ledningsansvar, snäva rapporteringsdeadlines, begränsad intern kapacitet och komplexa regelverk. DORA lägger till ytterligare ett lager av ansvar som kräver tydlig struktur och planering.

Så hjälper Trustlinks dig att bli redo för DORA

För många organisationer, särskilt mindre, innebär de nya kraven att de läggs ovanpå befintliga utmaningar som snabbt växande regelverk, överlappande krav, eskalerande cyberhot, begränsad intern kapacitet samt fragmenterad och svårhanterlig dokumentation.

Trustlinks är utformat för dessa organisationer och hjälper dem att fokusera på tydlighet och struktur — utan komplexiteten eller kostnaden som traditionella företagsverktyg innebär. Med Trustlinks får du:

✔ Klarhet

DORA-kraven har översatts till enkla, vägledda åtgärder, kontroller och uppgifter som är lätta att följa.

✔ Kontroll

En enda arbetsyta för risker, kontroller, leverantörer, dokument, uppgifter och revisionsbevis.

✔ Förtroende

Revisionsklara processer med stöd av automatiserade kontroller, mallar och uppföljning av framsteg.

✔ Inbyggda verktyg som stöder efterlevnad av DORA:

• Arbetsflöden för riskbedömning
• Utvärdering och uppföljning av leverantörer
• Automatiserade utvärderingar av beredskap
• Centraliserad policyhantering
• Uppgiftslistor och påminnelser om deadlines och granskningar
• Versionering av dokument och policymallar

Trustlinks är byggt för organisationer med begränsad tid och resurser — men som ändå möter samma regulatoriska krav som stora företag. Compliance behöver inte vara överväldigande. Med rätt struktur, vägledning och verktyg kan alla organisationer uppnå stark styrning, minska risker, stärka sin motståndskraft och skapa förtroende vid revisioner.

Trustlinks ger dig tydlighet och kontroll för att göra DORA-efterlevnad hanterbar och hållbar. Läs mer om hur du förbereder dig för DORA här.

Utforska Trustlinks compliance plattform här!