Introduktion
Vad är DORA och varför är det viktigt?
Digitaliseringen av finansiella tjänster har öppnat för ökade cybersäkerhetsrisker. Finansbranschen är enligt många undersökningar en av de mest utsatta branscherna och har därmed ett ökat behov av att förbättra sitt skydd. Europeiska unionen har därför utformat en förordning som heter Digital Operational Resilience Act, eller förkortat DORA, som syftar till att harmonisera och vässa den digitala operativa motståndskraften i den finansiella sektorn och kritiska IKT (informations- och kommunikationsrelaterade) sektorer inom unionen.
DORA krav
Krav på ramverk för riskhantering, incidenthanteringsplan, rapportering vid incidenter osv.
Gäller finansiella sektorn (revision, bank, försäkring med mera)
Förordningen
Vad innebär DORA-förordningen?
Det finansiella systemet består av banker och andra liknande branscher, till exempel bostadslåneinstitut och försäkringsbolag, samt finansiella marknader som aktiemarknader och obligationsmarknader. Syftet med DORA är att skapa stabilitet och förtroende för aktörer inom det finansiella systemet. DORA-förordningen innebär att berörda branscher måste implementera policyer, verktyg och ramverk för riskhantering, rapportering och testning i syfte att minimera risken och eventuella följder vid IKT-relaterade incidenter såsom t.ex. försök till intrång, belastningsattacker och svagheter i systemet.
Eftersom DORA är en förordning behövs inga lagstiftningsåtgärder utan den kommer i likhet med GDPR-förordningen gälla automatiskt i Sverige. Denna lag ersätter inte befintlig lagstiftning utan är snarare ett komplement till den.
Förslaget till DORA-förordningen innehåller 73 punkter och är indelad i 9 kapitel bestående av 56 artiklar. Nedan följer några av förordningens huvudkrav:
Omfattas min organisation av förordningen?
Svaret är troligen JA om din organisation är verksam inom den finansiella sektorn och inom Europeiska unionen.
DORA kommer till exempel att gälla för organisationer som tillhandahåller:
- Revisionstjänster
- Försäkringstjänster
- Bank- och finanstjänster
- Leverantör av kryptotjänster
- Värdepapperstjänster
- Tredjepartsleverantörer för IKT-tjänster
Hur omfattande ert arbete kommer att bli anpassas genom proportionalitetsprincipen. Det innebär att kraven för att uppnå DORA-förordningen måste vara rimliga med hänsyn till er storlek, risknivå, typ och komplexitet.
Finansinspektionen, Revisorinspektionen eller Riksbanken kommer troligen att utföra tillsyn beroende på vilken sektor din organisation tillhör. EU-myndigheter kommer att granska stora internationella leverantörer av IKT-tjänster.
Parallellt med förhandlingar om DORA-förordningen pågår även förhandlingar om NIS2-direktivet. DORA-förordningen föreslås dock tillämpas före NIS-direktivet om ett och samma företag skulle omfattas av båda.
Vad är tidspannet?
Förmodligen kommer DORA-förordningen att träda i kraft under andra halvan av 2022 eller i början på 2023. Därefter har medlemsstaterna troligen, liksom när GDPR-förordningen trädde i kraft, 24 månader på sig att börja tillämpa den nya lagstiftningen.
Det kan kännas som avlägset men de branscher som omfattas av lagstiftningen bör redan nu göra sig redo. Ett bra första steg är att:
- Skaffa kunskap om innehållet i förordningen, och
- Identifiera nödvändiga åtgärder för er
Har ni frågor och funderingar kring DORA?
Tveka inte att kontakta oss från Secify!

- Har ditt företag en Business Continuity- och Disaster Recovery Plan? - 1 mars, 2023
- DORA-förordningen – hur kommer den att påverka er? - 27 september, 2022
- NIS2-direktivet – vad innebär det? - 25 september, 2022