DORA ställer krav på den finansiella sektorns digitala motståndskraft. Är era IT-leverantörer redo?
Banker, försäkringsbolag och värdepappersföretag måste hantera ICT-risker, rapportera incidenter och övervaka sina tredjepartsleverantörer. Om ni levererar IT-tjänster till finanssektorn kommer era kunder att ställa samma krav på er.
Fem pelare för digital motståndskraft
DORA bygger på fem pelare. Varje pelare har specifika krav, med AmpliFlow-verktyg som stödjer arbetet.
ICT-riskhantering
Finansiella aktörer behöver ett dokumenterat ramverk för att identifiera, bedöma och hantera ICT-risker. Ramverket ska granskas årligen och godkännas av ledningen.
ICT-incidentrapportering
Allvarliga ICT-incidenter ska klassificeras och rapporteras i tre steg: initial anmälan inom 4 timmar efter klassificering (max 24 timmar efter upptäckt), mellanliggande rapport inom 72 timmar och slutrapport inom en månad. Det kräver processer för att fånga, kategorisera och eskalera.
Motståndskraftstestning
Årlig grundtestning av ICT-system för alla. Betydande aktörer ska dessutom genomföra hotledd penetrationstestning (TLPT) vart tredje år.
Tredjepartsriskhantering
Fullständigt register över alla ICT-tredjepartsleverantörer. Riskbedömning, koncentrationsriskanalys och dokumenterade exitstrategier.
Informationsdelning
Frivilliga arrangemang för att dela hotinformation mellan finansiella aktörer. Stärker den kollektiva motståndskraften i sektorn.
Finansiella institutioner måste hantera sina ICT-leverantörer. Det påverkar er.
DORA kräver att banker och försäkringsbolag för register över alla ICT-tredjepartsleverantörer, bedömer koncentrationsrisker och har dokumenterade exitstrategier. Om ni säljer mjukvara eller IT-tjänster till finanssektorn, kommer era kunder att kräva att ni kan visa säkerhetskontroller, incidenthanteringsprocesser och dokumenterad riskhantering.
Reglerat av DORA
Bank / Försäkringsbolag
Kravställer på
ICT-leverantör
Måste kunna visa
Dokumenterad styrning
Leverantörsregister
Era kunder ska föra register över alla ICT-tredjepartsleverantörer med riskbedömningar, avtalsinformation och beroenden.
Koncentrationsrisk
Finansiella aktörer måste bedöma om de är för beroende av en enskild ICT-leverantör. Ni behöver kunna visa att ni minskar den risken.
Exitstrategier
Era kunder ska ha dokumenterade exitstrategier för alla kritiska ICT-leverantörer. Det påverkar hur ni strukturerar era tjänster.
Säkerhetskontroller
Ni behöver kunna visa hur ni hanterar incidenter, bedömer risker och skyddar data: strukturerat och dokumenterat.
DORA och NIS2: inte samma sak
DORA och NIS2 överlappar delvis, men de har olika omfattning, detaljeringsgrad och rättslig status. NIS2 är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506). DORA har företräde för finansiella aktörer: cybersäkerhetslagen undantar uttryckligen verksamheter som regleras av DORA (1 kap. 10 §).
| Aspekt | DORA | NIS2 |
|---|---|---|
| Typ | Förordning (direkt tillämplig) | Direktiv, i Sverige genomfört som cybersäkerhetslagen (SFS 2025:1506) |
| Omfattning | Finanssektorn: banker, försäkring, värdepapper, krypto | Breda sektorer: energi, transport, hälsa, digital infrastruktur |
| Fokus | Digital operativ motståndskraft och ICT-risker | Övergripande cybersäkerhet och nätverkssäkerhet |
| Tredjeparter | Detaljerade krav: ICT-leverantörsregister, koncentrationsrisk, exitstrategier | Grundläggande krav på leveranskedjans säkerhet |
| Testning | Obligatorisk TLPT vart tredje år för betydande aktörer | Inga specifika testningskrav |
| Relation | Lex specialis: har företräde för finansiella aktörer | Generell lagstiftning: cybersäkerhetslagen undantar DORA-reglerade aktörer (1 kap. 10 §) |
Så stödjer AmpliFlow varje pelare
AmpliFlow hanterar organisatorisk styrning, inte tekniska säkerhetslösningar. Här är konkreta verktyg mappade mot DORA:s pelare.
Riskbedömning med riskmatriser
Bedöm ICT-risker med sannolikhet och konsekvens. Koppla risker till tillgångar och åtgärder. Om ni redan arbetar med ISO 27001 har ni en grund att bygga DORA-efterlevnad på.
Sidor (wiki) för ICT-policyer
Samla ramverksdokumentation, policyer och rutiner i AmpliFlows wiki-funktion. Ledningen kan granska och kommentera direkt i systemet.
Incidenthantering via avvikelser
Registrera ICT-incidenter med klassificering och prioritering. Arbetsflöde för rotorsaksanalys, åtgärd och verifiering. Full spårbarhet för rapportering till tillsynsmyndighet.
Revisionsplanering och uppföljning
Planera och schemalägg testningsaktiviteter och granskningar av ICT-processer. Dokumentera fynd, avvikelser och förbättringsåtgärder.
Leverantörsregister
Register över ICT-tredjepartsleverantörer med kontaktuppgifter. Dokumentera beroenden och exitstrategier i Sidor (wiki). Riskbedömningar hanteras separat i riskmodulen.
Processhantering och kontinuitet
Kartlägg verksamhetskritiska processer och deras beroenden till ICT-system och tredjepartsleverantörer. Dokumentera kontinuitetsplaner i Sidor (wiki), använd checklistor för övningar.
Frågor om DORA och AmpliFlow
Vad är DORA?
DORA (Digital Operational Resilience Act) är EU-förordning 2022/2554. Den ställer krav på digital operativ motståndskraft inom finanssektorn: ICT-riskhantering, incidentrapportering, motståndskraftstestning, tredjepartsriskhantering och informationsdelning. Sanktionerna fastställs av varje medlemsstat men ska vara effektiva, proportionella och avskräckande. DORA omfattar 21 typer av finansiella aktörer. Till skillnad från ett direktiv gäller DORA direkt i alla EU-länder utan nationell lagstiftning.
Vilka verksamheter omfattas?
DORA gäller banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, kryptotjänstleverantörer, kreditvärderingsinstitut, gräsrotsfinansieringsplattformar och fler. Dessutom omfattas kritiska ICT-tredjepartsleverantörer som tillhandahåller tjänster till dessa aktörer, exempelvis molntjänstleverantörer och SaaS-leverantörer.
Gäller alla krav för alla?
Nej. DORA tillämpar en proportionalitetsprincip (artikel 4). Kraven anpassas efter företagets storlek, riskprofil och komplexitet. Mikroföretag har förenklade krav på ICT-riskhantering. Hotledd penetrationstestning (TLPT) krävs bara av betydande aktörer som identifieras av tillsynsmyndigheten. Men grundkraven på riskhantering, incidentrapportering och tredjepartshantering gäller alla.
Hur skiljer sig DORA från NIS2 och cybersäkerhetslagen?
DORA är lex specialis: en förordning specifikt för finanssektorn som har företräde framför NIS2 vid överlapp. NIS2 är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506), som uttryckligen undantar DORA-reglerade finansiella aktörer (1 kap. 10 §). DORA ställer mer detaljerade krav på ICT-tredjepartsregister, hotledd penetrationstestning (TLPT) och specifik incidentrapportering till finansiella tillsynsmyndigheter.
Vad innebär DORA för ICT-leverantörer?
Finansiella aktörer måste bedöma sina ICT-leverantörer, dokumentera beroenden och ha exitstrategier. Det innebär att om ni är ICT-leverantör till en bank eller ett försäkringsbolag, kommer er kund att ställa krav på att ni kan visa era säkerhetskontroller, riskhantering och incidenthanteringsprocesser. Kritiska ICT-leverantörer övervakas dessutom direkt av europeiska tillsynsmyndigheter.
Hur stödjer AmpliFlow arbetet med DORA?
AmpliFlow är ett ledningssystem som hanterar den organisatoriska styrningen: riskbedömning med riskmatriser, incidenthantering via avvikelseprocessen, sidor (wiki) för policyer och ramverk, leverantörsregister för kontaktuppgifter och revisionsplanering. AmpliFlow ersätter inte tekniska verktyg som SIEM-system eller penetrationstestningsverktyg, men strukturerar det arbete som DORA kräver.
Hur hjälper ISO 27001 med DORA?
ISO 27001 ger en stark grund: riskbedömning, policyer, incidenthantering och leverantörsstyrning överlappar med DORA. Men DORA ställer ytterligare krav: specifikt ICT-tredjepartsregister, obligatorisk motståndskraftstestning och rapportering till finansiella tillsynsmyndigheter. Har ni ISO 27001 på plats har ni ett försprång.
Vill ni se hur det fungerar?
Boka en demo så visar vi hur AmpliFlow kan stödja ert arbete med DORA, oavsett om ni är en finansiell aktör eller en ICT-leverantör till finanssektorn.