Labs Support
SV EN
EU-förordning 2022/2554, tillämpas sedan 17 januari 2025

DORA ställer krav på den finansiella sektorns digitala motståndskraft. Är era IT-leverantörer redo?

Banker, försäkringsbolag och värdepappersföretag måste hantera ICT-risker, rapportera incidenter och övervaka sina tredjepartsleverantörer. Om ni levererar IT-tjänster till finanssektorn kommer era kunder att ställa samma krav på er.

Boka demo DORA:s fem pelare
DORA:s ramverk

Fem pelare för digital motståndskraft

DORA bygger på fem pelare. Varje pelare har specifika krav, med AmpliFlow-verktyg som stödjer arbetet.

ICT-riskhantering

Finansiella aktörer behöver ett dokumenterat ramverk för att identifiera, bedöma och hantera ICT-risker. Ramverket ska granskas årligen och godkännas av ledningen.

RiskbedömningSidor (wiki)

ICT-incidentrapportering

Allvarliga ICT-incidenter ska klassificeras och rapporteras i tre steg: initial anmälan inom 4 timmar efter klassificering (max 24 timmar efter upptäckt), mellanliggande rapport inom 72 timmar och slutrapport inom en månad. Det kräver processer för att fånga, kategorisera och eskalera.

Avvikelsehantering

Motståndskraftstestning

Årlig grundtestning av ICT-system för alla. Betydande aktörer ska dessutom genomföra hotledd penetrationstestning (TLPT) vart tredje år.

Revisionshantering

Tredjepartsriskhantering

Fullständigt register över alla ICT-tredjepartsleverantörer. Riskbedömning, koncentrationsriskanalys och dokumenterade exitstrategier.

LeverantörsregisterRiskbedömning

Informationsdelning

Frivilliga arrangemang för att dela hotinformation mellan finansiella aktörer. Stärker den kollektiva motståndskraften i sektorn.

Sidor (wiki)
Tredjepartskaskaden

Finansiella institutioner måste hantera sina ICT-leverantörer. Det påverkar er.

DORA kräver att banker och försäkringsbolag för register över alla ICT-tredjepartsleverantörer, bedömer koncentrationsrisker och har dokumenterade exitstrategier. Om ni säljer mjukvara eller IT-tjänster till finanssektorn, kommer era kunder att kräva att ni kan visa säkerhetskontroller, incidenthanteringsprocesser och dokumenterad riskhantering.

Reglerat av DORA

Bank / Försäkringsbolag

Kravställer på

ICT-leverantör

Måste kunna visa

Dokumenterad styrning

Leverantörsregister

Era kunder ska föra register över alla ICT-tredjepartsleverantörer med riskbedömningar, avtalsinformation och beroenden.

Koncentrationsrisk

Finansiella aktörer måste bedöma om de är för beroende av en enskild ICT-leverantör. Ni behöver kunna visa att ni minskar den risken.

Exitstrategier

Era kunder ska ha dokumenterade exitstrategier för alla kritiska ICT-leverantörer. Det påverkar hur ni strukturerar era tjänster.

Säkerhetskontroller

Ni behöver kunna visa hur ni hanterar incidenter, bedömer risker och skyddar data: strukturerat och dokumenterat.

Jämförelse

DORA och NIS2: inte samma sak

DORA och NIS2 överlappar delvis, men de har olika omfattning, detaljeringsgrad och rättslig status. NIS2 är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506). DORA har företräde för finansiella aktörer: cybersäkerhetslagen undantar uttryckligen verksamheter som regleras av DORA (1 kap. 10 §).

Aspekt DORA NIS2
Typ Förordning (direkt tillämplig) Direktiv, i Sverige genomfört som cybersäkerhetslagen (SFS 2025:1506)
Omfattning Finanssektorn: banker, försäkring, värdepapper, krypto Breda sektorer: energi, transport, hälsa, digital infrastruktur
Fokus Digital operativ motståndskraft och ICT-risker Övergripande cybersäkerhet och nätverkssäkerhet
Tredjeparter Detaljerade krav: ICT-leverantörsregister, koncentrationsrisk, exitstrategier Grundläggande krav på leveranskedjans säkerhet
Testning Obligatorisk TLPT vart tredje år för betydande aktörer Inga specifika testningskrav
Relation Lex specialis: har företräde för finansiella aktörer Generell lagstiftning: cybersäkerhetslagen undantar DORA-reglerade aktörer (1 kap. 10 §)
Verktyg

Så stödjer AmpliFlow varje pelare

AmpliFlow hanterar organisatorisk styrning, inte tekniska säkerhetslösningar. Här är konkreta verktyg mappade mot DORA:s pelare.

1 Pelare 1

Riskbedömning med riskmatriser

Bedöm ICT-risker med sannolikhet och konsekvens. Koppla risker till tillgångar och åtgärder. Om ni redan arbetar med ISO 27001 har ni en grund att bygga DORA-efterlevnad på.

1 Pelare 1

Sidor (wiki) för ICT-policyer

Samla ramverksdokumentation, policyer och rutiner i AmpliFlows wiki-funktion. Ledningen kan granska och kommentera direkt i systemet.

2 Pelare 2

Incidenthantering via avvikelser

Registrera ICT-incidenter med klassificering och prioritering. Arbetsflöde för rotorsaksanalys, åtgärd och verifiering. Full spårbarhet för rapportering till tillsynsmyndighet.

3 Pelare 3

Revisionsplanering och uppföljning

Planera och schemalägg testningsaktiviteter och granskningar av ICT-processer. Dokumentera fynd, avvikelser och förbättringsåtgärder.

4 Pelare 4

Leverantörsregister

Register över ICT-tredjepartsleverantörer med kontaktuppgifter. Dokumentera beroenden och exitstrategier i Sidor (wiki). Riskbedömningar hanteras separat i riskmodulen.

4 Pelare 4

Processhantering och kontinuitet

Kartlägg verksamhetskritiska processer och deras beroenden till ICT-system och tredjepartsleverantörer. Dokumentera kontinuitetsplaner i Sidor (wiki), använd checklistor för övningar.

Relaterat

Utforska mer

ISO 27001

Internationell standard för informationssäkerhet

NIS2 / Cybersäkerhetslagen

EU:s cybersäkerhetsdirektiv, i Sverige genomfört som cybersäkerhetslagen

Leverantörshantering

Hantera tredjepartsleverantörer i AmpliFlow

Riskhantering

Riskmatriser och riskbedömningar
Vanliga frågor

Frågor om DORA och AmpliFlow

Vad är DORA?
DORA (Digital Operational Resilience Act) är EU-förordning 2022/2554. Den ställer krav på digital operativ motståndskraft inom finanssektorn: ICT-riskhantering, incidentrapportering, motståndskraftstestning, tredjepartsriskhantering och informationsdelning. Sanktionerna fastställs av varje medlemsstat men ska vara effektiva, proportionella och avskräckande. DORA omfattar 21 typer av finansiella aktörer. Till skillnad från ett direktiv gäller DORA direkt i alla EU-länder utan nationell lagstiftning.
Vilka verksamheter omfattas?
DORA gäller banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, kryptotjänstleverantörer, kreditvärderingsinstitut, gräsrotsfinansieringsplattformar och fler. Dessutom omfattas kritiska ICT-tredjepartsleverantörer som tillhandahåller tjänster till dessa aktörer, exempelvis molntjänstleverantörer och SaaS-leverantörer.
Gäller alla krav för alla?
Nej. DORA tillämpar en proportionalitetsprincip (artikel 4). Kraven anpassas efter företagets storlek, riskprofil och komplexitet. Mikroföretag har förenklade krav på ICT-riskhantering. Hotledd penetrationstestning (TLPT) krävs bara av betydande aktörer som identifieras av tillsynsmyndigheten. Men grundkraven på riskhantering, incidentrapportering och tredjepartshantering gäller alla.
Hur skiljer sig DORA från NIS2 och cybersäkerhetslagen?
DORA är lex specialis: en förordning specifikt för finanssektorn som har företräde framför NIS2 vid överlapp. NIS2 är sedan 15 januari 2026 svensk lag genom cybersäkerhetslagen (SFS 2025:1506), som uttryckligen undantar DORA-reglerade finansiella aktörer (1 kap. 10 §). DORA ställer mer detaljerade krav på ICT-tredjepartsregister, hotledd penetrationstestning (TLPT) och specifik incidentrapportering till finansiella tillsynsmyndigheter.
Vad innebär DORA för ICT-leverantörer?
Finansiella aktörer måste bedöma sina ICT-leverantörer, dokumentera beroenden och ha exitstrategier. Det innebär att om ni är ICT-leverantör till en bank eller ett försäkringsbolag, kommer er kund att ställa krav på att ni kan visa era säkerhetskontroller, riskhantering och incidenthanteringsprocesser. Kritiska ICT-leverantörer övervakas dessutom direkt av europeiska tillsynsmyndigheter.
Hur stödjer AmpliFlow arbetet med DORA?
AmpliFlow är plattformen där ni driver den organisatoriska styrningen: riskbedömning med riskmatriser, incidenthantering via avvikelseprocessen, sidor (wiki) för policyer och ramverk, leverantörsregister och revisionsplanering. AmpliFlow ersätter inte tekniska verktyg som SIEM-system eller penetrationstestningsverktyg, men är platsen där ni håller ordning på det styrningsarbete som DORA kräver.
Hur hjälper ISO 27001 med DORA?
ISO 27001 ger en stark grund: riskbedömning, policyer, incidenthantering och leverantörsstyrning överlappar med DORA. Men DORA ställer ytterligare krav: specifikt ICT-tredjepartsregister, obligatorisk motståndskraftstestning och rapportering till finansiella tillsynsmyndigheter. Har ni ISO 27001 på plats har ni ett försprång.
Kom igång

Vill ni se hur det fungerar?

Boka en demo så visar vi hur AmpliFlow kan stödja ert arbete med DORA, oavsett om ni är en finansiell aktör eller en ICT-leverantör till finanssektorn.