Who does DORA apply to?

DORA applies to virtually all EU financial entities: banks, insurance companies, investment firms, payment providers, crypto-asset service providers, and critically, their ICT third-party service providers.

What is the DORA incident reporting deadline?

DORA has the tightest reporting deadline of any EU regulation: an initial report within 4 hours, an intermediate report within 72 hours, and a final report within 1 month.

Does DORA apply to ICT service providers?

Yes, ICT third-party service providers that serve financial entities must comply with DORA contractual requirements (Article 30). Critical ICT providers are subject to direct oversight by European Supervisory Authorities.

DORA

Förordningen om digital operativ motståndskraft

När din banks IT går ner är det inte bara obekvämt — det är systemrisk

Förordningen om digital operativ motståndskraft (DORA) är EU:s svar på en enkel fråga: vad händer när finanssektorns IT slutar fungera? DORA skapar ett enhetligt ramverk för IKT-riskhantering, incidentrapportering, resiliensprovning och tredjepartsriskhantering för hela EU:s finanssektor. För att när en bank, ett försäkringsbolag eller en betalningsleverantör går offline är det inte bara ett IT-problem — det är systemrisk.

Tillämpningsområde

I princip alla finansiella entiteter i EU: banker, försäkringsbolag, värdepappersföretag, betalningsleverantörer, kryptotillgångstjänsteleverantörer och — kritiskt — deras IKT-tredjepartstjänsteleverantörer. Om du levererar moln-, mjukvaru- eller datatjänster till finanssektorn gäller DORA även för dig.

Geografisk räckvidd

EU-omfattande förordning med direkt effekt. Gäller alla finansiella entiteter auktoriserade i EU och deras kritiska IKT-tjänsteleverantörer, oavsett var leverantörerna är baserade.

I kraft sedan

17 januari 2025

Syfte

Att säkerställa att finanssektorn kan motstå, reagera på och återhämta sig från IKT-relaterade störningar. Tänk på det som ett konditionstest för din banks IT-infrastruktur — och tränaren är den europeiska tillsynsmyndigheten, så det är bäst att ta det på allvar.

Hoppa till din roll:

Finansiell entitet

Du är en reglerad finansiell entitet: bank, försäkringsbolag, värdepappersföretag, betalningsinstitut, e-pengainstitut, central värdepappersförvarare, kreditvärderingsinstitut eller kryptotillgångstjänsteleverantör. Om du har ett finansiellt tillstånd i EU gäller DORA för dig.

Dina skyldigheter

Upprätta och underhåll ett heltäckande ramverk för IKT-riskhantering (art. 5–16)
Klassificera och rapportera allvarliga IKT-relaterade incidenter: initial rapport inom 4 timmar, mellanrapport inom 72 timmar, slutrapport inom 1 månad (art. 17–23)
Genomför regelbunden provning av digital operativ motståndskraft, inklusive hotbaserad penetrationsprovning (TLPT) för betydande entiteter (art. 24–27)
Hantera IKT-tredjepartsrisk med strukturerad due diligence, avtalskrav och löpande övervakning (art. 28–44)
Delta i informationsdelningsarrangemang om cyberhot (art. 45)
Säkerställ att ledningen tar yttersta ansvar för IKT-risk — inklusive utbildning (art. 5.2)
Upprätthåll ett register över alla IKT-tredjepartsarrangemang (art. 28.3)
Kartlägg IKT-tillgångar, system och beroenden — inklusive inom koncernstrukturer (art. 8)

Nyckelartiklar

Art. 5–16 — Ramverk för IKT-riskhanteringArt. 17–23 — Incidentklassificering och rapporteringArt. 24–27 — Provning av digital motståndskraftArt. 28–44 — TredjepartsriskhanteringArt. 45 — Informationsdelning

Proffstips

4-timmarsdeadlinen för initial rapport är den stramaste i någon EU-förordning. Bygg automatisk incidentdetektering och ha förskrivna mallar redo. Kartlägg också dina IKT-beroenden nu — när en incident slår till behöver du veta vilken leverantör som påverkas och vad avtalen säger om deras skyldigheter.

IKT-tredjepartstjänsteleverantör

Du levererar IKT-tjänster till finansiella entiteter: molninfrastruktur, kärnbanksmjukvara, betalningshantering, dataanalys, cybersäkerhetstjänster eller IT-outsourcing. Om finanssektorn är beroende av dina system har DORA något att säga dig — särskilt om du utnämns till 'kritisk' IKT-leverantör av de europeiska tillsynsmyndigheterna.

Dina skyldigheter

Stöd finansiella entiteters efterlevnad genom att tillhandahålla adekvat information och säkerhet (art. 28–30)
Acceptera avtalsklausuler som täcker: tjänstebeskrivningar, dataplatser, säkerhetsåtgärder, incidentstöd, revisionsrättigheter och exitstrategier (art. 30)
Rapportera incidenter som påverkar finansiella entiteters kunder snabbt (art. 30.2e)
Om utnämnd som kritisk: underkasta dig direkt tillsyn av europeiska tillsynsmyndigheter (art. 31–44)
Om kritisk: upprätthåll adekvata säkerhetsstandarder, genomgå bedömningar och tillhandahåll riskinformation till myndigheter (art. 33–36)
Säkerställ att underleverantörsarrangemang inte undergräver den finansiella entitetens förmåga att efterleva kraven (art. 30.2a)

Nyckelartiklar

Art. 28 — Allmänna principer för IKT-tredjepartsriskArt. 30 — Centrala avtalsvillkorArt. 31–44 — Tillsynsramverk för kritiska leverantörer

Proffstips

Om du levererar till finanssektorn, börja granska dina avtal mot DORA:s art. 30-krav nu. Finansiella entiteter kommer att pressa ner dessa krav till dig — var proaktiv istället för reaktiv. Att ha DORA-redo avtalsmallar signalerar mognad och sparar förhandlingsrundor.

Så kan Euregas hjälpa

Tillgängliga verktyg

IKT-riskbedömningar — strukturerade utvärderingar i linje med DORA art. 5–16-krav
Incidenthantering — spåra IKT-incidenter med automatiska 4h/72h-deadline-påminnelser
Tredjepartsriskhantering (art. 28–44) — bedöm och övervaka IKT-tjänsteleverantörer

AI-assisterade funktioner

Semantisk sökning i DORA-artiklar och skäl
AI-förfyllda ärendesteg för DORA-relaterade efterlevnadsärenden

Observera

DORA-modulen tillhandahåller manuella strukturerade arbetsflöden. AI-assisterade funktioner (t.ex. incidentallvarlighetsklassificering, automatiserad TLPT-omfattning) planeras för framtida versioner.

Alla exempel är fiktiva och används enbart i illustrativt syfte.