Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Compliance

Din guide till DORA-efterlevnad 

Postat avHimani Joshi 14 minuter
DORA
Innehållsförteckning

Introduktion till DORA

Cyberbrottslingar slår hårdare mot finansinstitut än någonsin, och cyberhoten ökar i en alarmerande takt. Enligt IBMÅr 2023 rapporterades den genomsnittliga kostnaden för ett dataintrång inom finansbranschen vara 5.90 miljoner dollar, och den steg kraftigt till 6.90 miljoner dollar år 2024. Utöver det, en rapport En rapport publicerad av Trend Micro avslöjade att banksektorn rankades som den främsta branschen för upptäckta ransomware-attacker år 2023. I takt med att finansinstitut blir mer sammankopplade och beroende av digital infrastruktur fortsätter riskerna att växa. Detta föränderliga hotbild gjorde det tydligt att en starkare, standardiserad strategi för cybersäkerhet och operativ motståndskraft är avgörande. Det är därför DORA introducerades. 

Digital Operational Resilience Act (DORA) är en EU-förordning som är utformad för att stärka både den operativa motståndskraften och regelefterlevnaden hos finansinstitut mot informations- och kommunikationsteknikrisker (IKT). Finansinstitut är starkt beroende av IKT-system för sin digitala infrastruktur, nätverk och datahantering. Men om dessa system inte hanteras effektivt kan de bli sårbara ingångspunkter för cyberhot, driftsfel och tredjepartsrisker. Ett säkerhetsintrång eller driftstörning kan exponera känsliga uppgifter, avbryta kritiska tjänster och i slutändan äventyra den finansiella stabiliteten. 

För att undvika detta etablerar DORA ett omfattande ramverk för att hantera, mildra och rapportera IKT-relaterade incidenter. Detta ramverk säkerställer att finansinstitut inte bara uppfyller regelkrav utan också är väl rustade för att motstå, reagera på och återhämta sig från cyberhot och driftstörningar. 

DORA tillhandahåller tydliga och konsekventa regler för operativ motståndskraft i hela EU, med huvudsakligen fokus på: 

  • Att minska riskerna som orsakas av ökande sårbarheter på grund av den växande sammankopplingen inom finanssektorn. 
  • Säkerställa att beroenden av tredjepartsleverantörer hanteras effektivt, vilket skyddar stabiliteten och säkerheten i den finansiella verksamheten.
  • Att hantera de nya risker som uppstår till följd av den ökande användningen av digitala finansiella tjänster. 
  • Inrätta ett enhetligt tillsynsramverk i hela EU för att säkerställa en konsekvent tillsyn och motståndskraft inom finanssektorn. 

Vem måste följa DORA?

DORA gäller för ett brett spektrum av finansiella enheter, inklusive banker, försäkringsbolag, investeringsföretag, betaltjänstleverantörer, leverantörer av kryptotillgångar och IKT-tjänsteleverantörer som stöder dessa finansinstitut.  

Från och med januari 2025 Artikel 2 i DORA-förordningen specificeras följande 21 kategorier av enheter som omfattas av tillämpningsområdet:   

  1. Kreditinstitut 
  2. Betalningsinstitut, inklusive de som är undantagna enligt direktiv (EU) 2015/2366
  3. Leverantörer av kontoinformationstjänster  
  4. Alla institut för elektroniska pengar  
  5. Investeringsföretag  
  6. Leverantörer av kryptotillgångar  
  7. Centrala värdepappersförvarare  
  8. Centrala motparter  
  9. Handelsplatser  
  10. Transaktionsregister  
  11. Förvaltare av alternativa investeringsfonder  
  12. Förvaltningsföretag  
  13. Leverantörer av datarapporteringstjänster  
  14. Försäkrings- och återförsäkringsföretag  
  15. Försäkringsförmedlare, återförsäkringsförmedlare och sidoförsäkringsförmedlare  
  16. Institutioner för tjänstepension  
  17. Kreditvärderingsinstitut  
  18. Administratörer av kritiska riktmärken
  19. Leverantörer av gräsrotsfinansieringstjänster  
  20. Värdepapperiseringsdatabaser  
  21. IKT-leverantörer av tredjepartstjänster 

Det är värt att notera att DORA:s omfattning sträcker sig bortom traditionella finansiella enheter och inkluderar även tredjepartsleverantörer av informations- och kommunikationsteknik (IKT). Dessa är företag som erbjuder digitala tjänster till finansinstitut, såsom molntjänstleverantörer, programvaruleverantörer, dataanalysföretag och leverantörer av hanterade tjänster. Inkluderingen av dessa tjänsteleverantörer belyser den avgörande roll de spelar i finanssektorns infrastruktur och de risker som följer med beroendet av dem. 

Enligt DORA måste tredjepartsleverantörer av IKT-tjänster:  

  • Samarbeta med finansiella enheter för regelbundna tester av motståndskraft.
  • Meddela de finansiella enheterna om eventuella IKT-relaterade incidenter eller störningar.
  • Upprätthålla planer för affärskontinuitet för att säkerställa tjänsteleverans vid oförutsedda händelser.
  • Följ EU:s integritets- och sekretesskrav för att skydda känsliga uppgifter.

Genom att omfatta både finansinstitut och deras kritiska IKT-tjänsteleverantörer syftar DORA till att skapa en stark och enhetlig strategi för operativ motståndskraft inom EU:s finanssektor.  

DORA-tidslinjen

DORA föreslogs först den 24 september 2020 och godkändes senare av Europaparlamentet och rådet den 24 november 2022. Det publicerades officiellt i EU Journal den 27 december 2022 och trädde i kraft den 16 januari 2023. Finansiella enheter och tredjepartsleverantörer fick två år på sig att bekanta sig med DORA:s krav och uppnå efterlevnad innan den fullständiga tillämpningen började den 17 januari 2025. 

Nu när tidsfristen har passerat måste organisationer säkerställa att de helt följer DORA:s krav, genomför regelbundna tester av motståndskraft och kontinuerligt övervaka sina IKT-riskhanteringsramverk för att undvika påföljder och driftstörningar.  

DORA:s kärnpelare

DORA bygger på fem viktiga pelare som stärker finansinstitutens digitala motståndskraft, och de är: 

  1. IKT Riskhantering

    Som beskrivs i kapitel II är IKT-riskhantering en grundläggande pelare i DORA. Den säkerställer att finansiella enheter har en strukturerad och proaktiv strategi för att identifiera, bedöma och minska teknikrelaterade risker. Genom att upprätthålla kontinuerlig övervakning, snabba riskbedömningar och adaptiva responsstrategier förbättrar DORA motståndskraften mot cyberhot och driftstörningar.

    Finansinstitut måste genomföra följande åtgärder för att förbättra IKT-riskhanteringen:

    • Inrätta ett särskilt IKT-riskhanteringsteam för att övervaka risker, övervaka tjänsteleverantörer, dokumentera riskexponering och regelbundet bedöma IKT-relaterade beroenden.
    • Implementera hotdetektering i realtid, kontinuitetsplanering och återställningsåtgärder för att säkerställa snabb incidentrespons.
    • Stärk digital motståndskraft genom att identifiera sårbarheter och cyberhot, granska tidigare incidenter för att fastställa bakomliggande orsaker och implementera nödvändiga förbättringar.
    • Ha en strukturerad kriskommunikationsplan för att säkerställa tydlig intern samordning och snabba externa aviseringar vid störningar.

  2. IKT-relaterad incidentrapportering

    Kapitel III, IKT-relaterad incidenthantering, klassificering och rapportering, beskriver en standardiserad metod för att upptäcka, klassificera och rapportera IKT-incidenter, vilket säkerställer att finansinstitut ligger steget före potentiella hot.

    Enligt DORA behöver finansiella enheter strukturerade processer för att spåra incidenter, bedöma deras påverkan och meddela rätt personer – både internt och externt. Internt innebär det att snabbt identifiera problem och hålla alla relevanta team uppdaterade. Externt innebär det att rapportera till tillsynsmyndigheter i tid och, i fall som dataintrång, att meddela berörda kunder.

    För att följa DORA måste finansinstitut följa följande riktlinjer:

    • Upprätta en strukturerad process för att upptäcka, hantera och rapportera IKT-incidenter, inklusive loggning av alla IKT-incidenter och större cyberhot för spårning och framtida analys.
    • Undersök och klassificera incidenter baserat på allvarlighetsgrad, med hänsyn till berörda kunder, serviceavbrott, dataförlust, driftstopp och ekonomisk påverkan. Dokumentera grundorsaker, vidta korrigerande åtgärder för att förhindra upprepning och upprätthålla tidiga varningssystem och responsplaner för att begränsa skador och säkerställa snabb återhämtning.
    • Rapportera allvarliga IKT-incidenter till tillsynsmyndigheter när de stör kritisk verksamhet eller utgör säkerhetsrisker.

  3. Digital operativ motståndskraftstestning

    DORA föreskriver att finansinstitut regelbundet testar sina IKT-riskhanteringsramverk för att bedöma deras förmåga att motstå cyberhot och driftstörningar. Enligt kapitel IV – Digital operationell motståndskraftstestning – måste finansiella enheter utföra regelbundna riskbaserade tester, inklusive sårbarhetsbedömningar och scenariobaserade tester, för att identifiera svagheter och implementera korrigerande åtgärder. Dessa tester måste utföras av oberoende interna eller externa parter.

    För att stärka den digitala motståndskraften måste finansinstitut vidta följande åtgärder:

    • Ha ett strukturerat, riskbaserat program för resilienstestning som en del av sitt ramverk för IKT-riskhantering för att bedöma beredskapen för IKT-incidenter, identifiera svagheter och säkerställa korrigerande åtgärder i rätt tid.
    • Upprätta tydliga rutiner för att prioritera och åtgärda problem, med intern validering för att spåra åtgärdsinsatser.
    • Genomför årligen motståndskraftstester för kritiska IKT-system, och för högriskorganisationer, utför avancerade hotledda penetrationstester (TLPT) minst vart tredje år enligt krav från tillsynsmyndigheter.

  4. Hantering av IKT-risker från tredje part

    DORA ställer strikta krav på finansinstitut att hantera risker i samband med IKT-tjänsteleverantörer, där kapitel V specifikt fokuserar på riskhantering hos tredjepartsleverantörer inom IKT. Det säkerställer att finansiella enheter noggrant utvärderar tredjepartsleverantörer innan de ingår avtal, och säkerställer att de uppfyller säkerhets- och regelefterlevnad. Avtal måste tydligt definiera tjänsteomfattning, kvalitetsförväntningar, övervakningskrav och uppsägningsklausuler.

    För att följa DORA måste finansinstitut genomföra följande åtgärder:

    • Utveckla en tydlig strategi för riskhantering för leverantörer och upprätthåll ett register över alla IKT-leverantörer, som dokumenterar deras roller i kritiska eller viktiga funktioner för granskning av myndigheter.
    • Rapportera nya IKT-tjänsteavtal till tillsynsmyndigheter årligen och lämna förhandsbesked om kontrakt som omfattar kritiska tjänster.
    • Anta en riskbaserad metod för revisioner, inspektioner och övervakning av IKT-leverantörer.
    • Utvärdera svårigheten att ersätta IKT-leverantörer, utforska andra alternativ innan avtal ingårs och bedöm risker relaterade till leverantörers insolvens eller dataskyddsregler.

  5. Informations- och underrättelsedelning

    Kapitel VI främjar utbyte av information och hotinformation inom EU:s finansvärld. Genom att främja samarbete kan finansinstitut öka medvetenheten, stärka hotdetekteringen och bygga mer effektiva försvarsstrategier mot cyberrisker.

    För att säkerställa säker och effektiv informationsdelning måste finansinstitut följa följande riktlinjer: 

    • Underlätta delning av hotinformation för att öka medvetenheten, begränsa cyberhot och förbättra strategier för detektering och respons.
    • Delta i säkra och betrodda grupper av finansinstitut för utbyte av cyberinformation.
    • Alla utbyten måste följa strikta regler för sekretess, dataskydd och konkurrens för att skydda känslig affärsinformation.
    • Upprätta formella avtal som beskriver villkoren för deltagande, inklusive medverkan av myndigheter och tredjeparts IKT-leverantörer.
    • Meddela tillsynsmyndigheterna om deras deltagande i sådana arrangemang.

Tillsammans skapar dessa fem pelare en stark grund för finansinstitut att navigera IKT-risker, vilket säkerställer motståndskraft mot cyberhot och driftstörningar. Genom att betona proaktiv riskhantering, kontinuerlig testning och säkert samarbete stärker DORA finanssektorns förmåga att skydda kritisk verksamhet och upprätthålla regelefterlevnad. 

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Kryptografins roll i DORA

Kryptografi spelar en grundläggande roll i Digital Operational Resilience Act (DORA) genom att skydda finansinstituts digitala infrastruktur, data och kommunikationssystem. I takt med att finanssektorn blir mer beroende av informations- och kommunikationsteknik (IKT) kan vikten av kryptografiska åtgärder för att säkerställa konfidentialitet, integritet och tillgänglighet för kritisk data inte nog betonas. DORA beskriver specifika skyldigheter relaterade till kryptografiska kontroller för att minska risker i samband med cybersäkerhetshot och driftstörningar. 

  1. Artikel 6 – Kryptering och kryptografiska kontroller

    DORA föreskriver att finansinstitut ska upprätta en formell policy för kryptering och kryptografiska kontroller för att skydda finansiella data och kunddata. Detta inkluderar:

    • Artikel 6.2(a) – Kryptering av data i vila och under överföring för att förhindra obehörig åtkomst.
    • Artikel 6.2(b) – Regler för kryptering av data som används, där så är nödvändigt. Om det inte är möjligt ska data som används behandlas i en separat och skyddad miljö eller med motsvarande åtgärder för att säkerställa konfidentialitet, integritet, autenticitet och tillgänglighet.
    • Artikel 6.2(c) – Kryptering av interna nätverksanslutningar och extern kommunikation för att säkra utbyte av känsliga uppgifter.
    • Artikel 6.2(d) – Stark hantering av kryptografiska nycklar för att reglera användningen, lagringen och livscykeln för kryptografiska nycklar (med hänvisning till artikel 7).
    • Artikel 6.4 – Regelbundna uppdateringar av kryptografisk teknik för att säkerställa motståndskraft mot föränderliga cyberhot.

  2. Artikel 7 – Kryptografisk nyckelhantering

    Korrekt hantering av kryptografiska nycklar är avgörande för att förhindra obehörig åtkomst, dataintrång och operativa risker. DORA kräver att finansinstitut:

    • Artikel 7.1 – Hantera kryptografiska nycklar under hela deras livscykel, inklusive generering, förnyelse, lagring, säkerhetskopiering, överföring och förstöring.
    • Artikel 7.2 – Implementera strikta åtkomstkontroller för att skydda kryptografiska nycklar från obehörig åtkomst, modifiering eller förlust under hela deras livscykel.
    • Artikel 7.3 – Utveckla viktiga ersättningsmekanismer vid kompromettering eller skada.
    • Artikel 7.4 – Föra ett register över alla kryptografiska certifikat och certifikatlagringsenheter för kritiska IKT-tillgångar.
    • Artikel 7.5 – Säkerställ att kryptografiska certifikat förnyas i tid för att upprätthålla säkerheten.

  3. Artikel 9 – Säker autentisering och åtkomstkontroller

    DORA förstärker behovet av säkra autentiseringsmetoder och kontrollerad åtkomst till IKT-tillgångar med hjälp av kryptografiska säkerhetsåtgärder. Finansinstitut måste:

    • Artikel 9.4(a) – Utveckla en informationssäkerhetspolicy för att skydda dataäkthet, integritet och konfidentialitet.
    • Artikel 9.4(c) – Tillämpa strikta åtkomstkontroller, begränsa fysisk och logisk åtkomst till informationstillgångar och IKT-tillgångar till endast behöriga användare.
    • Artikel 9.4(d) – Implementera starka autentiseringsmekanismer baserade på erkända standarder, inklusive kryptografiskt nyckelskydd.

Kostnaden för bristande efterlevnad

Att inte följa DORA är inte bara en regulatorisk fråga – det medför allvarliga ekonomiska risker och anseenderisker. Finansinstitut och tredjepartsleverantörer (TPSP:er) som inte uppfyller DORA:s krav kan få höga böter och andra påföljder.  

Här är vad bristande efterlevnad kan innebära:  

För finansiella enheter:  

  • Böter på upp till två procent av den totala årliga globala omsättningen eller den genomsnittliga dagliga globala omsättningen. 
  • Individer kan få böter på upp till 1 000 000 euro för att inte följa reglerna. 

För tredjepartsleverantörer (TPSP:er):  

  • Kritiska TPSP:er kan få böter på upp till 5 000 000 euro.
  • Individer inom dessa leverantörer kan bötfällas med upp till 500 000 euro. 
  • Om en finansiell enhet underlåter att rapportera en större IKT-relaterad incident eller ett hot kan ESA-myndigheterna också ålägga böter. 

Organisationer som inte uppfyller kraven i DORA riskerar inte bara betydande böter utan riskerar också att skada sitt rykte och förlora kundernas förtroende.  

Vem kommer att övervaka DORA-efterlevnaden?

DORA kommer att verkställas av olika EU-tillsynsorgan. Nationella behöriga myndigheter (NCA) i varje EU-medlemsstat kommer att spela en nyckelroll i att övervaka efterlevnaden på lokal nivå.  

På europeisk nivå kommer tre stora tillsynsmyndigheter att vara involverade: 

  • Europeiska bankmyndigheten (EBA)
  • Europeiska värdepappers- och marknadsmyndigheten (ESMA) 
  • Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA) 

Dessa tillsynsmyndigheter kommer att ha befogenhet att övervaka och upprätthålla efterlevnaden av DORA, och säkerställa att finansiella enheter uppfyller de erforderliga kraven på motståndskraft. De kan genomföra revisioner och inspektioner för att bedöma efterlevnaden, ålägga böter och påföljder för organisationer som inte följer reglerna, och direkt övervaka IKT-leverantörer av tredjepartstjänster för att säkerställa att de implementerar nödvändiga riskhanterings-, säkerhets- och operativa motståndskraftsåtgärder enligt DORA.  

Hur kan EC hjälpa till?

På Encryption Consulting (EC) specialiserar vi oss på att tillhandahålla skräddarsydda krypteringsbedömningar för att hjälpa organisationer att uppfylla regelkrav som DORA, HIPAAoch GDPR, såväl som branschstandarder som NIST och PCI DSSVår process börjar med att utvärdera er nuvarande infrastruktur mot etablerade standarder, vilket gör att vi kan identifiera eventuella luckor i era säkerhetsåtgärder. Därifrån tillhandahåller vi en färdplan som beskriver de steg som behövs för att uppnå effektiv efterlevnad. Så här kan vi hjälpa er:    

Vi börjar med en granskning av era befintliga policyer. Detta innebär att identifiera era nuvarande krypteringsmöjligheter och förstå eventuella begränsningar i era system. Vi granskar även er övergripande säkerhetsuppsättning för att säkerställa att vi har en fullständig bild av er miljö, med hänsyn till olika användningsfall som är relevanta för er organisation. 

Härnäst vi utvärderar luckorna i era nuvarande policyerDetta inkluderar att identifiera luckor i era befintliga policyer jämfört med branschstandarder för att säkerställa att säkerhets- och efterlevnadskrav följs. Vi genomför även workshops för att underlätta diskussioner om era nuvarande applikationer och uppmuntra samarbete mellan teammedlemmar för att samla värdefulla insikter. Dessutom skapar vi ett utvärderingsformulär som är utformat för att samla in viktig information om era krypteringsmetoder. Genom denna utvärdering identifierar vi befintliga datakrypteringsfunktioner och identifierar specifika områden för förbättring. 

När bedömningen är klar, vi övergår till genomförandefas med en detaljerad färdplan. Vi tillhandahåller en omfattande rapport som sammanfattar våra resultat och rekommendationer för varje resultat. Denna rapport fungerar som en grundläggande guide för att implementera nödvändiga krypteringsförbättringar. Vår färdplan anpassar era processer till branschstandarder, stärker datasäkerheten och säkerställer efterlevnad. 

Genom att välja våra krypteringsbedömningstjänster tar du ett proaktivt steg mot att stärka din organisations efterlevnad av relevanta standarder. Vi vägleder dig genom processen och säkerställer att dina strategier är både effektiva och i linje med dina affärsmål. 

Slutsats

Digital operativ motståndskraft är inte längre ett alternativ; det har blivit en nödvändighet, och det är därför DORA introducerades. Den beskriver ett tydligt ramverk för att hantera IKT-risker, förbättra incidenthantering och säkra tredjepartsberoenden. Effektiv IKT-riskhantering, proaktiv incidenthantering och rigorösa motståndskraftstester handlar inte bara om regelefterlevnad – de är avgörande för att upprätthålla stabilitet i en alltmer digital värld. Genom att integrera DORA:s principer i den dagliga verksamheten kan företag stärka sitt försvar, skydda kundernas förtroende och ligga steget före nya hot. 

Upptäck vår

Relaterade bloggar

Hur man bygger stark autentisering: PCI:s bästa praxis

Hur man bygger stark autentisering: PCI:s bästa praxis

November 28, 2025

efterlevnadstrender

Regelefterlevnadstrender 2025

September 9, 2025

Hur CBOM skiljer sig från SBOM och varför det är avgörande för industrin

Hur CBOM skiljer sig från SBOM och varför det är avgörande för industrin

August 11, 2025

Utforska

Fler ämnen