Kort version

DORA ställer fem typer av krav: IKT-riskhantering, incidentrapportering, motståndskraftstester (inklusive Threat-Led Penetration Testing), hantering av IKT-tredjepartsrisk och frivillig informationsdelning. Ett år in är registerinrapporteringen det dominerande svaga området. Tillsynen ligger på exit-rätt och revisionsrätt i avtalen.

Vem omfattas

Tjugo typer av finansiella entiteter omfattas: banker, betaltjänstleverantörer, e-penningemittenter, värdepappersbolag, värdepappersfonder och fondförvaltare, försäkringsbolag och försäkringsförmedlare, tjänstepensionsföretag, kreditförmedlare, kreditvärderingsinstitut, leverantörer av kryptotillgångar och datarapporteringsförvaltare. Mycket små försäkringsbolag och vissa pensionsinstitut är undantagna.

IKT-tredjepartsleverantörer som klassats som kritiska av de europeiska tillsynsmyndigheterna (ESA:erna — EBA, ESMA och EIOPA) omfattas direkt av tillsynsregimen. Den första listan på kritiska leverantörer (CTPP) är publicerad och omfattar de största molnleverantörerna, dataanalysleverantörerna och vissa infrastrukturleverantörer.

Registret över IKT-tredjepartsavtal

Det operativt mest känsliga DORA-momentet är inrapporteringen av register of information (RoI). De tekniska standarderna finns i kommissionens Genomförandeförordning (EU) 2024/2956. Mallarna är detaljerade och kräver bland annat:

  • Identifierare för varje avtal (LEI eller EUID på motpart, intern referens).
  • Klassificering av kritikalitet. Vad slutar fungera om leverantören slutar leverera.
  • Fullständig underentreprenörskedja för kritiska tjänster.
  • Riskbedömning av koncentrationsrisk per leverantör och per region.
  • Avtalsklausuler: exit-rätt, revisionsrätt, dataskydd, säkerhet, kontinuitet.

Referensdatum för 2026 års cykel var 31 december 2025. Erfarenheten från ESA:ernas torrkörning 2024 (knappt 7 procent klarade alla 116 datakvalitetskontrollerna) visade att problemen oftast var ofullständig avtalsdata, saknad underentreprenörsinformation och felaktiga klassificeringar.

Incidentrapportering

Allvarliga IKT-incidenter ska rapporteras i tre steg till behörig myndighet:

  • Tidig varning inom 4 timmar efter klassificering, dock senast 24 timmar efter upptäckt.
  • Mellanrapport inom 72 timmar.
  • Slutrapport inom en månad.

Tröskeln för "allvarlig" bestäms av en kombination av kriterier: antal drabbade kunder, transaktionsvolym, varaktighet, geografisk spridning, dataförlust och ekonomisk påverkan. Kvantitativa trösklar finns i kommissionens Delegerade förordning (EU) 2024/1772.

Threat-Led Penetration Testing (TLPT)

DORA kräver att stora och systemviktiga entiteter genomför hotbaserade penetrationstester (TLPT) — simulerade cyberattacker som utförs av externa red teams mot kritisk infrastruktur. Testerna ska följa TIBER-EU, det europeiska ramverket för hur sådana tester planeras, genomförs och rapporteras, och upprepas minst vart tredje år. Finansinspektionen (FI) och Riksbanken samarbetar i Sverige om utförandet. Testerna är dyra och kräver långsiktig planering. En realistisk första TLPT-cykel för en svensk storbank tar 9 till 12 månader från beslut till slutrapport.

Vad tillsynen frågar efter just nu

  1. Bevis för att RoI är fullständig. Alla avtal, alla underentreprenörer.
  2. Avtalsklausulgranskning. FI har börjat begära in mallar för standardklausuler och revisionsrättens utformning.
  3. Hur bolaget faktiskt skulle exekvera en exit. Inte teori, utan vilken alternativ leverantör som finns och hur lång ledtiden är.
  4. Incidentövningar med kvitto. Inte hänvisning till generella krisplaner.
  5. Styrelsens engagemang. Mötesprotokoll som visar att DORA har varit på dagordningen.

Vad bolag bör göra inför 2027 års rapportering

  1. Bygg en levande RoI snarare än att fylla i den en gång per år. Avtalsändringar och tillkommande underentreprenörer ska reflekteras löpande.
  2. Begär in subprocessorlistor från kritiska leverantörer. På avtalad grund, inte ad hoc.
  3. Granska CTPP-listan när den uppdateras nästa gång. Direktreglerade kritiska leverantörer kan flytta avtalets ekonomi och risk.
  4. Förbered TLPT-budget och deltagare med god framförhållning.

Källor