Möt kraven i DORA

Är er organisation förberedd på att möta DORAs krav inom den finansiella sektorn? Med Stratsys produkt får ni ett verktyg som inte bara underlättar efterlevnaden av dessa regler, utan också stärker er långsiktiga digitala motståndskraft.

S_Live_24_bg_flip

Vad innebär DORA?

DORA (Digital Operational Resilience Act) syftar till att stärka finanssektorns digitala operativa motståndskraft mot exempelvis cyberhot. DORA ställer höga krav på att berörda organisationer har system och rutiner för att skydda sig mot digitala hot och att det finns beredskap för att hantera och återhämta sig från incidenter.

  • Regelbunden testning av den digitala operativa motståndskraften
  • IKT-riskhantering, för den egna organisationen och för tredjepartsleverantörer av IKT-tjänster
  • Hantering och rapportering av IKT-relaterade incidenter

dora (1)

Så kan Stratsys hjälpa er med efterlevnad av DORA

Förbättrad översiktsbild om nuläge

Upplever ni att det är svårt att få en tydlig översiktsbild hur er organisation möter DORA? Med hjälp av Stratsys kan ni ta fram en nulägesanalys för att identifiera skillnader i ert nuvarande tillstånd och önskade måltillstånd. Detta ger er insikter om vad som behöver göras för att efterleva DORA.

oversiktsbild-DORA

Skydda organisationens tillgångar

Hur identifierar, bedömer och hanterar ni risker relaterade till IKT? Det kan handla om att skydda företagets data, tillgångar och nätverk från potentiella hot och avbrott. Med hjälp av Stratsys kan ni bli mer proaktiva i riskarbetet och på så sätt minska risken för bland annat betydande ekonomiska förluster och bristande förtroende.

IKT-risker-DORA

Utvärdering av IKT-riskhanteringsramen

Många organisationer upplever svårigheter med att själva skapa en systematisk utvärdering av IKT-riskhanteringsramen och att involvera rätt delar av organisationen. I Stratsys kan ni enkelt ta fram en utvärdering för detta och sammanställa underlaget. Detta är en viktig del i er övergripande bedömning av hur väl IKT-riskhanteringsramen fungerar.

Utvardering-IKT-DORA

Fler funktioner för ett framgångsrikt arbete

Nulägesanalys

Samla all data för att få en sammanställning av det aktuella läget. Det sparar både värdefull tid och ger ledningen ett komplett underlag för att fatta välgrundade beslut framåt. 

Självskattning

Använd självskattning som metod för att utvärdera organisationens prestationer, processer och kontroller avseende IKT-riskhanteringsramen

Rapportering

Se tydliga kopplingar mellan mål och aktiviteter i det pågående arbetet samt enkel visualisering av informationstillgångar, personuppgiftsbehandlingar, risker och handlingsplaner.

Effektiv datainsamling

Underlättar processen för att samla in och sammanställa data från olika delar inom organisationen på ett enhetligt sätt.

Vanliga frågor och svar

Vad är DORA och vem omfattas?

DORA (Digital Operational Resilience Act) är en EU-förordning som ställer enhetliga krav på digital operativ motståndskraft för finansiella entiteter inom EU. Den omfattar banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer, kryptotillgångsleverantörer och vissa IKT-tredjepartsleverantörer som tillhandahåller kritiska tjänster till finansiell sektor. DORA började tillämpas den 17 januari 2025.

Vilka krav ställer DORA?

DORA omfattar fem huvudområden: IKT-riskhantering, hantering och rapportering av IKT-relaterade incidenter, testning av digital operativ motståndskraft, hantering av IKT-tredjepartsrisker samt informationsdelning om cyberhot. Organisationer måste etablera ramverk för riskhantering, genomföra hotbaserade penetrationstester (TLPT) för vissa entiteter, samt övervaka kritiska IKT-leverantörer kontinuerligt.

Vad är skillnaden mellan DORA och NIS2?

DORA är en EU-förordning som är direkt tillämplig och specifik för finanssektorn, medan NIS2 är ett direktiv som implementeras nationellt och täcker 18 sektorer. För entiteter som omfattas av båda har DORA företräde inom dess tillämpningsområde (lex specialis). DORA går djupare på operativ motståndskraft och leverantörsstyrning, medan NIS2 har bredare sektortäckning.

Hur hanterar man IKT-tredjepartsrisker enligt DORA?

DORA kräver att finansiella entiteter upprätthåller ett register över alla IKT-tjänsteleverantörer, klassificerar dem efter kritikalitet, genomför due diligence före kontraktstecknande och inkluderar specifika klausuler i avtalen. Kritiska leverantörer omfattas av direkt tillsyn från europeiska tillsynsmyndigheter. 

Vad är TLPT i DORA?

TLPT (Threat-Led Penetration Testing) är hotbaserad penetrationstestning som vissa finansiella entiteter måste genomföra minst vart tredje år. Testet ska efterlikna verkliga avancerade hotaktörer (TIBER-EU-metoden), genomföras på produktionssystem och täcka kritiska funktioner. Det är ett av de mest tekniskt krävande inslagen i DORA och kräver tydlig styrning och uppföljning.

Vilka sanktioner finns vid bristande DORA-efterlevnad?

Sanktioner fastställs nationellt men ska enligt DORA vara effektiva, proportionella och avskräckande. Nationella tillsynsmyndigheter kan utdöma administrativa böter, offentligt uttala kritik, kräva korrigerande åtgärder och i vissa fall återkalla tillstånd. För kritiska IKT-tredjepartsleverantörer kan böter på upp till 1 procent av global daglig omsättning utdömas av europeiska tillsynsmyndigheter.

Upptäck fler fördelar med Stratsys

Med Stratsys produkt för Informationssäkerhet & dataskydd kan du enkelt samla arbetet kring regulatoriska krav i en plattform och samtidigt engagera hela organisationen i arbetet.

information-security-dashboard
S_Live_24_bg_flip-1
Studioevent: Resilience Insights - Riskhantering och styrning i en osäker värld.