Möt kraven i DORA

Är er organisation förberedd på att möta DORAs krav inom den finansiella sektorn? Med Stratsys produkt får ni ett verktyg som inte bara underlättar efterlevnaden av dessa regler, utan också stärker er långsiktiga digitala motståndskraft.

S_Live_24_bg_flip

Vad innebär DORA?

DORA (Digital Operational Resilience Act) syftar till att stärka finanssektorns digitala operativa motståndskraft mot exempelvis cyberhot. DORA ställer höga krav på att berörda organisationer har system och rutiner för att skydda sig mot digitala hot och att det finns beredskap för att hantera och återhämta sig från incidenter.

  • Regelbunden testning av den digitala operativa motståndskraften
  • IKT-riskhantering, för den egna organisationen och för tredjepartsleverantörer av IKT-tjänster
  • Hantering och rapportering av IKT-relaterade incidenter

dora (1)

Så kan Stratsys hjälpa er med efterlevnad av DORA

Förbättrad översiktsbild om nuläge

Upplever ni att det är svårt att få en tydlig översiktsbild hur er organisation möter DORA? Med hjälp av Stratsys kan ni ta fram en nulägesanalys för att identifiera skillnader i ert nuvarande tillstånd och önskade måltillstånd. Detta ger er insikter om vad som behöver göras för att efterleva DORA.

oversiktsbild-DORA

Skydda organisationens tillgångar

Hur identifierar, bedömer och hanterar ni risker relaterade till IKT? Det kan handla om att skydda företagets data, tillgångar och nätverk från potentiella hot och avbrott. Med hjälp av Stratsys kan ni bli mer proaktiva i riskarbetet och på så sätt minska risken för bland annat betydande ekonomiska förluster och bristande förtroende.

IKT-risker-DORA

Utvärdering av IKT-riskhanteringsramen

Många organisationer upplever svårigheter med att själva skapa en systematisk utvärdering av IKT-riskhanteringsramen och att involvera rätt delar av organisationen. I Stratsys kan ni enkelt ta fram en utvärdering för detta och sammanställa underlaget. Detta är en viktig del i er övergripande bedömning av hur väl IKT-riskhanteringsramen fungerar.

Utvardering-IKT-DORA

Fler funktioner för ett framgångsrikt arbete

Nulägesanalys

Samla all data för att få en sammanställning av det aktuella läget. Det sparar både värdefull tid och ger ledningen ett komplett underlag för att fatta välgrundade beslut framåt. 

Självskattning

Använd självskattning som metod för att utvärdera organisationens prestationer, processer och kontroller avseende IKT-riskhanteringsramen

Rapportering

Se tydliga kopplingar mellan mål och aktiviteter i det pågående arbetet samt enkel visualisering av informationstillgångar, personuppgiftsbehandlingar, risker och handlingsplaner.

Effektiv datainsamling

Underlättar processen för att samla in och sammanställa data från olika delar inom organisationen på ett enhetligt sätt.

Vanliga frågor och svar om DORA

Vad är DORA och vem omfattas?

 DORA (Digital Operational Resilience Act) är en EU-förordning som stärker finanssektorns digitala operativa motståndskraft mot IKT-risker och cyberhot. DORA inför harmoniserade regler om IKT-riskhantering, incidentrapportering, testning av digital operativ motståndskraft och tillsyn av tredjepartsleverantörer av IKT-tjänster. Till skillnad från ett direktiv gäller en förordning direkt i alla EU-länder, vilket ger enhetliga regler. 

Vilka omfattas av DORA?

DORA omfattar i princip hela finanssektorn. Det är inte bara banker som omfattas, utan även andra aktörer inom finanssektorn samt kritiska IKT-leverantörer. Det inkluderar bland annat försäkringsbolag, värdepappersföretag, betaltjänst- och kryptoföretag och fondbolag, samt molntjänstleverantörer. Kraven tillämpas proportionerligt efter aktörens typ, storlek och komplexitet, så att mindre aktörer möter lättare krav än stora, systemkritiska företag.

När började DORA gälla?

DORA trädde i kraft den 16 januari 2023 och tillämpas fullt ut sedan den 17 januari 2025. Berörda företag och deras IKT-leverantörer ska därmed redan uppfylla kraven. Förordningen kompletteras av regler från de europeiska tillsynsmyndigheterna EBA, EIOPA och ESMA, i form av tekniska standarder som preciserar hur kraven ska tillämpas i praktiken.

Vilka krav ställer DORA på vår organisation?

DORA bygger på fem områden: IKT-riskhantering med tydlig styrning och riskaptit, rapportering av allvarliga IKT-relaterade incidenter, testning av digital operativ motståndskraft, hantering av risker hos tredjepartsleverantörer av IKT-tjänster, samt informationsdelning om cyberhot. Företag måste identifiera sina kritiska funktioner och kartlägga deras tillgångar och beroenden, bland annat gentemot leverantörer.

Vad är skillnaden mellan DORA och NIS2?

DORA och NIS2 reglerar båda IKT- och cybersäkerhet men riktar sig till olika verksamheter. DORA är ett specialregelverk för finanssektorn och tar där företräde, medan NIS2 (cybersäkerhetslagen i Sverige) täcker ett bredare spann av samhällsviktiga sektorer. De överlappar i krav på riskhantering, incidenthantering och leverantörsstyrning, vilket gör att arbetet ofta kan struktureras gemensamt.

Hur ska digital operativ motståndskraft testas enligt DORA?

DORA kräver att finansiella företag regelbundet testar sin digitala operativa motståndskraft. Det kan ske genom till exempel sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar och prestandatester. De mest systemkritiska aktörerna ska dessutom genomföra avancerade hotbildsbaserade penetrationstester (TLPT). Syftet är att hitta svagheter innan de utnyttjas och säkerställa att verksamheten fungerar även vid störningar.

Vad innebär DORA:s krav på tredjepartsrisker och register?

DORA ställer höga krav på hantering av risker hos tredjepartsleverantörer av IKT-tjänster, som molntjänster och driftleverantörer. Företag ska bedöma, följa upp och dokumentera dessa leverantörer och föra ett samlat informationsregister över sina IKT-avtal, som ska kunna visas för tillsynsmyndigheten. Kritiska IKT-leverantörer kan dessutom ställas under direkt tillsyn på EU-nivå.

Vad händer om vi inte följer DORA?

Företag som omfattas av DORA och inte uppfyller kraven kan möta tillsynsåtgärder, förelägganden och sanktioner från den behöriga myndigheten – i Sverige Finansinspektionen. Utöver formella påföljder riskerar verksamheten driftstörningar, skadat förtroende och ökad sårbarhet vid cyberangrepp. Kritiska IKT-leverantörer kan beläggas med viten på EU-nivå.

Upptäck fler fördelar med Stratsys

Med Stratsys produkt för Informationssäkerhet & dataskydd kan du enkelt samla arbetet kring regulatoriska krav i en plattform och samtidigt engagera hela organisationen i arbetet.

information-security-dashboard
S_Live_24_bg_flip-1
Studioevent: Resilience Insights - Riskhantering och styrning i en osäker värld.