DORA-förordningen

DORA tar ett helhetsgrepp om digital operativ motståndskraft och omfattar bland annat krav på IKT-riskhantering, rapportering av incidenter, testning av system och processer, informationsdelning om cyberhot samt hantering av tredjepartsrisker. Förordningen riktar sig till ett brett spektrum av finansiella aktörer och utgör en sektorsspecifik reglering inom EU:s ram för cybersäkerhet.

Syftet med denna guide är att ge en praktisk och juridiskt förankrad översikt av DORA:s centrala bestämmelser och hur dessa kan omsättas i verksamheten. Guiden är inte uttömmande och ersätter inte en fullständig genomgång av förordningens samtliga artiklar, delegerade akter eller tillhörande tekniska standarder. Den är i stället avsedd att fungera som ett stöd för att förstå regelverkets struktur, kravbild och praktiska implikationer.

Fokus ligger på att tydliggöra vad DORA innebär i praktiken för finansiella företag, med särskild tonvikt på styrning, riskhantering, operativ implementering och relationen till tredjepartsleverantörer.

DORA är utformad som en sektorsspecifik reglering och riktar sig till en bred krets av finansiella aktörer inom EU. Utgångspunkten är att alla verksamheter som utgör en del av det finansiella systemet – och som därmed kan påverka den finansiella stabiliteten – också ska omfattas av ett harmoniserat regelverk för digital operativ motståndskraft.

I praktiken innebär detta att förordningen omfattar bland annat kreditinstitut, betalningsinstitut, e-pengainstitut, värdepappersföretag, försäkrings- och återförsäkringsföretag, fondförvaltare, pensionsinstitut, handelsplatser samt andra aktörer som tillhandahåller finansiella tjänster under tillstånd eller registrering. Även vissa leverantörer av kryptotillgångstjänster och andra nyare marknadsaktörer kan omfattas beroende på hur de klassificeras i övrig EU-reglering.

En central aspekt i DORA är att regelverket inte enbart riktar sig till de finansiella företagen i sig, utan även – indirekt och i vissa fall direkt – till deras leverantörer av IKT-tjänster. Detta gäller särskilt leverantörer som tillhandahåller kritiska funktioner, såsom molntjänster, datacenter, systemplattformar eller säkerhetslösningar. För dessa aktörer införs en särskild tillsynsram på EU-nivå, vilket innebär att även företag utanför den traditionella finanssektorn kan omfattas av DORA:s effekter.

Samtidigt innehåller förordningen ett proportionalitetsperspektiv. Mindre aktörer, inklusive vissa mikroföretag, kan i vissa delar omfattas av förenklade krav, särskilt vad gäller omfattningen av riskhantering, dokumentation och testning. Det innebär dock inte att dessa aktörer står utanför regelverket, utan att kraven anpassas till verksamhetens storlek, komplexitet och riskexponering.

Det är också viktigt att förstå relationen till andra regelverk. För de finansiella företag som omfattas av DORA ersätter eller kompletterar förordningen i många delar tidigare nationella och EU-rättsliga krav på IKT-risk och cybersäkerhet. DORA ska därför inte ses som ett isolerat regelverk, utan som en integrerad del av den finansiella regleringen, där exempelvis kapitaltäckningsregler, operativ risk och outsourcing redan tidigare haft kopplingar till digital riskhantering.

I praktiken innebär detta att företag behöver göra en strukturerad bedömning av:

• om de själva omfattas av DORA,
• i vilken utsträckning deras verksamhet träffas av specifika krav,
• samt hur deras leverantörsstruktur påverkar tillämpningen.

För många verksamheter kommer den största förändringen inte ligga i att helt nya krav införs, utan i att kraven blir mer enhetliga, mer detaljerade och – inte minst – mer systematiskt granskade.

För att kunna tillämpa DORA korrekt är det avgörande att förstå hur regelverket är strukturerat. Förordningen är inte en samling isolerade krav, utan ett sammanhängande system där olika delar förstärker varandra. Den är uppbyggd kring ett antal kärnområden som tillsammans ska säkerställa att finansiella företag kan förebygga, hantera och återhämta sig från IKT-relaterade störningar. Kärnan i DORA kan beskrivas som fem integrerade pelare.

Den första pelaren är IKT-riskhantering. Här ställs krav på att företaget ska ha en strukturerad, dokumenterad och kontinuerligt uppdaterad ram för att identifiera, bedöma och hantera digitala risker. Detta är grunden för hela regelverket – övriga delar bygger i praktiken på att riskhanteringen fungerar.

Den andra pelaren är hantering och rapportering av incidenter. Företag ska inte bara kunna upptäcka och hantera incidenter internt, utan även rapportera allvarliga IKT-relaterade incidenter till behöriga myndigheter enligt fastställda processer. Syftet är att skapa transparens och möjliggöra systemövergripande lärande inom finanssektorn.

Den tredje pelaren är testning av digital operativ motståndskraft. DORA kräver att företag regelbundet testar sin förmåga att stå emot och återhämta sig från störningar. Det handlar inte enbart om tekniska tester, utan om att pröva hela organisationens beredskap – från system till processer och beslutsfattande.

Den fjärde pelaren är hantering av IKT-tredjepartsrisk. Eftersom finansiella företag i stor utsträckning är beroende av externa leverantörer, särskilt inom IT och molntjänster, ställer DORA detaljerade krav på hur dessa relationer ska styras, dokumenteras och följas upp. Här sker en tydlig förskjutning från traditionell outsourcingreglering till en mer strukturerad och riskbaserad leverantörsstyrning.

Den femte pelaren är tillsyn och ramverk för kritiska tredjepartsleverantörer. För vissa leverantörer som bedöms vara kritiska för finanssektorn införs en särskild tillsyn på EU-nivå. Detta innebär att även aktörer utanför finanssektorn kan bli föremål för direkt regulatorisk granskning.

Utöver dessa pelare innehåller DORA även bestämmelser om informationsdelning mellan företag, med syfte att stärka sektorns kollektiva motståndskraft mot cyberhot.

Det som är centralt att förstå är att dessa delar inte fungerar var för sig. Riskhanteringen ska exempelvis styra både testning, incidenthantering och leverantörsstyrning. Incidenter ska i sin tur leda till uppdaterad riskbedömning. Testning ska verifiera att riskhanteringen fungerar i praktiken. Tredjepartsrisker ska integreras i samtliga dessa processer.

För företag innebär detta att DORA inte kan implementeras genom enskilda åtgärder eller dokument. Det krävs ett sammanhängande system där styrning, operativ verksamhet och uppföljning hänger ihop.

En av de mest genomgripande förändringarna i DORA är att ansvaret för digital operativ motståndskraft tydligt placeras på högsta ledningsnivå. Det är inte längre möjligt att betrakta IKT-risker som en teknisk fråga som kan delegeras till IT-avdelningen. Förordningen utgår i stället från att digital risk är en affärskritisk risk – och därmed en ledningsfråga.

Ledningsorganet ska fastställa, godkänna och löpande övervaka företagets ramverk för IKT-riskhantering. Det innebär att styrelse och verkställande ledning inte bara ska godkänna policydokument, utan också förstå riskbilden, fatta aktiva beslut och säkerställa att systemet fungerar i praktiken. Detta omfattar såväl strategiska vägval som operativa prioriteringar.

I praktiken innebär detta att ledningen behöver säkerställa att det finns en tydlig struktur för hur digitala risker identifieras, bedöms och hanteras. Det ska finnas en fastställd riskaptit, en dokumenterad strategi för digital motståndskraft och en tydlig koppling mellan riskhantering och affärsverksamhet. Ledningen ska också säkerställa att tillräckliga resurser – både ekonomiska och personella – avsätts för att uppfylla kraven.

En central del av ansvaret är uppföljning. Ledningen ska regelbundet få rapporter om IKT-risker, incidenter, testresultat och tredjepartsberoenden. Dessa rapporter ska inte vara av ren informationskaraktär, utan utgöra underlag för beslut. Om brister identifieras ska ledningen säkerställa att åtgärder vidtas och att dessa följs upp.

DORA ställer också krav på att ledningen säkerställer en tillräcklig nivå av kompetens inom organisationen. Det innebär dels att nyckelpersoner har relevant kunskap om IKT-risker och cybersäkerhet, dels att det finns en generell medvetenhet i organisationen om digitala risker och incidenthantering. Utbildning och intern kommunikation blir därmed en del av styrningen, inte en stödaktivitet.

Vidare ska roller och ansvar vara tydligt definierade. Det ska framgå vem som ansvarar för riskhantering, incidentrapportering, testning och leverantörsstyrning. Ansvarsfördelningen ska vara dokumenterad och förankrad i organisationen, så att det inte uppstår oklarheter vid exempelvis en incident.

En viktig aspekt är också att ledningen ska säkerställa att IKT-riskhanteringen är integrerad i företagets övergripande styrning. Det innebär att digital operativ motståndskraft ska beaktas i affärsplanering, förändringsprojekt, investeringar och upphandlingar. Nya system, nya leverantörer eller förändringar i verksamheten ska alltid bedömas ur ett IKT-riskperspektiv.

Sammanfattningsvis innebär DORA att ledningen går från att vara mottagare av IT-relaterad information till att vara aktivt ansvarig för företagets digitala motståndskraft. Detta är en principiell förskjutning som i praktiken ofta kräver förändringar i både styrmodell, rapporteringsstruktur och beslutsprocesser.

IKT-riskhanteringen utgör den operativa kärnan i DORA. Det är genom detta ramverk som företagets digitala motståndskraft byggs upp, tillämpas och löpande utvecklas. Förordningen ställer därför inte bara krav på att ett ramverk ska finnas, utan på att det ska vara strukturerat, dokumenterat, integrerat i verksamheten och faktiskt fungera i praktiken.

Utgångspunkten är att varje finansiellt företag ska etablera en sammanhållen ram för IKT-riskhantering som täcker hela livscykeln – från identifiering av risker till uppföljning och förbättring. Detta ramverk ska vara anpassat till verksamhetens storlek, komplexitet och riskprofil, men samtidigt tillräckligt robust för att hantera allvarliga störningar.

I praktiken innebär detta att företaget behöver ha en tydlig struktur för hur digitala tillgångar och system kartläggs. Det ska finnas en översikt över vilka system som är affärskritiska, hur de är uppbyggda, vilka beroenden som finns och vilka risker som är kopplade till dem. Utan en sådan grundläggande kartläggning blir övrig riskhantering i stor utsträckning teoretisk.

Riskidentifieringen ska vara systematisk och återkommande. Företaget ska inte bara identifiera tekniska sårbarheter, utan även organisatoriska risker, processrisker och beroenden till externa leverantörer. Det handlar exempelvis om risker kopplade till systemfel, cyberattacker, mänskliga misstag, bristande rutiner eller otillräcklig leverantörskontroll.

När riskerna identifierats ska de bedömas och prioriteras. Detta innebär att företaget behöver fastställa kriterier för sannolikhet och konsekvens, samt avgöra vilka risker som är acceptabla och vilka som kräver åtgärd. Här blir kopplingen till ledningens riskaptit central – det är i praktiken denna som avgör hur långtgående åtgärder som ska vidtas.

Åtgärderna ska i sin tur vara konkreta och spårbara. Det räcker inte att identifiera en risk – det måste framgå vilka kontroller som införts, vem som ansvarar för dem och hur de följs upp. Det kan handla om tekniska säkerhetsåtgärder, förändrade processer, utbildningsinsatser eller förändringar i leverantörsavtal.

En viktig del av DORA är att riskhanteringen inte får vara statisk. Ramverket ska kontinuerligt övervakas, testas och uppdateras. Incidenter, testresultat och förändringar i verksamheten ska leda till en uppdaterad riskbedömning. Det innebär att riskhanteringen blir en levande process snarare än ett dokument.

Vidare ska det finnas tydliga rutiner för detektering och hantering av avvikelser. Företaget ska kunna upptäcka incidenter i tid, agera strukturerat och begränsa konsekvenserna. Detta kräver både tekniska övervakningssystem och organisatoriska processer.

Dokumentation spelar en central roll, men på ett funktionellt sätt. Dokumentationen ska göra det möjligt att förstå hur riskhanteringen är uppbyggd, hur beslut fattas och hur åtgärder följs upp. Vid tillsyn ska företaget kunna visa inte bara att ett ramverk finns, utan hur det faktiskt tillämpas.

Slutligen ska IKT-riskhanteringen vara integrerad i hela organisationen. Det innebär att den inte får vara isolerad till IT-funktionen, utan måste genomsyra affärsprocesser, projekt, förändringsarbete och upphandlingar. Varje större förändring i verksamheten ska föregås av en riskbedömning ur ett IKT-perspektiv.

Sammanfattningsvis innebär DORA att IKT-riskhantering går från att vara en teknisk stödfunktion till att bli ett centralt styrinstrument i verksamheten. Ett företag som inte har ett fungerande, integrerat och uppdaterat riskhanteringsramverk kommer i praktiken ha svårt att uppfylla övriga delar av förordningen.

En central komponent i DORA är kravet på att finansiella företag ska kunna hantera och rapportera IKT-relaterade incidenter på ett strukturerat och enhetligt sätt. Syftet är inte enbart att säkerställa intern kontroll, utan också att skapa en samlad lägesbild på sektorsnivå och möjliggöra snabb respons vid systemhotande händelser.

Utgångspunkten är att varje företag ska ha etablerade processer för att identifiera, klassificera och hantera incidenter. Det innebär att organisationen måste kunna upptäcka avvikelser i sina system i ett tidigt skede, bedöma deras allvarlighetsgrad och vidta åtgärder för att begränsa konsekvenserna. Detta ställer krav på både tekniska övervakningssystem och tydliga interna rutiner.

En avgörande del av regelverket är klassificeringen av incidenter. Alla störningar är inte rapporteringspliktiga, men företag ska kunna avgöra när en incident når en nivå där den betraktas som allvarlig. Bedömningen ska baseras på faktorer som påverkan på verksamheten, antal berörda kunder, varaktighet, geografisk spridning och potentiell påverkan på den finansiella stabiliteten.

När en incident klassificeras som allvarlig uppstår en skyldighet att rapportera den till behörig myndighet. Rapporteringen ska ske enligt fastställda tidsramar och i flera steg, vanligtvis med en initial rapport, följd av uppdateringar och en slutrapport. Detta innebär att organisationen måste ha en beredskap att snabbt samla in relevant information och kommunicera den externt.

Det är viktigt att förstå att rapporteringsskyldigheten inte ersätter det interna ansvaret för hantering. Företaget ska parallellt med rapporteringen vidta åtgärder för att:

• begränsa skadan,
• återställa funktionalitet,
• kommunicera internt och externt,
• samt dokumentera händelseförloppet.

Efter en incident ska en strukturerad analys genomföras. Syftet är att identifiera bakomliggande orsaker, inte enbart de direkta utlösande faktorerna. Resultatet av denna analys ska sedan integreras i riskhanteringen, vilket innebär att incidenter blir en viktig källa till lärande och förbättring.

DORA innebär också att incidenthantering inte kan ses isolerat från övriga delar av systemet. Hur en incident hanteras ska kunna spåras tillbaka till:

• riskbedömningar,
• befintliga kontroller,
• testning av motståndskraft,
• och eventuella brister i leverantörsstyrning.

Detta innebär att återkommande eller allvarliga incidenter ofta signalerar strukturella svagheter i organisationens riskhantering, snarare än enskilda operativa fel.

I praktiken behöver företag därför säkerställa att:

• det finns en tydlig incidenthanteringsprocess,
• ansvarsfördelningen är klarlagd,
• rapporteringsrutiner är kända och testade,
• samt att organisationen kan agera snabbt även under press.

Sammanfattningsvis innebär DORA att incidentrapportering går från att vara en reaktiv efterhandsåtgärd till att bli en integrerad del av styrningen. Företag ska inte bara kunna hantera incidenter – de ska kunna visa att de lär sig av dem och systematiskt stärker sin motståndskraft.

DORA ställer tydliga krav på att finansiella företag inte bara ska anta att deras system och processer fungerar – de ska aktivt och regelbundet testa detta. Testning är därmed inte en kompletterande aktivitet, utan en central mekanism för att verifiera att den operativa motståndskraften faktiskt håller i praktiken.

Utgångspunkten är att varje företag ska ha ett strukturerat testprogram som är anpassat till verksamhetens storlek, komplexitet och riskprofil. Testningen ska omfatta både tekniska komponenter och organisatoriska förmågor. Det innebär att fokus inte enbart ligger på systemens funktionalitet, utan även på hur organisationen reagerar vid störningar.

I praktiken omfattar detta flera typer av tester. Det kan handla om sårbarhetsscanning, penetrationstester, scenariobaserade övningar och tester av kontinuitets- och återställningsförmåga. För mer komplexa eller systemkritiska verksamheter kan det även krävas avancerade tester, såsom så kallade threat-led penetration tests (TLPT), där realistiska angrepp simuleras utifrån aktuella hotbilder.

En viktig aspekt är att testningen ska vara riskbaserad. Det innebär att resurserna ska fokuseras på de delar av verksamheten som är mest kritiska eller mest exponerade. Affärskritiska system, centrala processer och beroenden till externa leverantörer ska prioriteras i testprogrammet.

Testning ska inte heller vara en isolerad aktivitet. Resultaten ska analyseras, dokumenteras och omsättas i konkreta åtgärder. Identifierade brister ska leda till förbättringar i såväl tekniska lösningar som processer och rutiner. På så sätt blir testningen en integrerad del av den kontinuerliga förbättringen.

DORA ställer även krav på regelbundenhet. Testning ska ske återkommande och med en frekvens som motsvarar risknivån. För vissa verksamheter innebär detta årliga tester av kritiska funktioner, medan andra kan behöva testa mer frekvent beroende på förändringstakt och hotbild.

En annan viktig dimension är organisatorisk beredskap. Tester ska inte enbart verifiera tekniska skydd, utan även:

• beslutsprocesser,
• kommunikation,
• ansvarsfördelning,
• och samverkan mellan olika funktioner.

Det innebär att exempelvis krisövningar och incidentövningar får en central roll. Organisationen ska kunna visa att den inte bara har planer, utan att dessa fungerar under realistiska förhållanden.

Vidare ska testningen även beakta beroenden till tredjepartsleverantörer. Om kritiska funktioner är outsourcade måste företaget säkerställa att även dessa delar omfattas av relevant testning, antingen genom egna aktiviteter eller genom kravställning på leverantören.

Sammanfattningsvis innebär DORA att testning går från att vara en teknisk kontrollåtgärd till att bli ett strategiskt verktyg. Genom systematisk och riskbaserad testning ska företaget kunna visa att dess digitala motståndskraft inte bara är dokumenterad – utan bevisad.

En av de mest praktiskt betydelsefulla delarna av DORA är regleringen av IKT-tredjepartsrisk. Förordningen utgår från en realitet: finansiella företag är i hög grad beroende av externa leverantörer för sin digitala infrastruktur. Detta gäller särskilt molntjänster, drift, systemplattformar och säkerhetslösningar. Samtidigt innebär dessa beroenden en koncentration av risk som i värsta fall kan få systempåverkan.

DORA innebär därför ett tydligt skifte från traditionell outsourcingreglering till en mer omfattande och strukturerad leverantörsstyrning. Det är inte tillräckligt att ingå ett avtal – företaget ska löpande kunna styra, övervaka och vid behov ingripa i relationen till sina IKT-leverantörer.

Utgångspunkten är att varje företag ska ha en fastställd strategi för hantering av IKT-tredjepartsrisk. Denna strategi ska vara en integrerad del av den övergripande riskhanteringen och tydligt ange hur leverantörer väljs, utvärderas, övervakas och – vid behov – avvecklas. Strategin ska även beakta koncentrationsrisker, det vill säga situationer där flera kritiska funktioner är beroende av en och samma leverantör.

I praktiken innebär detta att företaget måste ha en fullständig översikt över sina IKT-leverantörer. Det ska finnas ett aktuellt register över samtliga avtalsarrangemang som rör IKT-tjänster, med särskilt fokus på vilka funktioner som är kritiska eller viktiga. Denna kartläggning är en förutsättning för att kunna göra en meningsfull riskbedömning.

Innan en leverantör anlitas ska en strukturerad due diligence genomföras. Företaget ska bedöma leverantörens kapacitet, säkerhetsnivå, finansiella stabilitet och förmåga att leverera tjänsten på ett tillförlitligt sätt. Bedömningen ska vara riskbaserad – ju mer kritisk tjänsten är, desto mer omfattande ska granskningen vara.

Avtalen med leverantörer får en särskilt central roll i DORA. Förordningen ställer krav på att avtal ska innehålla tydliga bestämmelser om bland annat:

• tjänstens omfattning och kvalitet,
• säkerhetskrav,
• incidentrapportering,
• åtkomst till data,
• revisions- och inspektionsrätt,
• samt exit-strategier.

Detta innebär att många befintliga avtal i praktiken behöver ses över och i vissa fall omförhandlas.

Efter att avtalet ingåtts upphör inte ansvaret. Företaget ska löpande övervaka leverantörens prestation och säkerställa att tjänsten lever upp till ställda krav. Detta kan ske genom uppföljning av nyckeltal, revisioner, rapportering och regelbunden dialog. Om brister identifieras ska åtgärder vidtas.

En särskilt viktig aspekt är hanteringen av beroenden. Företag ska inte bara bedöma enskilda leverantörer, utan även förstå hur olika leverantörer samverkar och vilka risker som uppstår vid exempelvis avbrott, konkurs eller cyberincident hos en leverantör. Här blir kontinuitetsplanering och exit-strategier avgörande.

DORA ställer också krav på att företag ska kunna avsluta eller ersätta en leverantör utan att verksamheten äventyras. Detta innebär att exit-planering inte är en teoretisk övning, utan en praktisk nödvändighet. Alternativa lösningar, övergångsplaner och dataöverföring måste vara förberedda i förväg.

Sammanfattningsvis innebär DORA att leverantörsstyrning går från att vara en inköps- eller juridikfråga till att bli en central del av riskhanteringen. Företag måste ha kontroll över sina leverantörer på ett helt annat sätt än tidigare – både före, under och efter avtalsrelationen.

DORA innebär inte bara skärpta krav på hur finansiella företag ska hantera sina leverantörer – den introducerar även en helt ny tillsynsstruktur för vissa IKT-tredjepartsleverantörer på EU-nivå. Detta markerar ett principiellt skifte i regleringen, där även aktörer utanför den finansiella sektorn kan bli föremål för direkt regulatorisk granskning.

Bakgrunden är att vissa leverantörer, särskilt inom molntjänster och kritisk IT-infrastruktur, har en sådan central roll att deras funktion är avgörande för stora delar av finanssektorn. Ett avbrott eller en säkerhetsincident hos en sådan leverantör kan få systemövergripande konsekvenser. DORA adresserar detta genom att införa begreppet kritiska IKT-tredjepartsleverantörer.

Klassificeringen av en leverantör som kritisk sker genom en EU-gemensam bedömning, där hänsyn tas till faktorer som:

• hur många finansiella företag som är beroende av leverantören,
• vilka funktioner leverantören tillhandahåller,
• graden av substituerbarhet,
• samt den potentiella systempåverkan vid störningar.

Leverantörer som klassificeras som kritiska omfattas av en särskild tillsynsram. Det innebär att de blir föremål för övervakning av utsedda europeiska tillsynsmyndigheter, ofta i samverkan med nationella myndigheter. Tillsynen kan omfatta granskning av säkerhetsåtgärder, riskhantering, incidenthantering och operativ motståndskraft. För de finansiella företagen innebär detta flera saker.

För det första förändras relationen till vissa leverantörer. När en leverantör står under EU-tillsyn innebär det att det finns en extern kontrollmekanism, men det befriar inte det finansiella företaget från ansvar. Företaget måste fortfarande säkerställa att leverantören uppfyller DORA:s krav i den egna verksamheten.

För det andra kan tillsynen få direkta konsekvenser för avtalsrelationer. Rekommendationer eller krav från tillsynsmyndigheter kan påverka hur tjänster levereras, vilka säkerhetsåtgärder som krävs eller hur risker ska hanteras. Företag behöver därför ha flexibilitet i sina avtal för att kunna anpassa sig till regulatoriska förändringar.

För det tredje innebär detta att beroenden till enskilda leverantörer blir ännu mer strategiska. Om en leverantör klassificeras som kritisk är det ett tydligt tecken på att beroendet är betydande – vilket i sin tur ställer högre krav på intern riskhantering, uppföljning och exit-planering.

En viktig konsekvens av DORA är också att tillsynen över tredjepartsrisker delvis lyfts från enskilda företag till en mer centraliserad nivå. Detta skapar förutsättningar för en mer enhetlig bedömning av risker i sektorn, men innebär samtidigt att företag behöver förhålla sig till både nationella och europeiska tillsynsprocesser.

Sammanfattningsvis innebär DORA att vissa IKT-leverantörer går från att vara rena avtalsmotparter till att bli aktörer i ett regulatoriskt ekosystem. För finansiella företag innebär detta att leverantörsstyrning inte bara handlar om avtal och uppföljning, utan också om att förstå och hantera en ny typ av tillsynsrelation.

Även om DORA är ett omfattande och i många delar detaljerat regelverk är det inte utformat som ett “one size fits all”-system. Förordningen bygger i stället på en tydlig proportionalitetsprincip, där kraven ska tillämpas med hänsyn till verksamhetens storlek, komplexitet, verksamhetstyp och riskexponering.

Detta är en avgörande utgångspunkt i praktiken. DORA ställer höga krav, men det är inte avsikten att mindre eller mindre komplexa aktörer ska implementera samma nivå av struktur, testning och dokumentation som stora systemkritiska institut. Samtidigt innebär proportionalitet inte att vissa aktörer står utanför regelverket – utan att kraven anpassas i omfattning och djup.

För mindre företag, och i vissa fall mikroföretag, kan detta innebära att kraven på exempelvis testning, dokumentation och formalisering är mindre omfattande. I stället för avancerade testprogram eller omfattande styrdokument kan det vara tillräckligt med enklare, men väl fungerande och dokumenterade processer. Det avgörande är att kraven uppfylls i sak – inte att de uppfylls genom en viss form.

Samtidigt finns det vissa uttryckliga undantag och särregleringar i DORA. Dessa gäller främst specifika typer av verksamheter eller situationer där full tillämpning av regelverket inte anses proportionerlig. Det kan exempelvis handla om begränsningar i vilka krav som gäller för vissa mindre aktörer, eller hur detaljerat vissa processer behöver vara utformade.

En viktig aspekt är dock att proportionalitet inte får användas som en ursäkt för att underimplementera. Tillsynsmyndigheter kommer i praktiken att göra en helhetsbedömning av om företagets åtgärder står i rimlig proportion till riskerna i verksamheten. Ett mindre företag med hög digital exponering kan därför behöva uppfylla relativt långtgående krav, medan ett större företag med enklare struktur i vissa delar kan ha en mer begränsad implementering.

Det innebär att företag behöver göra en egen, strukturerad bedömning av:

• sin storlek och organisatoriska komplexitet,
• vilka IKT-risker verksamheten faktiskt är exponerad för,
• hur kritiska de digitala funktionerna är,
• samt vilka konsekvenser ett avbrott skulle få.

Denna bedömning bör dokumenteras, eftersom den i praktiken utgör grunden för hur DORA implementeras i verksamheten. Vid tillsyn kommer det ofta vara just denna avvägning som granskas: varför har företaget valt en viss nivå av kontroll, testning eller dokumentation?

En ytterligare aspekt är att proportionalitet inte är statisk. Om verksamheten förändras – exempelvis genom tillväxt, nya produkter, ökad digitalisering eller förändrade leverantörsberoenden – måste även tillämpningen av DORA justeras. Det som varit en proportionerlig nivå av kontroll vid ett tillfälle kan bli otillräckligt vid ett senare.

Sammanfattningsvis innebär DORA:s proportionalitetsprincip att regelverket ger ett visst utrymme för anpassning, men samtidigt ställer krav på genomtänkta och motiverade beslut. Företag behöver kunna visa att de inte bara följer reglerna – utan att de gör det på ett sätt som är rimligt i förhållande till den faktiska riskbilden.

Att implementera DORA i praktiken handlar i mindre utsträckning om att skapa nya dokument, och i större utsträckning om att bygga ett fungerande system där styrning, teknik och verksamhet hänger ihop. För många företag innebär detta en vidareutveckling av befintliga strukturer – men med högre krav på systematik, spårbarhet och ledningsförankring.

En naturlig utgångspunkt är att skapa en tydlig nulägesbild. Företaget behöver identifiera vilka delar av verksamheten som redan uppfyller DORA:s krav och var det finns brister. Detta omfattar inte bara IT-funktioner, utan även styrning, rapportering, leverantörsrelationer och incidenthantering. I praktiken innebär detta ofta en form av GAP-analys, där befintliga processer jämförs med DORA:s struktur.

Därefter behöver företaget etablera eller justera sitt ramverk för IKT-riskhantering. Här är det centralt att inte bygga parallella strukturer, utan att integrera DORA i befintliga styrmodeller. Riskhantering, intern kontroll, compliance och IT-styrning bör samverka inom en gemensam struktur, där roller och ansvar är tydligt definierade.

En viktig del av implementeringen är att skapa en fungerande styrkedja från ledning till operativ verksamhet. Ledningen ska fastställa ramar och riskaptit, men dessa måste brytas ned till konkreta processer, kontroller och aktiviteter i organisationen. Det ska vara tydligt hur strategiska beslut omsätts i praktiken.

Leverantörsstyrningen är ofta ett av de områden som kräver mest arbete. Företag behöver inventera sina IKT-leverantörer, klassificera vilka som är kritiska och säkerställa att avtal, uppföljning och riskbedömning uppfyller DORA:s krav. I många fall innebär detta att befintliga avtal behöver uppdateras och att nya rutiner för uppföljning införs.

Incidenthantering och rapportering måste också formaliseras. Det ska finnas tydliga processer för hur incidenter identifieras, klassificeras och rapporteras – både internt och externt. Detta kräver inte bara dokumenterade rutiner, utan även utbildning och praktisk övning så att organisationen kan agera snabbt vid en faktisk händelse.

Testning är ett annat område där implementeringen behöver konkretiseras. Företaget ska fastställa ett testprogram som är anpassat till verksamheten och säkerställa att tester genomförs, dokumenteras och följs upp. Resultaten ska användas för att förbättra både teknik och processer.

En avgörande faktor för en lyckad implementering är dokumentationens kvalitet. Dokumentationen ska inte vara omfattande för sin egen skull, utan funktionell. Den ska göra det möjligt att förstå hur systemet är uppbyggt, hur beslut fattas och hur kontroller fungerar. Vid tillsyn är det just denna spårbarhet som prövas.

Slutligen behöver DORA integreras i det löpande förbättringsarbetet. Regelverket är inte statiskt, och verksamheten förändras över tid. Nya risker, nya teknologier och nya affärsmodeller innebär att systemet kontinuerligt måste utvecklas. Incidenter, tester och uppföljningar ska därför aktivt användas för att stärka motståndskraften.

Sammanfattningsvis handlar implementeringen av DORA om att gå från fragmenterade IT- och riskinitiativ till ett sammanhållet och ledningsstyrt system. Företag som lyckas med detta kommer inte bara uppfylla regelverket, utan även stärka sin operativa stabilitet och minska sin sårbarhet i en allt mer digitaliserad verksamhet.

DORA är inte enbart ett ramverk för intern styrning – det är ett tillsynsdrivet regelverk med tydliga konsekvenser vid bristande efterlevnad. För att förstå dess praktiska betydelse behöver företag därför inte bara fokusera på vad som ska göras, utan också på hur kraven kommer att granskas och vilka risker som uppstår vid avvikelser.

Tillsynen över DORA utövas i första hand av nationella behöriga myndigheter, i Sverige exempelvis Finansinspektionen, men sker inom en samordnad europeisk struktur. De europeiska tillsynsmyndigheterna (EBA, ESMA och EIOPA) har en central roll i att utveckla tekniska standarder, samordna tillsynen och – i fråga om kritiska tredjepartsleverantörer – utöva direkt övervakning.

I praktiken innebär detta att tillsynen blir mer enhetlig och mer förutsebar, men också mer strukturerad och djupgående. Myndigheter kommer inte enbart att kontrollera om dokument finns, utan hur väl systemen fungerar i praktiken. Fokus ligger på spårbarhet, styrning och faktisk tillämpning. Vid en tillsyn kommer myndigheten typiskt att granska:

• hur ledningen utövar sitt ansvar,
• hur IKT-riskhanteringen är uppbyggd och tillämpas,
• hur incidenter hanteras och rapporteras,
• hur testning genomförs och följs upp,
• samt hur tredjepartsrisker styrs.

Det är i denna helhetsbedömning som brister identifieras. Isolerade avvikelser kan accepteras om systemet i övrigt fungerar, men återkommande eller strukturella brister signalerar att ramverket inte är effektivt.

Sanktionssystemet inom DORA är kopplat till den bredare finansiella tillsynen. Det innebär att sanktioner kan bestå av administrativa avgifter, förelägganden, verksamhetsbegränsningar eller andra tillsynsåtgärder. I allvarliga fall kan brister även få konsekvenser för tillstånd eller ledningens lämplighetsbedömning. Det är dock viktigt att förstå att den regulatoriska risken bara är en del av bilden. Minst lika betydande är de affärsmässiga riskerna. En bristande digital operativ motståndskraft kan leda till:

• avbrott i verksamheten,
• förlorade kundrelationer,
• skadat förtroende,
• samt direkta ekonomiska förluster.

I en sektor där tillit är central kan en allvarlig incident få långsiktiga konsekvenser som sträcker sig långt bortom den initiala händelsen. DORA ska i detta perspektiv inte enbart ses som ett compliancekrav, utan som ett verktyg för att skydda verksamhetens stabilitet och marknadsposition.

Vidare innebär DORA att tillsynen i större utsträckning kommer att fokusera på beroenden och systemrisker. Företag som är starkt beroende av enskilda leverantörer eller som saknar redundans i kritiska funktioner kan därför bli föremål för särskild uppmärksamhet.