DORA-regelverket började gälla den 17 januari 2025 och utgör EU:s gemensamma regelverk för digital operativ motståndskraft inom finanssektorn. Regelverket infördes mot bakgrund av ett ökat beroende av digitala system, växande cyberhot och en alltmer komplex användning av externa IT-tjänster.
Den riskbild som låg till grund för införandet av DORA är också något som FI uppmärksammar i sin rapport. Myndigheten framhåller att operativa risker har blivit en allt viktigare stabilitetsfråga i takt med att det finansiella systemet blivit alltmer digitaliserat. Den snabba teknikutvecklingen, inte minst inom artificiell intelligens, skapar både nya möjligheter och nya sårbarheter. Samtidigt har det försämrade säkerhetspolitiska läget och ökade cyberhot bidragit till att sannolikheten för IT-relaterade incidenter ökat. FI lyfter särskilt fram finanssektorns beroende av externa IT-leverantörer och de risker som följer av koncentration till ett begränsat antal leverantörer, där störningar kan få spridningseffekter som påverkar flera aktörer samtidigt.
Mot denna bakgrund genomförde FI under 2025 och 2026 en fördjupad analys av hur finansiella företag har anpassat sig till DORA-regelverket. Analysen baserades på självskattningar från 50 företag, däribland banker, försäkringsbolag, betalningsinstitut och handelsplattformar, och omfattade bland annat företagens arbete med IKT-riskhantering, incidenthantering, kontinuitetsplanering, testning av IT-miljöer samt hantering av IKT-relaterade tredjepartsrisker.
När det gäller resultaten av analysen konstaterar FI att många företag har etablerat grundläggande processer och strukturer för IKT-riskhantering. Samtidigt identifierar myndigheten flera områden där utvecklingsbehov kvarstår, exempelvis genom att det saknas dokumenterade, sammanhållna och implementerade ramverk för IKT-riskhantering.
FI pekar även på brister inom incidenthantering, testning och kontinuitetsarbete. Analysen visar att flera företag saknar heltäckande kontinuitets-, kris- och återställningsplaner samt fullständig kartläggning och dokumentation av verksamhetens IKT-tillgångar. Enligt FI riskerar sådana brister att begränsa företagens förmåga att upptäcka, hantera och återhämta sig från störningar i IT-miljön, särskilt i verksamheter med komplexa IT-strukturer.
Även inom området tredjepartsrisker ser FI behov av ytterligare utveckling. Trots att många företag har etablerat grundläggande strukturer för att hantera IKT-relaterade tredjepartsrisker anser myndigheten att företagen behöver stärka den löpande uppföljningen, styrningen och dokumentationen av sina IKT-avtal genom hela avtalslivscykeln. FI lyfter dessutom fram behovet av bättre beredskapsåtgärder för situationer där kritiska tredjepartsleverantörer drabbas av störningar eller avbrott.
FI:s samlade bedömning är att företagens IKT-riskhantering i flera fall ännu inte uppnår den proaktivitet som DORA-regelverket förutsätter. Myndigheten betonar vikten av tydlig ansvarsfördelning, heltäckande dokumentation och regelbunden verifiering av att processer och kontroller fungerar i praktiken. FI anger också att resultaten från analysen kan komma att följas upp genom riktade tillsynsundersökningar av enskilda företag.
Magnussons kommentar
FI:s analys av företagens implementering av DORA visar att många företag har etablerat grundläggande processer och strukturer, men att det fortfarande finns utvecklingsbehov inom flera centrala områden. Särskilt framträder behovet av stärkt IKT-riskhantering, kontinuitetsplanering och hantering av tredjepartsrisker. Som FI framhåller i rapporten är en hög motståndskraft i företagens IT-miljöer en grundläggande förutsättning för både den finansiella stabiliteten och Sveriges nationella säkerhet. Rapporten ger därmed en tydlig indikation på vilka områden som sannolikt kommer att stå i fokus för FI:s fortsatta tillsyn.
Läs hela rapporten här