Vad är DORA?
EU:s digitala härdighetstest för finansbranschen. Inte utforskaren – utan reglerna som ser till att banker och fintech inte kraschar när it:n krånglar.
DORA står för "Digital Operational Resilience Act" – en EU-förordning (en EU-lag som gäller direkt i alla medlemsländer utan att först översättas till svensk lag) för finanssektorn. Ordet "resilience" betyder motståndskraft, alltså förmågan att stå kvar på benen när något går sönder. Tänk dig ett stresstest, fast för it-systemen istället för för ekonomin.
Bakgrunden är enkel: banker, försäkringsbolag och betaltjänster är i praktiken it-företag numera. Om deras system ligger nere kan du inte betala, ta ut pengar eller köra din verksamhet. DORA säger att finansföretag måste kunna motstå, hantera och återhämta sig från it-störningar och cyberattacker – inte bara hoppas att det aldrig händer.
DORA ställer krav på riskhantering, testning, incidentrapportering och koll på tredjepartsleverantörer (till exempel molntjänster och it-konsulter). Just den sista biten är intressant: även om du inte är en bank kan du omfattas om du levererar kritiska it-tjänster till finanssektorn.
Varför är DORA viktigt för ditt företag?
Är du i finansbranschen är DORA inte valfritt – det är lag. Men även om du är en teknikleverantör som säljer till banker eller fintech kan dina kunder kräva att du uppfyller DORA:s krav, eftersom du blir en del av deras riskkedja.
Fördelen med att jobba resilient är att din verksamhet blir mer pålitlig. Kunder litar på företag som inte plötsligt slutar fungera, och det är en konkurrensfördel att kunna säga "vi står kvar även när det stormar".
DORA i praktiken
Tänk dig en svensk fintech som erbjuder en betalapp. Med DORA måste de regelbundet testa hur systemet klarar en attack, ha en tydlig plan för vad som händer om deras molnleverantör ligger nere, och snabbt rapportera allvarliga it-incidenter till Finansinspektionen.
Är du istället it-byrån som byggt appen, kan du få frågan: Hur säkerställer ni att er del inte blir den svaga länken? Att ha ordnade rutiner, säkerhetskopior och en incidentplan gör dig till en leverantör som finansföretag vågar satsa på.
Vanliga frågor om DORA
Vad betyder DORA?
DORA (Digital Operational Resilience Act) är en EU-förordning som kräver att finansföretag kan motstå, hantera och återhämta sig från it-störningar och cyberattacker. Målet är att finanssektorn inte ska kollapsa när tekniken krånglar.
Vilka omfattas av DORA?
DORA gäller banker, försäkringsbolag, betaltjänster och andra finansföretag inom EU. Även kritiska it- och molnleverantörer till finanssektorn kan omfattas av kraven.
Vad är skillnaden mellan DORA och NIS2?
DORA är specialregler för finanssektorn, medan NIS2 är bredare och täcker många samhällsviktiga branscher. För finansföretag går DORA i regel före som mer specifik lag.
Relaterade termer
OWASP Top 10
Listan över de 10 farligaste säkerhetshoten mot webbappar. Vi kollar mot listan i varje projekt.
Pen-test
Penetrationstest. Etiska hackare försöker bryta sig in i din app — innan de elaka gör det. Hittar svagheter du inte visste fanns.
2FA / MFA
Tvåfaktor- eller flerfaktorsautentisering. Lösenord + sms-kod / app. Stoppar 99% av kontostölder. Slå på det. Nu.
Zero Trust
Säkerhetsmodell där inget — inte ens interna nätverk — litas på automatiskt. Alla verifieras hela tiden.
End-to-End-kryptering
Data krypteras hos avsändaren och dekrypteras först hos mottagaren. Mellanhänder ser bara obegriplig text.
NIS2
EU:s nya cybersäkerhetsregler som säger "skärp er, annars". Tvingar tusentals företag att ta säkerhet på allvar – med böter som väckarklocka.