FÖRORDNING (EU) 2022/2554 - GÄLLER SEDAN 17 JANUARI 2025

Er DORA-efterlevnad,
dokumenterad och försvarbar

EU-förordningen om digital operativ motståndskraft för finanssektorn (DORA) kräver av finansiella enheter - och i förlängningen av deras IKT-leverantörer - ett fullständigt register över avtal, exakta avtalsklausuler och daterade revisionsbevis. SYAGA DORA-Express hjälper er att uppfylla dessa krav utan att improvisera, oavsett om ni är en finansiell enhet eller en leverantör.

17/01
Gäller sedan 2025
21
Kategorier av berörda enheter (art. 2)
4h
Anmälningstid för en större incident
19
Redan utsedda kritiska IKT-leverantörer

Den rättsliga bakgrunden

DORA är en förordning, inte ett direktiv: den gäller direkt i alla medlemsstater, utan att man behöver invänta någon nationell införlivandelag.

DORA gäller direkt sedan den 17 januari 2025

Förordning (EU) 2022/2554 av den 14 december 2022, publicerad i EU:s officiella tidning den 27 december 2022, trädde i kraft den 16 januari 2023 och har tillämpats sedan den 17 januari 2025. Ingen nationell införlivandelag krävs: den är direkt gällande.

📋

Ett fullständigt IKT-register krävs (art. 28.3)

Varje finansiell enhet måste föra och årligen överlämna till myndigheterna ett fullständigt register över sina IKT-avtal: leverantör, typ av tjänst, funktionens kriticitet, land där uppgifterna lagras.

📄

Era avtal måste innehålla exakta klausuler (art. 30)

Rätt till revision och inspektion, garantier för tillgänglighet och dataintegritet, testade avvecklingsplaner, incidentanmälan utan dröjsmål. Dessa klausuler förs vidare från er finansiella kund till er om ni är dess IKT-leverantör.

📧

Due diligence-frågeformuläret ligger redan i er inkorg

Innan ett avtal tecknas eller förnyas skickar en bank, ett försäkringsbolag eller en investerare ett cybersäkerhetsfrågeformulär (styrning, MFA, EDR, kryptering, medvetandehöjning). Att besvara det utan dokumenterade bevis kostar er avtalet.

Utlösaren den 18 november 2025

Era molnleverantörer har just officiellt utsetts till «kritiska»

Den 18-19 november 2025 publicerade de europeiska tillsynsmyndigheterna (EBA, ESMA, EIOPA) den första officiella listan över kritiska IKT-leverantörer enligt artikel 32 i DORA. Bland de namn som bekräftats i de officiella pressmeddelandena: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (samt 14 andra leverantörer som inte namngivits i våra källor).

Konkret konsekvens: om era kritiska tjänster bygger på en av dessa leverantörer måste er finansiella kund nu dokumentera detta i sitt IKT-register - och kan komma att ställa frågor om er egen underleverantörskedja.

Källa: officiella pressmeddelanden från EIOPA och ESMA, 18-19 november 2025 (eiopa.europa.eu, esma.europa.eu).

Vårt svar: DORA-Express

Ett strukturerat stöd i 5 steg för att dokumentera er efterlevnad - utan att lova något som varken ett verktyg eller en konsultbyrå kan certifiera åt er.

1
Steg 1 - Kvalificering

Vi identifierar er verkliga exponering

Är ni en finansiell enhet som direkt omfattas (en av de 21 kategorierna i artikel 2), eller en IKT-leverantör som berörs indirekt via era finansiella kunders avtalsklausuler (artikel 30)? Den exakta omfattningen avgör allt det övriga.

2
Steg 2 - Due diligence

Svar på ert cybersäkerhetsfrågeformulär

Vi besvarar ert due diligence-frågeformulär från bank, investerare eller försäkringsbolag (styrning, MFA, EDR, kryptering, medvetandehöjning...) med stöd av en teknisk revision av er Microsoft 365-tenant som daterat och verifierbart bevis.

3
Steg 3 - Register och avtal

IKT-register och klausuler enligt artikel 30

Vi hjälper er att strukturera ert register över IKT-avtal (art. 28.3) och att kontrollera eller föra in de minimi- och förstärkta avtalsklausuler som krävs enligt artikel 30 i era leverantörsavtal.

4
Steg 4 - Kontinuitet och motståndskraft

Katastrofplan/kontinuitetsplan, branschprofil Finans

Vår PRA/PCA Suite (katastrof- och kontinuitetsplanering) erbjuder en branschprofil för Finans (DORA, PSD2, ACPR) som täcker kraven på tester av operativ motståndskraft i kapitel IV i DORA, i linje med ISO 22301.

5
Steg 5 - Överlämning

Ett dokumenterat efterlevnadsunderlag

Överlämning till er ledning, er säkerhetschef (CISO) eller er ekonomichef av ett sammanställt underlag, med exakta punkter som er juridiska rådgivare ska ta ställning till innan någon kommunikation sker med myndigheterna.

Vad ni får

Konkreta, källbelagda leveranser, utan löften om certifiering som ingen kan garantera

📝

Svar på cyber due diligence

10 typiska due diligence-frågor från bank/M&A, dokumenterade och källbelagda (ILPA DDQ, CSA CAIQ, cyberförsäkringsbolagens frågeformulär).

  • Säkerhetspolicy/erkänt ramverk
  • MFA, minsta privilegium, privilegierade konton
  • M365-licens, EDR/threat hunting
  • Föråldrade protokoll, diskkryptering
  • Medvetandehöjande program
📄

DORA-referensblad

Källbelagd sammanfattning av förordning (EU) 2022/2554.

  • Omfattning: 21 kategorier av enheter (art. 2)
  • 5 skyldighetsområden
  • Anmälningstider (4 tim / 72 tim / 1 månad)
  • Koppling till NIS2 (lex specialis)
📋

IKT-register (mall art. 28.3)

Struktur för det fullständiga register som myndigheterna kräver.

  • Leverantör och typ av tjänst
  • Kriticitet för den understödda funktionen
  • Land där uppgifterna lagras
  • Format klart för årlig överlämning
🔐

Avtalsklausuler (mall art. 30)

Att föra in i eller kontrollera i era IKT-leverantörsavtal.

  • Minimiklausuler (alla avtal)
  • Förstärkta klausuler (kritiska funktioner)
  • Rätt till revision och inspektion
  • Avvecklingsplaner och datautvinningsbarhet
🏗

Katastrof-/kontinuitetsplan, profil Finans

Kontinuitets- och återställningsplan, dedikerad branschprofil.

  • Täckning av kapitel IV i DORA (motståndskraftstester)
  • I linje med ISO 22301
  • Branschprofil DORA/PSD2/ACPR
  • Hämtad från vår befintliga PRA/PCA Suite
💾

Dokumenterat efterlevnadsunderlag

PDF- och DOCX-format, som sammanställer samtliga leveranser.

  • Klart för er ledning/CISO/ekonomichef
  • Punkter som er advokat ska godkänna, tydligt markerade
  • Underlag för er dialog med ACPR/AMF
  • Redigerbart för årlig uppdatering

Ett exempel: due diligence-frågeformuläret från bank

Utdrag ur de 10 frågor vi dokumenterar åt er, med källan till varje fråga

Tema Fråga Källa
Styrning Bygger er säkerhetspolicy på ett erkänt ramverk (NIST, ISO 27001)? ILPA DDQ 2.0
Extern revision Genomför ni en oberoende årlig revision och penetrationstester? CSA CAIQ v4
Incidentplan Finns det en formell, dokumenterad och underhållen incidenthanteringsplan? CSA CAIQ v4 / ILPA DDQ 2.0
MFA För vilka tjänster kräver ni multifaktorautentisering? Travelers - MFA Supplement
Privilegierade konton Följer åtkomsten principen om minsta privilegium, med regelbunden översyn? CSA CAIQ v4 IAM
E-post Vilken M365-licens använder ni? Är Defender/avancerad threat hunting aktiverat? vCSO.ai Cyber DD Checklist
Kryptering Är enheternas diskar fullständigt krypterade? Google VSAQ
Utbildning Finns ett säkerhetsmedvetandeprogram för samtliga medarbetare? CSA CAIQ v4 HRS

Texter och ramverk som täcks

Varje leverans anger tydligt vad den täcker - och vad den inte täcker

DO

DORA (Förordning EU 2022/2554)

IKT-register (art. 28), avtalsklausuler (art. 30), anmälningstider (art. 19), hänvisning till utsedda kritiska IKT-leverantörer (art. 32).

N2

NIS2 - koppling till DORA

DORA utgör en lex specialis i förhållande till NIS2 för finanssektorn: de berörda enheterna tillämpar DORA i stället för motsvarande NIS2-åtgärder.

ISO

ISO 22301 - verksamhetskontinuitet

PRA/PCA-profilen för Finans är i linje med ISO 22301, ett ramverk för kontinuitetshantering som används som komplement till DORA.

RG

GDPR - separat anmälan

DORA:s incidentanmälan (till ACPR/AMF) är separat från GDPR-anmälan (till CNIL) vid en personuppgiftsincident: båda kan krävas samtidigt.

Ett stöd anpassat efter er situation

Varje DORA-ärende är olika beroende på er status - personlig offert i samtliga fall

IKT-leverantör

Ni tillhandahåller tjänster till en eller flera finansiella enheter

Offert
beroende på omfattning
  • Svar på cyber due diligence
  • IKT-register från leverantörssidan
  • Genomgång av klausuler enligt artikel 30
  • Dokumenterat underlag klart att skicka
Begär en offert

Årlig uppföljning

Regelbunden uppdatering av underlaget (skyldigheter, avtal, register)

Offert
återkommande
  • Uppdatering av IKT-registret
  • Årlig genomgång av avtalsklausuler
  • Bevakning av utsedda kritiska leverantörer
  • Stöd vid era kunders due diligence
Begär en offert

Vanliga frågor

Är mitt företag en finansiell enhet som omfattas av DORA?
Artikel 2 i DORA listar 21 kategorier av finansiella enheter: kreditinstitut och betalningsinstitut, värdepappersföretag, MiCA-auktoriserade kryptotillgångsleverantörer, försäkring och återförsäkring, fondförvaltning, kreditvärderingsinstitut, med flera. Mikroföretag (färre än 10 anställda, omsättning eller balansomslutning under 2 miljoner euro) omfattas av en proportionalitetsprincip för vissa skyldigheter, men undantas inte helt. Ska kontrolleras från fall till fall med juridisk rådgivning.
Jag är inte en bank, varför berörs jag ändå av DORA?
Om ni tillhandahåller IKT-tjänster (IT, moln, programvara, hosting) till en finansiell enhet kräver artikel 30 att er kund registrerar er i sitt register och avtalsmässigt inför exakta klausuler gentemot er: revisionsrätt, incidentanmälan utan dröjsmål, avvecklingsplaner. Dessa skyldigheter går via er kunds avtal, inte via en direkt tillsyn från myndigheten - såvida ni inte själva har utsetts till kritisk IKT-leverantör (artikel 31).
Vilka är anmälningstiderna för en större IKT-incident?
Artikel 19: initial anmälan inom 4 timmar efter klassificeringen som en större incident (senast 24 timmar efter upptäckten), en mellanliggande rapport inom 72 timmar, och en slutrapport inom 1 månad. Dessa anmälningar är separata från en eventuell GDPR-anmälan till CNIL vid en personuppgiftsincident.
Vad är en «kritisk IKT-leverantör»?
Det är leverantörer som uttryckligen utsetts av de europeiska tillsynsmyndigheterna (EBA, ESMA, EIOPA) enligt kriterier om systemisk påverkan, utbytbarhet och beroende (artikel 31). Den första officiella listan, publicerad den 18-19 november 2025, omfattar 19 leverantörer. De omfattas av direkt tillsyn (inspektioner, utökad rapportering); övriga IKT-leverantörer regleras enbart via sina finansiella kunders avtalsklausuler.
Ersätter DORA NIS2 för min bransch?
Ja, för finansiella enheter enligt artikel 2: DORA utgör en lex specialis i förhållande till NIS2 för finanssektorn. De 21 berörda kategorierna tillämpar DORA i stället för motsvarande NIS2-åtgärder för riskhantering och incidentanmälan.
Utgör denna tjänst juridisk rådgivning?
Nej. DORA-Express är ett dokumentationsstöd, inte juridisk rådgivning. Exakt huruvida er organisation omfattas av DORA och om era avtal är juridiskt förenliga måste bekräftas av en specialiserad advokat innan något bindande beslut fattas.

Redo att dokumentera er DORA-efterlevnad?

Kontakta oss för att få en personlig offert utifrån er status (finansiell enhet eller IKT-leverantör).

DORA-Express är ett dokumentationsstöd och utgör inte juridisk rådgivning. Huruvida er organisation omfattas av DORA samt den juridiska giltigheten av era avtal och register måste bekräftas av en specialiserad advokat.

Regelbevakning - officiella källor

DORA förklarat enkelt, utan juridisk jargong. Varje punkt nedan länkar till den officiella text som bekräftar den.

Vem berörs?

DORA gäller för europeiska finansiella aktörer: banker, försäkringsbolag, investeringsbolag, marknadsplatser, fondförvaltare, betaltjänstleverantörer... samt deras IT-leverantörer. De allra minsta aktörerna omfattas av lättare regler.

officiell källa (EUR-Lex) ↗

Vad DORA konkret kräver av er

Förordningen täcker 6 huvudområden: hantering av IT-risker, övervakning av era externa leverantörer, regelbundna motståndskraftstester, rapportering av allvarliga incidenter, delning av hotinformation, och tillsyn av de största IT-leverantörerna.

officiell källa (EIOPA) ↗

Viktiga datum att komma ihåg

Texten antogs den 14 december 2022, publicerades i EU:s officiella tidning den 27 december 2022 (EUT L 333). Trädde i kraft den 16 januari 2023. Skyldigheterna har faktiskt gällt sedan den 17 januari 2025.

källa EUR-Lex ↗ · källa ESMA ↗

Era IT-leverantörer övervakas också

De största IT-leverantörerna (moln, hosting...) som bedöms vara «kritiska» för finanssektorn kontrolleras nu direkt på europeisk nivå, med en ledande tillsynsmyndighet som kan ålägga dem åtgärder.

officiell källa (EIOPA) ↗

En äntligen harmoniserad incidentrapportering

Före DORA hade varje EU-land sina egna regler för att anmäla en allvarlig IT-incident. Nu gäller ett gemensamt europeiskt förfarande: större incidenter anmäls direkt till de behöriga myndigheterna.

källa EUR-Lex ↗

Och sanktionerna?

Texten föreskriver att myndigheterna offentliggör de administrativa sanktioner de beslutar om. De exakta bötesbeloppen är inte fastställda i de källor som konsulterats hittills - att bekräftas i takt med officiella förtydliganden.

källa EUR-Lex (skäl 97) ↗