EU-förordningen om digital operativ motståndskraft för finanssektorn (DORA) kräver av finansiella enheter - och i förlängningen av deras IKT-leverantörer - ett fullständigt register över avtal, exakta avtalsklausuler och daterade revisionsbevis. SYAGA DORA-Express hjälper er att uppfylla dessa krav utan att improvisera, oavsett om ni är en finansiell enhet eller en leverantör.
DORA är en förordning, inte ett direktiv: den gäller direkt i alla medlemsstater, utan att man behöver invänta någon nationell införlivandelag.
Förordning (EU) 2022/2554 av den 14 december 2022, publicerad i EU:s officiella tidning den 27 december 2022, trädde i kraft den 16 januari 2023 och har tillämpats sedan den 17 januari 2025. Ingen nationell införlivandelag krävs: den är direkt gällande.
Varje finansiell enhet måste föra och årligen överlämna till myndigheterna ett fullständigt register över sina IKT-avtal: leverantör, typ av tjänst, funktionens kriticitet, land där uppgifterna lagras.
Rätt till revision och inspektion, garantier för tillgänglighet och dataintegritet, testade avvecklingsplaner, incidentanmälan utan dröjsmål. Dessa klausuler förs vidare från er finansiella kund till er om ni är dess IKT-leverantör.
Innan ett avtal tecknas eller förnyas skickar en bank, ett försäkringsbolag eller en investerare ett cybersäkerhetsfrågeformulär (styrning, MFA, EDR, kryptering, medvetandehöjning). Att besvara det utan dokumenterade bevis kostar er avtalet.
Den 18-19 november 2025 publicerade de europeiska tillsynsmyndigheterna (EBA, ESMA, EIOPA) den första officiella listan över kritiska IKT-leverantörer enligt artikel 32 i DORA. Bland de namn som bekräftats i de officiella pressmeddelandena: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (samt 14 andra leverantörer som inte namngivits i våra källor).
Konkret konsekvens: om era kritiska tjänster bygger på en av dessa leverantörer måste er finansiella kund nu dokumentera detta i sitt IKT-register - och kan komma att ställa frågor om er egen underleverantörskedja.
Källa: officiella pressmeddelanden från EIOPA och ESMA, 18-19 november 2025 (eiopa.europa.eu, esma.europa.eu).
Ett strukturerat stöd i 5 steg för att dokumentera er efterlevnad - utan att lova något som varken ett verktyg eller en konsultbyrå kan certifiera åt er.
Är ni en finansiell enhet som direkt omfattas (en av de 21 kategorierna i artikel 2), eller en IKT-leverantör som berörs indirekt via era finansiella kunders avtalsklausuler (artikel 30)? Den exakta omfattningen avgör allt det övriga.
Vi besvarar ert due diligence-frågeformulär från bank, investerare eller försäkringsbolag (styrning, MFA, EDR, kryptering, medvetandehöjning...) med stöd av en teknisk revision av er Microsoft 365-tenant som daterat och verifierbart bevis.
Vi hjälper er att strukturera ert register över IKT-avtal (art. 28.3) och att kontrollera eller föra in de minimi- och förstärkta avtalsklausuler som krävs enligt artikel 30 i era leverantörsavtal.
Vår PRA/PCA Suite (katastrof- och kontinuitetsplanering) erbjuder en branschprofil för Finans (DORA, PSD2, ACPR) som täcker kraven på tester av operativ motståndskraft i kapitel IV i DORA, i linje med ISO 22301.
Överlämning till er ledning, er säkerhetschef (CISO) eller er ekonomichef av ett sammanställt underlag, med exakta punkter som er juridiska rådgivare ska ta ställning till innan någon kommunikation sker med myndigheterna.
Konkreta, källbelagda leveranser, utan löften om certifiering som ingen kan garantera
10 typiska due diligence-frågor från bank/M&A, dokumenterade och källbelagda (ILPA DDQ, CSA CAIQ, cyberförsäkringsbolagens frågeformulär).
Källbelagd sammanfattning av förordning (EU) 2022/2554.
Struktur för det fullständiga register som myndigheterna kräver.
Att föra in i eller kontrollera i era IKT-leverantörsavtal.
Kontinuitets- och återställningsplan, dedikerad branschprofil.
PDF- och DOCX-format, som sammanställer samtliga leveranser.
Utdrag ur de 10 frågor vi dokumenterar åt er, med källan till varje fråga
| Tema | Fråga | Källa |
|---|---|---|
| Styrning | Bygger er säkerhetspolicy på ett erkänt ramverk (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Extern revision | Genomför ni en oberoende årlig revision och penetrationstester? | CSA CAIQ v4 |
| Incidentplan | Finns det en formell, dokumenterad och underhållen incidenthanteringsplan? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | För vilka tjänster kräver ni multifaktorautentisering? | Travelers - MFA Supplement |
| Privilegierade konton | Följer åtkomsten principen om minsta privilegium, med regelbunden översyn? | CSA CAIQ v4 IAM |
| E-post | Vilken M365-licens använder ni? Är Defender/avancerad threat hunting aktiverat? | vCSO.ai Cyber DD Checklist |
| Kryptering | Är enheternas diskar fullständigt krypterade? | Google VSAQ |
| Utbildning | Finns ett säkerhetsmedvetandeprogram för samtliga medarbetare? | CSA CAIQ v4 HRS |
Varje leverans anger tydligt vad den täcker - och vad den inte täcker
IKT-register (art. 28), avtalsklausuler (art. 30), anmälningstider (art. 19), hänvisning till utsedda kritiska IKT-leverantörer (art. 32).
DORA utgör en lex specialis i förhållande till NIS2 för finanssektorn: de berörda enheterna tillämpar DORA i stället för motsvarande NIS2-åtgärder.
PRA/PCA-profilen för Finans är i linje med ISO 22301, ett ramverk för kontinuitetshantering som används som komplement till DORA.
DORA:s incidentanmälan (till ACPR/AMF) är separat från GDPR-anmälan (till CNIL) vid en personuppgiftsincident: båda kan krävas samtidigt.
Varje DORA-ärende är olika beroende på er status - personlig offert i samtliga fall
Ni tillhandahåller tjänster till en eller flera finansiella enheter
Ni omfattas direkt av DORA (en av de 21 kategorierna, art. 2)
Regelbunden uppdatering av underlaget (skyldigheter, avtal, register)
Kontakta oss för att få en personlig offert utifrån er status (finansiell enhet eller IKT-leverantör).
DORA förklarat enkelt, utan juridisk jargong. Varje punkt nedan länkar till den officiella text som bekräftar den.
DORA gäller för europeiska finansiella aktörer: banker, försäkringsbolag, investeringsbolag, marknadsplatser, fondförvaltare, betaltjänstleverantörer... samt deras IT-leverantörer. De allra minsta aktörerna omfattas av lättare regler.
Förordningen täcker 6 huvudområden: hantering av IT-risker, övervakning av era externa leverantörer, regelbundna motståndskraftstester, rapportering av allvarliga incidenter, delning av hotinformation, och tillsyn av de största IT-leverantörerna.
Texten antogs den 14 december 2022, publicerades i EU:s officiella tidning den 27 december 2022 (EUT L 333). Trädde i kraft den 16 januari 2023. Skyldigheterna har faktiskt gällt sedan den 17 januari 2025.
De största IT-leverantörerna (moln, hosting...) som bedöms vara «kritiska» för finanssektorn kontrolleras nu direkt på europeisk nivå, med en ledande tillsynsmyndighet som kan ålägga dem åtgärder.
Före DORA hade varje EU-land sina egna regler för att anmäla en allvarlig IT-incident. Nu gäller ett gemensamt europeiskt förfarande: större incidenter anmäls direkt till de behöriga myndigheterna.
Texten föreskriver att myndigheterna offentliggör de administrativa sanktioner de beslutar om. De exakta bötesbeloppen är inte fastställda i de källor som konsulterats hittills - att bekräftas i takt med officiella förtydliganden.