DORA-programvara hjälper svenska finansföretag att uppfylla kraven i DORA-förordningen (förordning (EU) 2022/2554) om digital operativ motståndskraft, som gäller sedan den 17 januari 2025. För en bank, ett försäkringsbolag, ett värdepappersföretag eller en betaltjänstleverantör under Finansinspektionens tillsyn är rätt verktyg 2026 en plattform som hanterar IKT-riskstyrning, för ett informationsregister över tredjepartsleverantörer, klassificerar och rapporterar incidenter samt planerar motståndskrafttester. Årskostnaden ligger typiskt på 40 000 till 300 000 kronor beroende på företagets storlek och komplexitet. Den här guiden förklarar DORA:s fem pelare, Finansinspektionens roll och vad programvaran ska klara.
DORA i Sverige: vad gäller?
Till skillnad från NIS2 är DORA en förordning – den gäller direkt i alla medlemsstater utan nationell införlivandelag. I Sverige är Finansinspektionen behörig myndighet och den som utövar tillsyn, tar emot incidentrapporter och övervakar de finansiella entiteternas motståndskraft. DORA omfattar i princip hela den finansiella sektorn: kreditinstitut, betalnings- och e-penninginstitut, värdepappersföretag, försäkrings- och återförsäkringsföretag, fondbolag, kryptotillgångsleverantörer och deras kritiska IKT-tredjepartsleverantörer.
DORA vilar på fem pelare: IKT-riskhantering, incidenthantering och rapportering, testning av digital motståndskraft, hantering av tredjepartsrisk och informationsdelning. En detaljerad genomgång finns i vår engelska DORA-guide.
De fem pelarna och vad verktyget ska göra
| Pelare | Krav | Vad programvaran ska göra |
|---|---|---|
| IKT-riskhantering | Ramverk godkänt av ledningen | Riskregister, åtgärder, ledningsrapportering |
| Incidentrapportering | Klassificering och rapport till FI | Arbetsflöde med tröskelvärden och tidsbevakning |
| Motståndskrafttester | Regelbunden testning, TLPT för vissa | Testplanering och dokumentation av resultat |
| Tredjepartsrisk | Informationsregister över leverantörer | Strukturerat informationsregister |
| Informationsdelning | Utbyte om cyberhot | Dokumenterade rutiner |
Informationsregistret är den skyldighet som flest företag underskattar. DORA kräver ett komplett register över samtliga avtal om IKT-tjänster med tredjepartsleverantörer, i ett format som Finansinspektionen och de europeiska tillsynsmyndigheterna kan begära in. Utan verktygsstöd blir det ett omfattande manuellt arbete som snabbt blir inaktuellt.
Urvalskriterier för svenska finansföretag
- Informationsregister enligt mall. Verktyget ska producera registret i det format tillsynsmyndigheterna förväntar sig, inte ett fritt kalkylark.
- Incidentklassificering. DORA:s tröskelvärden avgör vad som ska rapporteras och när. Ett verktyg som automatiserar klassificeringen minskar risken för både under- och överrapportering.
- Överlappning med NIS2 och GDPR. Många IKT-riskåtgärder överlappar NIS2 och artikel 32 i dataskyddsförordningen. En plattform som samordnar ramverken minskar dubbelarbete.
- EU-hosting och svensk rapportering. Data bör hållas inom EU och rapporter kunna produceras för Finansinspektionen.
Programvarualternativ
Tre kategorier dominerar. Specialiserade DORA/GRC-plattformar täcker alla fem pelare men kräver konfiguration och är ofta prissatta för större institut. Integrerade compliance-plattformar – som Legiscope – är effektiva när DORA-arbetet ska samordnas med befintlig GDPR- och NIS2-dokumentation, eftersom riskregister, leverantörer och säkerhetsåtgärder hålls samlade. Säkerhetsverktyg (Vanta, Sprinto) bidrar med teknisk bevisinsamling men täcker inte informationsregistret eller DORA:s specifika rapporteringskrav fullt ut.
För mindre och medelstora finansföretag är den mest kostnadseffektiva vägen ofta en integrerad plattform som redan hanterar dataskydd, snarare än en fristående DORA-svit. Jämför bredare i vår GDPR-programvarujämförelse.
Kostnad
DORA-programvara kostar typiskt 40 000–300 000 kronor per år. Mindre värdepappersföretag och betaltjänstleverantörer hamnar i det lägre spannet, medan banker och försäkringsbolag med omfattande leverantörskedjor och krav på trådningsbaserade penetrationstester (TLPT) ligger högre. Se principerna i vår kostnadsguide, som gäller även för DORA-verktyg.
Informationsregistret i praktiken
DORA:s informationsregister (Register of Information) är den skyldighet som tar mest tid att bygga och som Finansinspektionen och de europeiska tillsynsmyndigheterna faktiskt begär in. Registret ska dokumentera samtliga avtal om IKT-tjänster med tredjepartsleverantörer och innehålla bland annat leverantörens identitet, funktionens kritikalitet, om tjänsten stödjer en kritisk eller viktig funktion, var data lagras och behandlas, samt eventuella underleverantörer i kedjan. De europeiska tillsynsmyndigheterna har fastställt ett standardiserat rapporteringsformat, vilket innebär att ett fritt kalkylark sällan räcker – registret måste kunna exporteras i den struktur som förväntas.
Ett verktyg som håller registret levande sparar därmed inte bara tid vid uppbyggnaden utan också vid den återkommande rapporteringen. Kopplingen till personuppgiftsbiträdesavtalen är tydlig: samma leverantörer som är personuppgiftsbiträden under GDPR är ofta IKT-tredjepartsleverantörer under DORA, och en plattform som samlar bägge undviker att samma leverantör dokumenteras två gånger.
Incidenthantering och motståndskrafttester
Incidentklassificering. DORA ställer krav på att allvarliga IKT-relaterade incidenter klassificeras enligt fastställda kriterier – bland annat antalet berörda kunder, varaktighet, geografisk spridning och dataförlust – och rapporteras till Finansinspektionen inom bestämda frister. Ett verktyg som automatiserar tröskelbedömningen minskar risken för både under- och överrapportering, som båda är problematiska vid en tillsyn.
Motståndskrafttester. Alla finansiella entiteter ska testa sin digitala motståndskraft regelbundet. För de mest systemviktiga instituten tillkommer trådningsbaserade penetrationstester (TLPT), som är mer omfattande och ska dokumenteras noggrant. Ett verktyg som planerar testcykler och lagrar resultaten ger den spårbarhet tillsynen förväntar sig.
Implementeringsordning för svenska finansföretag
En pragmatisk ordning för ett institut som börjar från grunden: (1) kartlägg samtliga IKT-tredjepartsleverantörer och bygg informationsregistret, (2) upprätta ramverket för IKT-riskhantering med ledningens godkännande, (3) inför arbetsflödet för incidentklassificering och rapportering mot Finansinspektionen, (4) planera in motståndskrafttesterna, och (5) samordna med befintlig GDPR- och NIS2-dokumentation för att undvika dubbelarbete. Att börja med registret är avgörande eftersom det både tar längst tid och är det tillsynen frågar efter först.
Vad Finansinspektionen förväntar sig
Sedan DORA blev tillämplig i januari 2025 har Finansinspektionen integrerat förordningens krav i sin löpande tillsyn av finansiella entiteter. I praktiken innebär det att myndigheten kan begära in informationsregistret, granska ramverket för IKT-riskhantering och kontrollera att incidentrapporteringen fungerar. De finansiella entiteterna förväntas kunna visa att ledningen har godkänt riskhanteringsåtgärderna och att motståndskrafttesterna genomförs enligt plan.
En vanlig fråga är hur DORA förhåller sig till de riktlinjer och den reglering som redan gällde före förordningen. DORA ersätter inte kravet på sund intern styrning och kontroll utan preciserar och skärper de digitala aspekterna. Institut som redan har ett moget ramverk för operativ risk har därför en fördel, men behöver ändå anpassa dokumentationen till DORA:s specifika struktur – särskilt informationsregistret och incidentklassificeringen, som har egna format. Ett verktyg som producerar dokumentationen i den struktur Finansinspektionen och de europeiska tillsynsmyndigheterna förväntar sig minskar risken för anmärkningar och gör den återkommande rapporteringen mindre betungande. Att bygga denna struktur i efterhand, inför en förfrågan, är avsevärt mer arbete än att låta verktyget upprätthålla den löpande.
Vanliga frågor
Vad kostar DORA-programvara i Sverige?
Typiskt 40 000–300 000 kronor per år beroende på företagets storlek och komplexitet. För ett mindre institut som utökar en befintlig compliance-plattform med DORA-funktioner blir merkostnaden lägre än för en fristående lösning. Ställt mot Finansinspektionens tillsynsbefogenheter och risken för verksamhetsavbrott är investeringen väl motiverad.
Vilka svenska företag omfattas av DORA?
I princip hela finanssektorn under Finansinspektionens tillsyn: banker, betalnings- och e-penninginstitut, värdepappersföretag, försäkrings- och fondbolag, kryptotillgångsleverantörer samt deras kritiska IKT-tredjepartsleverantörer. Även mindre aktörer omfattas, med vissa proportionalitetslättnader.
Vad är skillnaden mellan DORA och NIS2?
DORA är en förordning som gäller direkt och är specifik för finanssektorn med Finansinspektionen som tillsynsmyndighet. NIS2 är ett direktiv som införlivas i svensk lag genom cybersäkerhetslagen och täcker fler sektorer. Ett finansföretag styrs i första hand av DORA för sin digitala motståndskraft, men överlappningen i riskhantering är betydande.
Proportionalitet för mindre finansföretag
DORA tillämpar en proportionalitetsprincip: kraven anpassas efter entitetens storlek, riskprofil och verksamhetens art och komplexitet. Ett mindre värdepappersföretag eller en mindre betaltjänstleverantör omfattas alltså av ett förenklat ramverk för IKT-riskhantering, medan de mest systemviktiga instituten möter de fullständiga kraven inklusive trådningsbaserade penetrationstester. Detta betyder dock inte att mindre aktörer är undantagna – informationsregistret, incidentrapporteringen och grundläggande riskhantering gäller för i princip alla. För ett mindre företag ligger värdet i ett verktyg som ger just den förenklade nivån utan att tvinga fram enterprisekomplexitet, och som skalar upp om verksamheten växer.
Vanliga misstag vid DORA-efterlevnad
- Att underskatta informationsregistret. Det är den mest tidskrävande skyldigheten och den tillsynen frågar efter först. Att börja sent är det vanligaste misstaget.
- Att behandla DORA som en ren IT-fråga. DORA kräver godkännande och övervakning på ledningsnivå; att lämna hela ansvaret till IT-avdelningen strider mot förordningens styrningskrav.
- Att dokumentera samma leverantör flera gånger. Utan en samlad plattform dokumenteras samma leverantör separat under GDPR, NIS2 och DORA, vilket skapar dubbelarbete och inkonsekvens.
- Att glömma underleverantörskedjan. DORA:s krav sträcker sig till kritiska underleverantörer, inte bara den direkta leverantören.
- Att inte testa incidentrutinen. En rapporteringsrutin som aldrig prövats håller sällan under en verklig incidents tidspress.
Att undvika dessa fallgropar handlar mindre om verktygsval och mer om att börja i tid och förankra arbetet i ledningen. Rätt programvara gör arbetet möjligt att upprätthålla, men ersätter inte den interna styrningen.
Slutsats
DORA gör digital operativ motståndskraft till ett bindande krav för hela den svenska finanssektorn, med Finansinspektionen som tillsynsmyndighet sedan januari 2025. Rätt programvara hanterar IKT-riskstyrningen, för det obligatoriska informationsregistret över tredjepartsleverantörer, klassificerar och rapporterar incidenter mot FI och planerar motståndskrafttester. För de flesta svenska finansföretag är den mest kostnadseffektiva vägen en integrerad plattform som samordnar DORA med befintlig GDPR- och NIS2-dokumentation. Börja med informationsregistret – det är den skyldighet som tar längst tid att bygga och som tillsynen frågar efter först. Förankra därefter arbetet i ledningen, som enligt DORA ska godkänna och övervaka riskhanteringen, och samordna dokumentationen med era övriga efterlevnadskrav. Ett verktyg gör arbetet hanterbart, men det är den interna styrningen och den tidiga starten som avgör om efterlevnaden håller vid Finansinspektionens granskning.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo