Hoppa till innehåll
Compliance-guide

DORA förklarat: påverkan på mjukvaruinköp i finanssektorn

DORA träder i kraft den 17 januari 2025 och förändrar grundläggande hur finansiella organisationer köper in och kontrakterar mjukvara. Detta är allt du behöver veta om de fem pelarna, de kontraktuella kraven och påverkan på leverantörshantering.

  • 1 februari 2025
  • 5 min
  • DORA – Digital Operational Resilience Act

DORA, Digital Operational Resilience Act, träder i kraft den 17 januari 2025 i alla EU-medlemsländer. För finansiella organisationer och deras IT-leverantörer förändras något grundläggande: digital resiliens är inte längre en intern IT-fråga, utan en reglerad affärsplikt med tillsyn och böter.

Vad är DORA?

DORA är en EU-förordning, inte ett direktiv, utan lagstiftning som är direkt tillämplig och som reglerar den digitala operativa resiliensen inom finanssektorn. Förordningen ingår i Digital Finance Package och gäller för 20 kategorier av finansiella enheter, från banker och försäkringsbolag till fintechs och kryptotjänstleverantörer.

De fem pelarna i DORA

DORA strukturerar sina krav kring fem kärnområden:

  • ICT-riskhantering: Ett omfattande ramverk för att identifiera, klassificera och hantera ICT-risker

  • Incidentrapportering: Stora ICT-incidenter måste rapporteras till tillsynsmyndigheter inom strikta tidsramar

  • Testning av digital resiliens: Periodiska penetrationstester och resiliencyscenarier för kritiska system

  • Hantering av tredjepartsrisker: Kontraktuella skyldigheter, leverantörsregister och koncentrationsriskanalys

  • Informationsutbyte: Proaktiv delning av hotinformation inom sektorn

Vad innebär DORA för mjukvaruinköp?

Den fjärde pelaren, hantering av tredjepartsrisker, har direkt påverkan på hur finansiella organisationer köper in och kontrakterar mjukvara:

  • Minimikrav i kontrakt: Varje ICT-avtal måste innehålla klausuler om SLA, incidentrapportering, revisionsrättigheter, exitplan, datalokalisation och kontinuitet

  • ICT-leverantörsregister: Ett uppdaterat och komplett register över alla ICT-leverantörer är obligatoriskt och måste vara tillgängligt för tillsynsmyndigheter

  • Koncentrationsrisk: Alltför stort beroende av en enda leverantör (t.ex. en molnleverantör) måste utvärderas och rapporteras

  • Underleverantörer: Även underleverantörer till dina leverantörer omfattas av DORA-scope

SoftVaro hjälper finansiella organisationer att kartlägga sin mjukvaruportfölj och göra kontrakt DORA-kompatibla.

Vanliga frågor

De vanligaste frågorna om detta ämne.

För vem gäller DORA?

DORA gäller för banker, försäkringsbolag, investeringsfonder, betalningsinstitut, kryptotjänstleverantörer, pensionsfonder och alla ICT-leverantörer som tillhandahåller kritiska tjänster till dessa institutioner.

Gäller DORA även för min mjukvaruleverantör?

Ja. Om du levererar mjukvara eller IT-tjänster till en finansiell institution som omfattas av DORA, är du som ICT-leverantör skyldig att uppfylla de kontraktuella DORA-kraven som den finansiella institutionen ställer på dig. Kritiska ICT-leverantörer kan också vara direkt föremål för EU-övervakning.

Vilka är böterna vid bristande efterlevnad av DORA?

Böter kan uppgå till 2 % av den totala globala årsomsättningen. För kritiska ICT-leverantörer som är direkt under EU-övervakning gäller ytterligare sanktioner.

Redo att spara på mjukvara?

SoftVaro förhandlar fram det bästa avtalet åt dig hos över 4 000 leverantörer. Oberoende, transparent, inom 24 timmar.

Upptäck din besparing

Mer från kunskapsbanken

Artikel

Vad är tail spend management inom mjukvara?

Läs merArtikel

Vad är shadow IT och varför är det en risk?

Läs merArtikel

Vad är leverantörskonsolidering och hur gör man?

Läs merCompliance-guide

NIS2: allt du behöver veta om cybersäkerhetslagen och mjukvaruinköp

Läs merArtikel

Programvaru­revisioner: hur fungerar de och hur skyddar du dig?

Läs merArtikel

Programvarulicenmodeller förklarade: prenumeration, evig och användningsbaserad

Läs mer

Byt språk

Fler sidor