Vad kräver DORA Art. 5?

Art. 5 kräver ett dokumenterat och proportionerligt ICT-riskhanteringsramverk som täcker identifiering, skydd, detektion, respons, återhämtning, back-up, lärande och kommunikation. Ramverket ska granskas minst årligen och vara integrerat med övrig riskhantering.

Kan styrelsen delegera ansvar för ICT-risk under DORA?

Nej. Styrelsen har ytterst ansvar enligt Art. 6 och detta är inte delegerbart. Styrelsen ska aktivt godkänna och följa upp ramverket. Operativ implementering delegeras till CISO, CIO eller motsvarande, men ansvaret kvarstår hos styrelsen.

Vilka RTO och RPO-krav ställer DORA?

DORA specificerar inga exakta tidsmål, men Art. 12 kräver att RTO och RPO beslutas formellt för alla kritiska affärsfunktioner och att recovery regelbundet testas. Finansinspektionen granskar att dessa beslut är dokumenterade och verifierade genom test.

Hur ofta ska ICT-riskhanteringsramverket granskas?

Minst årligen enligt Art. 5. Vid större förändringar, efter major ICT-related incidents eller när tillsynsmyndigheter begär det ska det granskas oftare. Svenska storbanker genomför typiskt kvartalsvis tematisk uppföljning i styrelsen plus en årlig fullständig granskning.

Hur mycket kompetens behöver styrelsen ha om ICT-risk?

DORA Art. 5(4) kräver att styrelseledamöter löpande utbildar sig för att förstå ICT-risk och dess påverkan på affären. Finansinspektionen har betonat att generell IT-förståelse inte räcker utan specifik ICT-risk och cybersäkerhets-kompetens krävs.

Ska DORA-ramverket integreras med NIS2-dokumentation?

För svenska finansbolag går DORA före NIS2 (Cybersäkerhetslagen) enligt lex specialis. I praktiken bygger många ett gemensamt ramverk där DORA är huvudspår och NIS2-specifika krav (som styrelsens personliga ansvar) är påbyggnad. En integrerad plattform förenklar denna samordning.

DORA ICT-riskhantering: Art. 5 till 15 i praktiken

Art. 5: ICT-riskhanteringsramverk

Art. 5 kräver att varje finansiell entitet har ett ramverk för ICT-riskhantering som är dokumenterat, samordnat med övrig riskhantering och granskat minst årligen. Ramverket ska vara proportionerligt mot entitetens storlek, risk, scope och komplexitet.

Ramverket ska omfatta strategier, policyer, rutiner, protokoll och verktyg som behövs för att på ett korrekt och tillräckligt sätt skydda alla ICT-tillgångar, inklusive programvara, hårdvara och servrar. Det ska även skydda alla relevanta fysiska komponenter och infrastrukturer som datacenter.

Art. 6: governance och styrelsens roll

Styrelsen (management body) har ytterst ansvar för ICT-riskhantering. Detta är inte delegerbart enligt DORA. Styrelsen ska:

Godkänna, granska och uppdatera ICT-riskhanteringsramverket.
Fastställa riskaptit för ICT-risk som del av entitetens övergripande riskaptit.
Godkänna digital operational resilience-strategi med tydliga mål, KPI:er och riskmått.
Säkerställa att tillräckliga resurser (budget, personal, verktyg) avsätts.
Aktivt följa upp implementering, inklusive tematiska rapporter minst varje kvartal.
Upprätthålla egen ICT-kompetens genom återkommande utbildning.

Finansinspektionens tematiska tillsyn under Q1 2026 fokuserade särskilt på styrelseprotokoll och bevis för aktiv uppföljning. Enbart kvartalsrapporter till styrelsen bedöms som otillräckligt om inga tematiska diskussioner finns dokumenterade.

Art. 7: ICT-system, protokoll och verktyg

Alla ICT-system, protokoll och verktyg ska vara lämpliga, pålitliga, ha tillräcklig kapacitet och vara tekniskt motståndskraftiga. De ska kunna hantera spetsbelastning och begränsa dataförlust samt obehörig åtkomst.

För en svensk storbank innebär detta typiskt att all kärn-ICT (core banking, kort-processing, betalningar) har dokumenterade prestanda-krav, failover-tester och kapacitetsplanering. För ett försäkringsbolag i mellansegmentet räcker ofta ett enklare ramverk baserat på riskklassificering av system.

Art. 8: identifiering

Finansbolaget ska identifiera, klassificera och dokumentera alla ICT-supporterade affärsfunktioner, roller, informationsflöden och ICT-tillgångar. Inventariet ska vara levande och uppdateras minst årligen, samt vid varje större arkitektur- eller leverantörsändring.

Beroendekarta mellan system, dataflöden och affärsfunktioner är särskilt viktig. Finansinspektionen har i tillsynspraxis signalerat att oklara beroendekartor är en vanlig brist.

Art. 9: skydd och förebyggande

Skyddsåtgärder ska säkerställa konfidentialitet, integritet, autenticitet och tillgänglighet (CIA plus autentisering). Specifika krav:

Identitets- och åtkomsthantering. Rollbaserad åtkomst, privilegierad åtkomst-hantering (PAM), multifaktor-autentisering.
Kryptografi. Kryptering i vila och i transit. Nyckelhantering enligt dokumenterad rutin.
Nätverkssäkerhet. Segmentering, brandväggar, intrångsdetektion.
Applikationssäkerhet. Säker utveckling, kodgranskning, sårbarhetshantering.
Patch- och konfigurationshantering. Tidsbundna processer med eskalering.
Säker konfiguration och härdning. Baslinjer för operativsystem, databas, middleware.

Art. 10: detektion

Entiteten ska ha mekanismer för att snabbt upptäcka avvikande aktivitet, inklusive ICT-nätverksprestandaproblem och ICT-relaterade incidenter. Loggning ska vara tillräcklig för incidentutredning och forensisk analys.

I praktiken: SOC-funktion (intern eller outsourcad), SIEM-verktyg, loggpolicy som specificerar vad som loggas, hur länge, vem som granskar. För svenska mellanbanker är outsourcad SOC med 24/7-bemanning numera standard.

Art. 11: respons och återhämtning

ICT-affärskontinuitetspolicy och återhämtningsplaner ska dokumentera responsåtgärder för alla scenarier, inklusive cyberattacker. Planer ska testas årligen med scenariobaserade övningar. Återhämtningsmål (RTO, RPO) ska vara formellt beslutade för alla kritiska funktioner.

Crisis management-rutin ska specificera ledningsgruppens sammankallande, kommunikationsvägar till styrelse och FI, samt mediahantering.

Art. 12: back-up och recovery

Finansbolaget ska ha back-up-policy och recovery-procedurer som ger full återställning av data. Back-up-medium ska fysiskt och logiskt separeras från produktionsmiljön. Recovery ska testas regelbundet enligt dokumenterat schema.

För kritiska affärsfunktioner ska recovery-testet verifiera inte bara att data kan återställas, utan att hela affärsprocessen kan köras från recovery-miljön.

Art. 13: lärande och utveckling

Efter varje major ICT-related incident ska post-incident-analys genomföras. Lärdomar ska föras in i riskregister, policyer och utbildning. Analysen ska omfatta grundorsak, vilka kontroller som brast, förbättringsförslag och ansvarig för uppföljning.

Finansinspektionen begär typiskt in post-incident-analyser som del av incidentrapporten eller som separat uppföljning.

Art. 14: kommunikation och Art. 15: fortsatt utveckling

Art. 14 reglerar kommunikation vid ICT-relaterade händelser till intressenter, inklusive kunder. Art. 15 kräver att entiteten följer teknisk utveckling och anpassar ramverket löpande. Båda artiklarna förstärker att DORA är ett levande regelverk, inte en engångsövning.

Svenska exempel

En svensk storbank har under 2025 byggt ett ICT-riskhanteringsramverk som harmoniserar med befintligt operationellt riskramverk (OpRisk). Ramverket består av en policy på koncernnivå, standarder per domän och procedurer per affärsområde. Styrelsen behandlade ramverket fyra gånger under 2025.

Ett svenskt försäkringsbolag i mellansegmentet baserade sitt DORA-ramverk på befintligt ISO 27001. Gap-analysen identifierade 47 luckor, varav 31 stängdes under H1 2025. Resterande hanteras genom en treårig plan.

En svensk betaltjänstleverantör (mindre än 100 anställda) tillämpade proportionalitet enligt Art. 4. Ramverket dokumenterades i ett sammanhållet dokument om 62 sidor, jämfört med storbankens flerlagriga struktur.

Vanliga brister i Finansinspektionens tillsyn

FI:s tematiska tillsyn under 2026 har hittills identifierat återkommande brister. De vanligaste:

Oklara beroendekartor mellan ICT-system och affärsfunktioner.
Otillräcklig dokumentation av styrelsens aktiva uppföljning.
Recovery-test som verifierar teknisk återställning men inte affärsprocesser.
Avsaknad av formella RTO/RPO-beslut för kritiska funktioner.
Post-incident-analyser utan spårbar grundorsaksanalys.
ICT-riskramverk som är separerat från OpRisk-ramverket utan integration.

Art. 5: ICT-riskhanteringsramverk

Art. 6: governance och styrelsens roll

Styrelsen (management body) har ytterst ansvar för ICT-riskhantering. Detta är inte delegerbart enligt DORA. Styrelsen ska:

Godkänna, granska och uppdatera ICT-riskhanteringsramverket.
Fastställa riskaptit för ICT-risk som del av entitetens övergripande riskaptit.
Godkänna digital operational resilience-strategi med tydliga mål, KPI:er och riskmått.
Säkerställa att tillräckliga resurser (budget, personal, verktyg) avsätts.
Aktivt följa upp implementering, inklusive tematiska rapporter minst varje kvartal.
Upprätthålla egen ICT-kompetens genom återkommande utbildning.

Art. 7: ICT-system, protokoll och verktyg

Art. 8: identifiering

Beroendekarta mellan system, dataflöden och affärsfunktioner är särskilt viktig. Finansinspektionen har i tillsynspraxis signalerat att oklara beroendekartor är en vanlig brist.

Art. 9: skydd och förebyggande

Skyddsåtgärder ska säkerställa konfidentialitet, integritet, autenticitet och tillgänglighet (CIA plus autentisering). Specifika krav:

Identitets- och åtkomsthantering. Rollbaserad åtkomst, privilegierad åtkomst-hantering (PAM), multifaktor-autentisering.
Kryptografi. Kryptering i vila och i transit. Nyckelhantering enligt dokumenterad rutin.
Nätverkssäkerhet. Segmentering, brandväggar, intrångsdetektion.
Applikationssäkerhet. Säker utveckling, kodgranskning, sårbarhetshantering.
Patch- och konfigurationshantering. Tidsbundna processer med eskalering.
Säker konfiguration och härdning. Baslinjer för operativsystem, databas, middleware.

Art. 10: detektion

Art. 11: respons och återhämtning

Crisis management-rutin ska specificera ledningsgruppens sammankallande, kommunikationsvägar till styrelse och FI, samt mediahantering.

Art. 12: back-up och recovery

För kritiska affärsfunktioner ska recovery-testet verifiera inte bara att data kan återställas, utan att hela affärsprocessen kan köras från recovery-miljön.

Art. 13: lärande och utveckling

Finansinspektionen begär typiskt in post-incident-analyser som del av incidentrapporten eller som separat uppföljning.

Art. 14: kommunikation och Art. 15: fortsatt utveckling

Svenska exempel

Vanliga brister i Finansinspektionens tillsyn

FI:s tematiska tillsyn under 2026 har hittills identifierat återkommande brister. De vanligaste:

Oklara beroendekartor mellan ICT-system och affärsfunktioner.
Otillräcklig dokumentation av styrelsens aktiva uppföljning.
Recovery-test som verifierar teknisk återställning men inte affärsprocesser.
Avsaknad av formella RTO/RPO-beslut för kritiska funktioner.
Post-incident-analyser utan spårbar grundorsaksanalys.
ICT-riskramverk som är separerat från OpRisk-ramverket utan integration.

DORA ICT-riskhantering enligt Art. 5 till 15

Art. 5: ICT-riskhanteringsramverk

Art. 6: governance och styrelsens roll

Art. 7: ICT-system, protokoll och verktyg

Art. 8: identifiering

Art. 9: skydd och förebyggande

Art. 10: detektion

Art. 11: respons och återhämtning

Art. 12: back-up och recovery

Art. 13: lärande och utveckling

Art. 14: kommunikation och Art. 15: fortsatt utveckling

Svenska exempel

Vanliga brister i Finansinspektionens tillsyn

Svar på det vi oftast får frågor om

Vad kräver DORA Art. 5?

Kan styrelsen delegera ansvar för ICT-risk under DORA?

Vilka RTO och RPO-krav ställer DORA?

Hur ofta ska ICT-riskhanteringsramverket granskas?

Hur mycket kompetens behöver styrelsen ha om ICT-risk?

Ska DORA-ramverket integreras med NIS2-dokumentation?

Fortsätt läsa

DORA ICT-riskhantering enligt Art. 5 till 15

Art. 5: ICT-riskhanteringsramverk

Art. 6: governance och styrelsens roll

Art. 7: ICT-system, protokoll och verktyg

Art. 8: identifiering

Art. 9: skydd och förebyggande

Art. 10: detektion

Art. 11: respons och återhämtning

Art. 12: back-up och recovery

Art. 13: lärande och utveckling

Art. 14: kommunikation och Art. 15: fortsatt utveckling

Svenska exempel

Vanliga brister i Finansinspektionens tillsyn

Svar på det vi oftast får frågor om

Vad kräver DORA Art. 5?

Kan styrelsen delegera ansvar för ICT-risk under DORA?

Vilka RTO och RPO-krav ställer DORA?

Hur ofta ska ICT-riskhanteringsramverket granskas?

Hur mycket kompetens behöver styrelsen ha om ICT-risk?

Ska DORA-ramverket integreras med NIS2-dokumentation?

Fortsätt läsa