Varför tredjepartsrisk är en egen pelare i DORA
Finanssektorns beroende av ett litet antal stora molnleverantörer, SaaS-plattformar och kärnsystem-leverantörer har ökat systemrisken på europeisk nivå. En enskild störning hos AWS, Azure eller en stor kärnbanksleverantör kan påverka hundratals svenska finansbolag samtidigt.
DORA svarar på detta med en egen pelare: hela Art. 28 till 30 handlar om ICT-tredjepartsrisk. Därutöver introducerar DORA ett nytt begrepp: kritisk ICT-tredjepartsleverantör (CTPP), som pekas ut av europeiska tillsynsmyndigheter (ESMA, EIOPA, EBA) och får direkt EU-tillsyn. Finansbolaget har dock fortsatt fullt ansvar för sin egen riskhantering.
Art. 28: principer för ICT-tredjepartsrisk
Art. 28 etablerar grundprinciperna. Finansbolaget ska hantera ICT-tredjepartsrisk som en integrerad del av ICT-riskhanteringsramverket. Kraven omfattar:
- Strategi för ICT-tredjepartsrisk. Godkänd av styrelsen, granskad minst årligen.
- Policy för outsourcing av kritiska eller viktiga funktioner. Tydliga kriterier för när outsourcing får ske.
- Förhandsanalys innan kontrakt. Inklusive due diligence, riskbedömning, eventuell tillsynsinformation.
- Löpande uppföljning. KPI:er och SLA-uppföljning, årliga granskningar.
- Dokumenterad exit-strategi. Särskilt för kritiska eller viktiga funktioner.
- Register över alla ICT-tredjepartsarrangemang. Maskinläsbart, rapporteras årligen till FI.
Register över ICT-tredjepartsarrangemang
Registret är hjärtat i DORA:s tredjepartshantering. Enligt Art. 28(3) ska registret innehålla alla kontraktsarrangemang för användning av ICT-tjänster. För arrangemang som rör kritiska eller viktiga funktioner ska mer detaljerad information dokumenteras.
Registret ska följa det harmoniserade formatet definierat i Commission Implementing Regulation 2024/2956 (ITS för register). ESA har publicerat mallfiler som finansbolaget fyller i och rapporterar till FI årligen.
| Registerfält | Innehåll |
|---|---|
| Entitet och LEI | Leverantörens formella namn, LEI och moderbolag |
| Kontrakts-ID och startdatum | Unikt kontrakts-ID, startdatum, löptid, förnyelsevillkor |
| ICT-tjänsttyp | Klassificering enligt ESA:s taxonomi (cloud, SaaS, managed service m.m.) |
| Funktion-klassificering | Markering om tjänsten stödjer kritisk eller viktig funktion |
| Geografisk placering | Datacenter-länder, underleverantörer, datalagring |
| Avtalad SLA | Tillgänglighet, prestanda, säkerhetskrav |
| Exit-plan status | Finns dokumenterad, testad, senast uppdaterad |
| Underleverantörer | Materiella underleverantörer inom kedjan |
Art. 30: obligatoriska kontraktsklausuler
Art. 30 specificerar klausuler som måste finnas i kontrakt med ICT-tredjepartsleverantörer. För kritiska eller viktiga funktioner gäller en utökad lista. De viktigaste kategorierna:
- Tjänstebeskrivning och SLA. Tydliga prestandanivåer, tillgänglighet, svarstider.
- Platsbestämmelser. Var ICT-tjänsten levereras och data lagras, inklusive underleverantörer.
- Säkerhet och kontinuitet. Specifika krav på kryptering, back-up, recovery, tester.
- Åtkomsträtt för finansbolaget och FI. Audit-klausul som ger FI och dess ombud rätt till åtkomst, information, kopior och intervjuer.
- Incident-rapportering från leverantör till finansbolag. Tidsfönster, kanaler, innehåll.
- Underleverantörer. Finansbolagets godkännande innan förändringar av materiella underleverantörer.
- Uppsägningsrätt. För finansbolaget vid väsentliga brott, insolvens, regulatoriska grunder.
- Exit-stöd. Leverantörens skyldighet att stödja migration vid avslut.
Koncentrationsrisk-analys
Art. 29 kräver att finansbolaget bedömer koncentrationsrisk. Två dimensioner:
Entitetsintern koncentration. Hur beroende är bolaget av en enskild leverantör? Om samma leverantör levererar flera kritiska funktioner aktiveras skärpta krav.
Systemisk koncentration. Hur vanlig är leverantören inom finanssektorn? Samma molnleverantör som serverar 15 av 16 svenska storbanker skapar systemrisk även om ingen enskild bank är felbalanserat beroende.
Finansinspektionen följer systemisk koncentration via registret och rapporterar vidare till ESA. Sektorsövergripande koncentrationsanalys publiceras periodiskt av EBA.
Kritiska ICT-tredjepartsleverantörer (CTPP)
Art. 31 etablerar mekanismen för att ESA pekar ut kritiska ICT-tredjepartsleverantörer. En CTPP är en leverantör vars störning skulle ha systempåverkan. ESA publicerar listan årligen.
Konsekvenser för CTPP:
- Direkt EU-tillsyn från lead overseer (EBA, ESMA eller EIOPA). - Årlig oversight-plan med tematiska granskningar. - Rekommendationer från oversight-gruppen som leverantören ska följa. - Böter upp till 1 procent av daglig genomsnittlig global omsättning per dag vid allvarliga brott (max 6 månader, Art. 35).
För finansbolaget betyder CTPP-status att leverantören nu också är föremål för EU-tillsyn, men det avlastar inte finansbolaget från dess eget ansvar. Leverantörens oversight-resultat blir en input till finansbolagets egen due diligence.
Exit-strategi
Varje kritiskt eller viktigt ICT-arrangemang ska ha en dokumenterad, realistisk och testbar exit-strategi enligt Art. 28(8). Kraven:
- Tydliga exit-triggers. När skulle exit aktiveras? Regulatoriska skäl, SLA-brott, strategisk omorientering.
- Målarkitektur för exit-miljö. Intern drift, alternativ leverantör eller hybrid.
- Dataöverföring och portabilitet. Format, volym, integritet, validering.
- Tidsram. Realistisk estimat för migrationsprojektet. För kritiska kärnbanksystem ofta 18 till 36 månader.
- Kostnadsuppskattning. Migrationskostnad, parallellt drift, eventuella straffavgifter.
- Bevarande av tjänstenivåer under migration. Ingen lucka i kritisk funktion.
- Testning. Minst delar av exit-strategin ska övas regelbundet.
Svenska exempel
En svensk storbank med cirka 12 000 anställda registrerade vid inledningen av 2025 cirka 840 ICT-tredjepartsarrangemang, varav 64 klassificerades som stödjande kritisk eller viktig funktion. Kontraktsomförhandling med de tre största molnleverantörerna tog totalt 18 månader. Exit-planer för molnleverantörerna är idag testade på pappret men inte övade i full skala.
Ett svenskt försäkringsbolag i mellansegmentet (cirka 450 anställda) registrerade 127 arrangemang, varav 9 stödjer kritisk funktion. Största omförhandlingen gällde ett nordiskt policy-administrationssystem, inklusive förhandling om audit-rätt för FI.
En svensk betaltjänstleverantör (mindre än 100 anställda) har tung koncentration mot två leverantörer: en stor molnleverantör och en europeisk kort-processeringspartner. Koncentrationsanalysen ledde till strategisk översyn och planerad diversifiering över en treårsperiod.
AI-leverantörer som ICT-tredjepartsleverantörer
Leverantörer av AI-tjänster faller under DORA när de levererar ICT-tjänster till en finansiell entitet. En AI-kreditbedömningsmodell som körs som SaaS på Azure träffas av DORA Art. 28 (finansbolaget som kund) och AI Act Art. 26 (finansbolaget som deployer) samtidigt.
Det betyder dubbla bedömningskriterier: DORA fokuserar på operativ motståndskraft (tillgänglighet, säkerhet, exit), medan AI Act lägger till krav på datakvalitet, transparens, human oversight och bias. En samlad leverantörsbedömning kan dock bygga på gemensam underlag från due diligence och kontraktsgranskning. Se [AI Act vs DORA](/vs/dora-ai-act) för fullständig jämförelse.
Finansinspektionens förväntningar
FI har under tematisk tillsyn 2026 fokuserat särskilt på registerkvalitet, exit-planer och koncentrationsrisk. Vanliga brister:
- Register som är ofullständigt eller inte följer harmoniserat ITS-format.
- Klassificering som kritisk eller viktig funktion som är inkonsekvent över tid.
- Exit-planer som saknar tidsram eller kostnadsuppskattning.
- Koncentrationsanalys som bara ser på enskilt bolag och inte sektornivå.
- Kontraktsklausuler som saknar audit-rätt för FI eller är otydliga om underleverantörer.