TL;DR
- DORA och AI Act är komplementära, inte alternativa. DORA handlar om ICT-motståndskraft, AI Act om AI-systemens egenskaper.
- Svenska finansbolag omfattas vanligen av DORA plus NIS2 plus AI Act. GDPR lägger på en fjärde dimension vid personuppgiftsbehandling.
- Överlappen är störst kring leverantörsbedömning, incidentrapportering och testning av motståndskraft.
Jämförelsetabell
| Aspekt | DORA | AI Act | Överlapp |
|---|---|---|---|
| Scope | Finansiella entiteter: banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer, ICT-tredjepartsleverantörer | Alla organisationer som använder eller levererar AI-system | Alla finansbolag som använder AI |
| Huvudsaklig reglering | ICT-riskhantering och operativ motståndskraft | AI-systemens egenskaper och användning | Vid ICT-system som är AI: båda gäller |
| Rollbegrepp | Finansiell entitet, kritisk ICT-tredjepartsleverantör | Provider, deployer | En bank är finansiell entitet (DORA) och deployer (AI Act) samtidigt |
| Riskhantering | ICT-riskhanteringsramverk | Art. 9 för providers, Art. 26 för deployers | Båda kräver dokumenterad riskhantering |
| Incidentrapportering | Major ICT-related incidents till behörig myndighet | Allvarliga incidenter till marknadskontrollmyndighet | En enda händelse kan kräva dubbla rapporter |
| Testning | Digital Operational Resilience Testing, inklusive TLPT | Testning och robusthet enligt Art. 15 | Testningsresultat delvis återanvändbara |
| Leverantörsbedömning | Explicit ram för kritiska ICT-leverantörer | Implicit via Art. 26 | Samma leverantörer, olika bedömningskriterier |
| Sanktioner | Administrativa, max 2 procent av årsomsättning | 35 MEUR eller 7 procent för förbjudna, 15 MEUR eller 3 procent för högrisk | AI Act tak är högre |
| Primär svensk tillsyn | Finansinspektionen | IMY (primär), Finansinspektionen (sektorsvis) | Finansinspektionen är gemensam för AI Act-frågor inom finans |
| Tidslinje | Gäller sedan 17 januari 2025 | Fullt ut för deployers 2 augusti 2026 | AI Act är ungt medan DORA redan är i drift |
DORA
Digital Operational Resilience Act (EU 2022/2554) gäller sedan 17 januari 2025. Regelverket kräver att finansiella entiteter har ett strukturerat ramverk för ICT-riskhantering, incidenthantering, testning av motståndskraft och leverantörskedjesäkerhet. DORA introducerar även ett nytt koncept: kritisk ICT-tredjepartsleverantör, som kan bli föremål för direkt tillsyn av europeiska tillsynsmyndigheter (ESMA, EIOPA, EBA).
För svenska banker och försäkringsbolag är DORA den tyngsta delen av ICT-compliance-agendan sedan 2025. Finansinspektionen har publicerat vägledning och genomför nu tematiska granskningar.
AI Act för finans
AI-förordningen har en bredare scope och berör hela ekonomin. För finanssektorn är de mest relevanta högriskfallen kreditbedömning (Bilaga III.5b), livförsäkringsbedömning (Bilaga III.5b), biometri i KYC-processer (Bilaga III.1) och HR-system inom bank (Bilaga III.4).
Finansinspektionen har parallell tillsyn tillsammans med IMY för AI Act-frågor i finanssektorn.
Där regelverken skiljer sig markant
Motståndskraftstester. DORA kräver avancerade tester, inklusive Threat-Led Penetration Testing för systemviktiga entiteter. AI Act Art. 15 kräver testning av robusthet och noggrannhet men utan DORA:s detaljnivå eller frekvens.
Leverantörsreglering. DORA har en hel ram för kritiska ICT-tredjepartsleverantörer som kan pekas ut för direkt tillsyn. AI Act har ingen motsvarande struktur. En AI-leverantör som också är kritisk ICT-leverantör (exempelvis Microsoft Azure som levererar både Copilot och molntjänster) träffas av båda.
Rapporteringskanaler. DORA har harmoniserade rapporteringsmallar och tidsfönster som skiljer sig från AI Act:s.
Leverantörsbedömning: olika fokus
| Bedömningspunkt | DORA | AI Act |
|---|---|---|
| Finansiell stabilitet | Ja (kritikalitetsbedömning) | Nej |
| Driftskapacitet och kontinuitet | Ja | Ja |
| Cybersäkerhet | Ja | Art. 15 |
| Datakvalitet och bias | Nej | Ja (Art. 10) |
| Transparens och dokumentation | Delvis | Ja (Art. 13) |
| Loggning och spårbarhet | Ja | Art. 12 |
| Exit-strategi och portabilitet | Ja (DORA kräver exit-plan) | Nej specifikt |
Incidentrapportering
DORA kräver rapport av major ICT-related incidents till behörig myndighet (Finansinspektionen i Sverige) inom strikta tidsfönster. AI Act kräver rapport av allvarliga incidenter till IMY inom 15 dagar. En enda händelse kan behöva rapporteras till båda:
En ransomware-attack som sätter AI-kreditbedömningsmodellen ur spel rapporteras både som DORA-incident (driftstörning) och potentiellt som AI Act-incident (brott mot grundläggande rättigheter om felaktiga beslut sker). Om samma händelse också påverkar personuppgifter tillkommer GDPR Art. 33-rapport. Om bolaget är NIS2-omfattat är det fjärde regelverket aktivt.
Tester kan samordnas
DORA kräver strukturerade operational resilience tests. AI Act Art. 15 kräver testning av robusthet och motståndskraft. För ett AI-baserat betalsystem kan en samordnad testrunda täcka stresstest av tillgänglighet (DORA), robusthet mot adversariella indata (AI Act), incident-simulering (DORA) och bias-validering (AI Act). Rapporterna är separata men datainsamlingen kan delas.
Typiska kombinationer för svenska finansbolag
| Bolagstyp | DORA | Cybersäkerhetslagen | AI Act | Trippel plus |
|---|---|---|---|---|
| Retailbank med över 50 MEUR omsättning | Ja | Ja (bilaga I) | Ja (Bilaga III.5b kredit) | Plus GDPR |
| Försäkringsbolag, livförsäkring | Ja | Ibland | Ja (Bilaga III.5b livförsäkring) | Plus GDPR |
| Betaltjänstleverantör | Ja | Ibland | Ibland (beror på AI-användning) | Plus GDPR |
| Fintech, tidigt skede | Ibland (beroende på storlek) | Nej | Ja om de använder AI | Plus GDPR |
| Clearingorganisation | Ja | Ja (bilaga I) | Ja | Plus GDPR |
Vad säger Finansinspektionen?
Finansinspektionen är behörig myndighet för DORA och har parallell sektorsvis AI Act-tillsyn. Offentliga signaler från FI under våren 2026:
DORA-tillsyn är redan aktiv. Tematiska granskningar har startat. AI Act-tillsyn förbereds. FI har utsett en intern arbetsgrupp och planerar vägledningar under Q3 2026. FI:s preliminära hållning är att AI-relaterade ICT-risker ska hanteras inom DORA-ramverket där det är möjligt, och specifika AI-krav hanteras separat.
Svenska finansbolag som börjar med DORA-ramverket och bygger AI Act som en sektion i det har oftast lättast att dokumentera.
Så hanterar CyberKlar flera regelverk samtidigt
Plattformen har byggts på grundantagandet att svenska finansbolag har minst tre parallella regelverk. En integrerad vy över alla regelverk som gäller organisationen med tydliga korsreferenser. Leverantörsbedömningar producerar automatiskt underlag för DORA-kritikalitetsklassificering, NIS2 Art. 21(2)(d) och AI Act Art. 26. Incidenter routas till rätt rapporteringskanal beroende på klassificering. En händelse kan generera fyra separata rapporter till Finansinspektionen, MCF, IMY och eventuellt registrerade. Testresultat från DORA-resilience-tester kan taggas för återanvändning i AI Act Art. 15-dokumentation.
Finansbolag som separat hanterar DORA i ett verktyg, NIS2 i ett annat och AI Act i ett tredje rapporterar typiskt 40 till 60 procent mindre administrativ last efter konsolidering.