TL;DR

  • DORA och AI-förordningen är komplementära, inte alternativa. DORA handlar om ICT-motståndskraft, AI-förordningen om AI-systemens egenskaper.
  • Svenska finansbolag omfattas vanligen av DORA plus NIS2 plus AI-förordningen. GDPR lägger på en fjärde dimension vid personuppgiftsbehandling.
  • Överlappen är störst kring leverantörsbedömning, incidentrapportering och testning av motståndskraft.

Jämförelsetabell

AspektDORAAI-förordningenÖverlapp
OmfattningFinansiella entiteter: banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer, ICT-tredjepartsleverantörerAlla organisationer som använder eller levererar AI-systemAlla finansbolag som använder AI
Huvudsaklig regleringICT-riskhantering och operativ motståndskraftAI-systemens egenskaper och användningVid ICT-system som är AI: båda gäller
RollbegreppFinansiell entitet, kritisk ICT-tredjepartsleverantörProvider, deployerEn bank är finansiell entitet (DORA) och deployer (AI-förordningen) samtidigt
RiskhanteringICT-riskhanteringsramverkArt. 9 för providers, Art. 26 för deployersBåda kräver dokumenterad riskhantering
IncidentrapporteringMajor ICT-related incidents till behörig myndighetAllvarliga incidenter till marknadskontrollmyndighetEn enda händelse kan kräva dubbla rapporter
TestningDigital Operational Resilience Testing, inklusive TLPTTestning och robusthet enligt Art. 15Testningsresultat delvis återanvändbara
LeverantörsbedömningExplicit ram för kritiska ICT-leverantörerImplicit via Art. 26Samma leverantörer, olika bedömningskriterier
SanktionerAdministrativa, max 2 procent av årsomsättning35 MEUR eller 7 procent för förbjudna, 15 MEUR eller 3 procent för högriskTaket i AI-förordningen är högre
Primär svensk tillsynFinansinspektionenMarknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), Finansinspektionen (sektorsvis)Finansinspektionen är gemensam för frågor om AI-förordningen inom finans
TidslinjeGäller sedan 17 januari 2025Transparenskrav 2 augusti 2026; högriskkrav för deployers 2 december 2027 (Digital Omnibus)AI-förordningen är ung medan DORA redan är i drift

DORA

Digital Operational Resilience Act (EU 2022/2554) gäller sedan 17 januari 2025. Regelverket kräver att finansiella entiteter har ett strukturerat ramverk för ICT-riskhantering, incidenthantering, testning av motståndskraft och leverantörskedjesäkerhet. DORA introducerar även ett nytt koncept: kritisk ICT-tredjepartsleverantör, som kan bli föremål för direkt tillsyn av europeiska tillsynsmyndigheter (ESMA, EIOPA, EBA).

För svenska banker och försäkringsbolag är DORA den tyngsta delen av ICT-compliance-agendan sedan 2025. Finansinspektionen har publicerat vägledning och genomför nu tematiska granskningar.

AI-förordningen för finans

AI-förordningen har ett bredare tillämpningsområde och berör hela ekonomin. För finanssektorn är de mest relevanta högriskfallen kreditbedömning (Bilaga III.5b), livförsäkringsbedömning (Bilaga III.5b), biometri i KYC-processer (Bilaga III.1) och HR-system inom bank (Bilaga III.4).

Finansinspektionen väntas få parallell sektorsvis tillsyn tillsammans med marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101) för frågor om AI-förordningen i finanssektorn.

Där regelverken skiljer sig markant

Motståndskraftstester. DORA kräver avancerade tester, inklusive Threat-Led Penetration Testing för systemviktiga entiteter. Art. 15 i AI-förordningen kräver testning av robusthet och noggrannhet men utan DORA:s detaljnivå eller frekvens.

Leverantörsreglering. DORA har en hel ram för kritiska ICT-tredjepartsleverantörer som kan pekas ut för direkt tillsyn. AI-förordningen har ingen motsvarande struktur. En AI-leverantör som också är kritisk ICT-leverantör (exempelvis Microsoft Azure som levererar både Copilot och molntjänster) träffas av båda.

Rapporteringskanaler. DORA har harmoniserade rapporteringsmallar och tidsfönster som skiljer sig från AI-förordningens.

Leverantörsbedömning: olika fokus

BedömningspunktDORAAI-förordningen
Finansiell stabilitetJa (kritikalitetsbedömning)Nej
Driftskapacitet och kontinuitetJaJa
CybersäkerhetJaArt. 15
Datakvalitet och biasNejJa (Art. 10)
Transparens och dokumentationDelvisJa (Art. 13)
Loggning och spårbarhetJaArt. 12
Exit-strategi och portabilitetJa (DORA kräver exit-plan)Nej specifikt

Incidentrapportering

DORA kräver rapport av major ICT-related incidents till behörig myndighet (Finansinspektionen i Sverige) inom strikta tidsfönster. AI-förordningen kräver rapport av allvarliga incidenter till marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101) inom 15 dagar. En enda händelse kan behöva rapporteras till båda:

En ransomware-attack som sätter AI-kreditbedömningsmodellen ur spel rapporteras både som DORA-incident (driftstörning) och potentiellt som incident enligt AI-förordningen (brott mot grundläggande rättigheter om felaktiga beslut sker). Om samma händelse också påverkar personuppgifter tillkommer GDPR Art. 33-rapport. Om bolaget är NIS2-omfattat är det fjärde regelverket aktivt.

Tester kan samordnas

DORA kräver strukturerade operational resilience tests. Art. 15 i AI-förordningen kräver testning av robusthet och motståndskraft. För ett AI-baserat betalsystem kan en samordnad testrunda täcka stresstest av tillgänglighet (DORA), robusthet mot adversariella indata (AI-förordningen), incident-simulering (DORA) och bias-validering (AI-förordningen). Rapporterna är separata men datainsamlingen kan delas.

Typiska kombinationer för svenska finansbolag

BolagstypDORACybersäkerhetslagenAI-förordningenTrippel plus
Retailbank med över 50 MEUR omsättningJaJa (bilaga I)Ja (Bilaga III.5b kredit)Plus GDPR
Försäkringsbolag, livförsäkringJaIblandJa (Bilaga III.5b livförsäkring)Plus GDPR
BetaltjänstleverantörJaIblandIbland (beror på AI-användning)Plus GDPR
Fintech, tidigt skedeIbland (beroende på storlek)NejJa om de använder AIPlus GDPR
ClearingorganisationJaJa (bilaga I)JaPlus GDPR

Vad säger Finansinspektionen?

Finansinspektionen är behörig myndighet för DORA och har parallell sektorsvis tillsyn enligt AI-förordningen. Offentliga signaler från FI under våren 2026:

DORA-tillsyn är redan aktiv. Tematiska granskningar har startat. Tillsyn enligt AI-förordningen förbereds. FI har utsett en intern arbetsgrupp och planerar vägledningar under Q3 2026. FI:s preliminära hållning är att AI-relaterade ICT-risker ska hanteras inom DORA-ramverket där det är möjligt, och specifika AI-krav hanteras separat.

Svenska finansbolag som börjar med DORA-ramverket och bygger AI-förordningen som en sektion i det har oftast lättast att dokumentera.

Så hanterar CyberKlar flera regelverk samtidigt

Plattformen har byggts på grundantagandet att svenska finansbolag har minst tre parallella regelverk. En integrerad vy över alla regelverk som gäller organisationen med tydliga korsreferenser. Leverantörsbedömningar producerar automatiskt underlag för DORA-kritikalitetsklassificering, NIS2 Art. 21(2)(d) och Art. 26 i AI-förordningen. Vid en incident föreslår plattformen rätt rapporteringskanaler beroende på klassificering och genererar färdiga rapportutkast (PDF plus deep-link och mailto) för Finansinspektionen via DORA-portalen, NCSC:s cyberportal för NIS2-anmälan, IMY och vid behov direktinformation till registrerade. En namngiven användare måste granska och lämna in varje rapport via respektive myndighets portal eller mejl, plattformen skickar inget automatiskt till tillsynsmyndighet. Testresultat från DORA-resilience-tester kan taggas för återanvändning i Art. 15-dokumentation enligt AI-förordningen.

Praktiskt innebär det att en händelse registreras en gång i samma incidentflöde, varpå plattformen genererar separata rapportutkast per regelverk i stället för att samma incident dokumenteras manuellt i tre olika verktyg.