TL;DR
- DORA och AI-förordningen är komplementära, inte alternativa. DORA handlar om ICT-motståndskraft, AI-förordningen om AI-systemens egenskaper.
- Svenska finansbolag omfattas vanligen av DORA plus NIS2 plus AI-förordningen. GDPR lägger på en fjärde dimension vid personuppgiftsbehandling.
- Överlappen är störst kring leverantörsbedömning, incidentrapportering och testning av motståndskraft.
Jämförelsetabell
| Aspekt | DORA | AI-förordningen | Överlapp |
|---|---|---|---|
| Omfattning | Finansiella entiteter: banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer, ICT-tredjepartsleverantörer | Alla organisationer som använder eller levererar AI-system | Alla finansbolag som använder AI |
| Huvudsaklig reglering | ICT-riskhantering och operativ motståndskraft | AI-systemens egenskaper och användning | Vid ICT-system som är AI: båda gäller |
| Rollbegrepp | Finansiell entitet, kritisk ICT-tredjepartsleverantör | Provider, deployer | En bank är finansiell entitet (DORA) och deployer (AI-förordningen) samtidigt |
| Riskhantering | ICT-riskhanteringsramverk | Art. 9 för providers, Art. 26 för deployers | Båda kräver dokumenterad riskhantering |
| Incidentrapportering | Major ICT-related incidents till behörig myndighet | Allvarliga incidenter till marknadskontrollmyndighet | En enda händelse kan kräva dubbla rapporter |
| Testning | Digital Operational Resilience Testing, inklusive TLPT | Testning och robusthet enligt Art. 15 | Testningsresultat delvis återanvändbara |
| Leverantörsbedömning | Explicit ram för kritiska ICT-leverantörer | Implicit via Art. 26 | Samma leverantörer, olika bedömningskriterier |
| Sanktioner | Administrativa, max 2 procent av årsomsättning | 35 MEUR eller 7 procent för förbjudna, 15 MEUR eller 3 procent för högrisk | Taket i AI-förordningen är högre |
| Primär svensk tillsyn | Finansinspektionen | Marknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), Finansinspektionen (sektorsvis) | Finansinspektionen är gemensam för frågor om AI-förordningen inom finans |
| Tidslinje | Gäller sedan 17 januari 2025 | Transparenskrav 2 augusti 2026; högriskkrav för deployers 2 december 2027 (Digital Omnibus) | AI-förordningen är ung medan DORA redan är i drift |
DORA
Digital Operational Resilience Act (EU 2022/2554) gäller sedan 17 januari 2025. Regelverket kräver att finansiella entiteter har ett strukturerat ramverk för ICT-riskhantering, incidenthantering, testning av motståndskraft och leverantörskedjesäkerhet. DORA introducerar även ett nytt koncept: kritisk ICT-tredjepartsleverantör, som kan bli föremål för direkt tillsyn av europeiska tillsynsmyndigheter (ESMA, EIOPA, EBA).
För svenska banker och försäkringsbolag är DORA den tyngsta delen av ICT-compliance-agendan sedan 2025. Finansinspektionen har publicerat vägledning och genomför nu tematiska granskningar.
AI-förordningen för finans
AI-förordningen har ett bredare tillämpningsområde och berör hela ekonomin. För finanssektorn är de mest relevanta högriskfallen kreditbedömning (Bilaga III.5b), livförsäkringsbedömning (Bilaga III.5b), biometri i KYC-processer (Bilaga III.1) och HR-system inom bank (Bilaga III.4).
Finansinspektionen väntas få parallell sektorsvis tillsyn tillsammans med marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101) för frågor om AI-förordningen i finanssektorn.
Där regelverken skiljer sig markant
Motståndskraftstester. DORA kräver avancerade tester, inklusive Threat-Led Penetration Testing för systemviktiga entiteter. Art. 15 i AI-förordningen kräver testning av robusthet och noggrannhet men utan DORA:s detaljnivå eller frekvens.
Leverantörsreglering. DORA har en hel ram för kritiska ICT-tredjepartsleverantörer som kan pekas ut för direkt tillsyn. AI-förordningen har ingen motsvarande struktur. En AI-leverantör som också är kritisk ICT-leverantör (exempelvis Microsoft Azure som levererar både Copilot och molntjänster) träffas av båda.
Rapporteringskanaler. DORA har harmoniserade rapporteringsmallar och tidsfönster som skiljer sig från AI-förordningens.
Leverantörsbedömning: olika fokus
| Bedömningspunkt | DORA | AI-förordningen |
|---|---|---|
| Finansiell stabilitet | Ja (kritikalitetsbedömning) | Nej |
| Driftskapacitet och kontinuitet | Ja | Ja |
| Cybersäkerhet | Ja | Art. 15 |
| Datakvalitet och bias | Nej | Ja (Art. 10) |
| Transparens och dokumentation | Delvis | Ja (Art. 13) |
| Loggning och spårbarhet | Ja | Art. 12 |
| Exit-strategi och portabilitet | Ja (DORA kräver exit-plan) | Nej specifikt |
Incidentrapportering
DORA kräver rapport av major ICT-related incidents till behörig myndighet (Finansinspektionen i Sverige) inom strikta tidsfönster. AI-förordningen kräver rapport av allvarliga incidenter till marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101) inom 15 dagar. En enda händelse kan behöva rapporteras till båda:
En ransomware-attack som sätter AI-kreditbedömningsmodellen ur spel rapporteras både som DORA-incident (driftstörning) och potentiellt som incident enligt AI-förordningen (brott mot grundläggande rättigheter om felaktiga beslut sker). Om samma händelse också påverkar personuppgifter tillkommer GDPR Art. 33-rapport. Om bolaget är NIS2-omfattat är det fjärde regelverket aktivt.
Tester kan samordnas
DORA kräver strukturerade operational resilience tests. Art. 15 i AI-förordningen kräver testning av robusthet och motståndskraft. För ett AI-baserat betalsystem kan en samordnad testrunda täcka stresstest av tillgänglighet (DORA), robusthet mot adversariella indata (AI-förordningen), incident-simulering (DORA) och bias-validering (AI-förordningen). Rapporterna är separata men datainsamlingen kan delas.
Typiska kombinationer för svenska finansbolag
| Bolagstyp | DORA | Cybersäkerhetslagen | AI-förordningen | Trippel plus |
|---|---|---|---|---|
| Retailbank med över 50 MEUR omsättning | Ja | Ja (bilaga I) | Ja (Bilaga III.5b kredit) | Plus GDPR |
| Försäkringsbolag, livförsäkring | Ja | Ibland | Ja (Bilaga III.5b livförsäkring) | Plus GDPR |
| Betaltjänstleverantör | Ja | Ibland | Ibland (beror på AI-användning) | Plus GDPR |
| Fintech, tidigt skede | Ibland (beroende på storlek) | Nej | Ja om de använder AI | Plus GDPR |
| Clearingorganisation | Ja | Ja (bilaga I) | Ja | Plus GDPR |
Vad säger Finansinspektionen?
Finansinspektionen är behörig myndighet för DORA och har parallell sektorsvis tillsyn enligt AI-förordningen. Offentliga signaler från FI under våren 2026:
DORA-tillsyn är redan aktiv. Tematiska granskningar har startat. Tillsyn enligt AI-förordningen förbereds. FI har utsett en intern arbetsgrupp och planerar vägledningar under Q3 2026. FI:s preliminära hållning är att AI-relaterade ICT-risker ska hanteras inom DORA-ramverket där det är möjligt, och specifika AI-krav hanteras separat.
Svenska finansbolag som börjar med DORA-ramverket och bygger AI-förordningen som en sektion i det har oftast lättast att dokumentera.
Så hanterar CyberKlar flera regelverk samtidigt
Plattformen har byggts på grundantagandet att svenska finansbolag har minst tre parallella regelverk. En integrerad vy över alla regelverk som gäller organisationen med tydliga korsreferenser. Leverantörsbedömningar producerar automatiskt underlag för DORA-kritikalitetsklassificering, NIS2 Art. 21(2)(d) och Art. 26 i AI-förordningen. Vid en incident föreslår plattformen rätt rapporteringskanaler beroende på klassificering och genererar färdiga rapportutkast (PDF plus deep-link och mailto) för Finansinspektionen via DORA-portalen, NCSC:s cyberportal för NIS2-anmälan, IMY och vid behov direktinformation till registrerade. En namngiven användare måste granska och lämna in varje rapport via respektive myndighets portal eller mejl, plattformen skickar inget automatiskt till tillsynsmyndighet. Testresultat från DORA-resilience-tester kan taggas för återanvändning i Art. 15-dokumentation enligt AI-förordningen.
Praktiskt innebär det att en händelse registreras en gång i samma incidentflöde, varpå plattformen genererar separata rapportutkast per regelverk i stället för att samma incident dokumenteras manuellt i tre olika verktyg.