Hoppa till innehåll
Compliance-guide

DORA förklarad: påverkan på programvaruinköp inom finanssektorn

DORA träder i kraft den 17 januari 2025 och förändrar grundläggande hur finansiella organisationer köper och kontrakterar programvara. Detta är allt du behöver veta om de fem pelarna, de kontraktuella kraven och påverkan på leverantörshantering.

  • 1 februari 2025
  • 5 min
  • DORA – Digital Operational Resilience Act

DORA, Digital Operational Resilience Act, träder i kraft den 17 januari 2025 i alla EU-länder. För finansiella organisationer och deras IT-leverantörer sker en grundläggande förändring: digital motståndskraft är inte längre en intern IT-fråga, utan en reglerad affärspliktt med tillsyn och böter.

Vad är DORA?

DORA är en EU-förordning, inte en riktlinje, utan direkt tillämplig lagstiftning som reglerar den digitala operationella motståndskraften i finanssektorn. Förordningen ingår i Digital Finance Package och gäller för 20 kategorier av finansiella enheter, från banker och försäkringsbolag till fintechs och kryptotjänstleverantörer.

De fem pelarna i DORA

DORA strukturerar sina krav kring fem kärnområden:

  • IT-riskhantering: Ett omfattande ramverk för att identifiera, klassificera och hantera IT-risker

  • Incidentrapportering: Stora IT-incidenter måste rapporteras inom strikta tidsramar till tillsynsmyndigheter

  • Testning av digital motståndskraft: Periodiska penetrationstester och motståndskraftsscenarier för kritiska system

  • Hantering av tredjepartsrisker: Kontraktuella skyldigheter, leverantörsregister och koncentrationsriskanalys

  • Informationsutbyte: Proaktiv delning av hotinformation inom sektorn

Vad innebär DORA för programvaruinköp?

Den fjärde pelaren, hantering av tredjepartsrisker, påverkar direkt hur finansiella organisationer köper och kontrakterar programvara:

  • Kontraktuella minimikrav: Varje IT-kontrakt måste innehålla klausuler om SLA, incidentrapportering, revisionsrättigheter, exitplan, datalokalisering och kontinuitet

  • IT-leverantörsregister: Ett aktuellt och fullständigt register över alla IT-leverantörer är obligatoriskt och måste vara tillgängligt för tillsynsmyndigheter

  • Koncentrationsrisk: För stor beroende av en enda leverantör (t.ex. en molnleverantör) måste utvärderas och rapporteras

  • Underleverantörer: Även leverantörernas leverantörer omfattas av DORA

SoftVaro hjälper finansiella organisationer att kartlägga sin programvarumiljö och göra kontrakten DORA-kompatibla.

Vanliga frågor

De vanligaste frågorna om detta ämne.

Vem gäller DORA för?

DORA gäller för banker, försäkringsbolag, investeringsinstitut, betalningsinstitut, kryptotjänstleverantörer, pensionsfonder och alla IT-leverantörer som tillhandahåller kritiska tjänster till dessa organisationer.

Gäller DORA också för min programvaruleverantör?

Ja. Om du levererar programvara eller IT-tjänster till en finansiell institution som omfattas av DORA är du som IT-leverantör skyldig att uppfylla de kontraktuella DORA-krav som den finansiella institutionen ställer på dig. Kritiska IT-leverantörer kan också lyda direkt under EU-tillsyn.

Vilka böter finns vid bristande efterlevnad av DORA?

Böter kan uppgå till 2% av den totala globala årsomsättningen. För kritiska IT-leverantörer som ligger direkt under EU-tillsyn gäller ytterligare sanktioner.

Redo att spara på programvara?

SoftVaro förhandlar fram det bästa erbjudandet åt dig hos över 4 000 leverantörer. Oberoende, transparent, inom 24 timmar.

Upptäck din besparing

Mer från kunskapsbasen

Artikel

Vad är tail spend management inom mjukvara?

Läs merArtikel

Vad är shadow IT och varför är det en risk?

Läs merArtikel

Vad är vendor-konsolidering och hur ska du gå tillväga?

Läs merCompliance-guide

NIS2: allt du behöver veta om cybersäkerhetslagen och mjukvaruupphandling

Läs merArtikel

Programvarurevisioner: hur fungerar de och hur skyddar du dig?

Läs merArtikel

Förklaringar av programvarulicensmodeller: prenumeration, perpetual och usage-based

Läs mer

Byt språk

Fler sidor