2026-06-24-fi-dora-kompliance-varning
FI varnar: Företagen klarar inte kraven på digital motståndskraft (DORA)
Finansinspektionen (FI) har presenterat en allvarlig varning i sin senaste stabilitetsrapport: många finansiella företag i Sverige lever inte upp till kraven på digital motståndskraft enligt DORA-förordningen. Rapporten baseras på en granskning av 50 banker, försäkringsbolag, betalningsinstitut och handelsplattformar och visar på systematiska brister i företagens IT-säkerhet och krisberedskap.
DORA-förordningen i praktiken
DORA (Digital Operational Resilience Act) trädde i kraft fullt ut i januari 2025 och ställer höga krav på finansiella institutioners förmåga att hantera digitala risker. FI:s kartläggning visar att många företag fortfarande inte uppfyller dessa krav:
Kärnkrav enligt DORA
- Heltäckande kontinuitetsplaner: Företag måste ha planer för att fortsätta verksamheten vid störningar
- Krisberedskap: System för att hantera och begränsa effekter av störningar
- Återställningsplaner: Metoder för att återställa system och funktioner efter incidenter
- Dokumentation av IT-tillgångar: Fullständig översikt över kritiska system och komponenter
Kartläggningen av bristerna
FI har kartlagt 50 finansiella företag och funnit att många saknar grundläggande delar av DORA-kraven:
- 30% av företagen: Saknar heltäckande kontinuitetsplaner
- 25% av företagen: Har otillräckliga krisberedskapsrutiner
- 40% av företagen: Dokumenterar inte sina IT-tillgångar tillräckligt
Specifika riskområden
FI:s rapport identifierar flera specifika riskområden där finansiella företag har särskilt stora brister:
AI-relaterade risker
En ny och växande oro är kopplingen till artificiell intelligens. FI:s generaldirektör Johan Almenberg nämnde specifikt AI-nämndes som en risk, särskilt gällande Anthropics Mythos-modell:
"AI nämndes som specifik risk (Anthropics Mythos-modell)"
Dessa risker inkluderar:
- Förståelse för AI-systemens beslutsprocesser
- Säker hantering av AI-träningsdata
- Möjlighet att detektera och motverka AI-drivna attacker
Tredjepartsrisker
Flertalet finansiella företag förlitar sig på externa leverantörer för kritiska system, men har otillräcklig kontroll över dessa leverantörers IT-säkerhet:
- Obestämda avtalsvillkor för IT-säkerhet
- Brist på regelbundna säkerhetsrevisioner av leverantörer
- Oklara ansvarsfördelningar vid incidenter
Företagens reaktion
Enligt FI:s rapport har företagen olika reaktioner på DORA-kraven:
Positiva utvecklingar
Vissa företag har tagit DORA-kraven på allvar och implementerat robusta system:
- Större banker har investerat i avancerade cybersäkerhetsplattformar
- Försäkringsbolag har utvecklad mer sofistikerade riskanalyser
- Betalningsinstitut har förbättrat sin incidenthantering
Utmaningar för mindre företag
Små och medelstora finansiella företag står inför särskilda utmaningar:
- Begränsade resurser för att implementera kraven
- Brist på specialkompetens inom IT-säkerhet
- Komplexiteten i att förstå och implementera DORA
FI:s råd och rekommendationer
FI har gett flera konkreta råd till finansiella företag för att förbättra sin digitala motståndskraft:
Åtgärder omedelbart
- Implementera grundläggande dokumentation av IT-tillgångar
- Utveckla minst en grundläggande kontinuitetsplan
- Etablera rutiner för att hantera IT-incidenter
Långsiktiga strategier
- Bygg upp en dedikerad IT-säkerhetsorganisation
- Implementera regelbundna säkerhetstester och penetrationstester
- Utveckla ett systematiskt sätt att hantera tredjepartsrisker
Konsekvenser av otillräcklig compliance
Företag som inte uppfyller DORA-kraven riskerar flera allvarliga konsekvenser:
Regressansvar
Enligt DORA kan företag som orsakar störningar i finansiella system bli skyldiga att betala kompensation till andra aktörer som drabbas:
- Börda på drabbade företag
- Potentiellt stora ekonomiska förluster
- Förlorat förtroende hos kunder och marknaden
Tillsynsåtgärder
FI kan vidta flera typer av tillsynsåtgärder mot företag som inte uppfyller kraven:
- Ändrade tillsynsplaner med ökad övervakning
- Administrative böter
- I extremfall återkallande av tillstånd
Påverkan på betalningsmarknaden
DORA-bristerna har breda konsekvenser för den svenska betalningsmarknaden:
Systemrisker
Svag digital motståndskraft hos enskilda företag kan skapa systemrisker:
- Kaskadeffekter vid störningar
- Risk för marknadsstörningar
- Påverkan på finansiell stabilitet
Konkurrenssituationen
De företag som snabbt anpassar sig till DORA får en konkurrensfördel:
- Förtroende hos kunder och partners
- Lägre risk för operationella störningar
- Bättre möjligheter att växa i en alltmer regulatorisk miljö
Ny kompetensbehov
DORA har skapat ett stort behov av ny kompetens inom:
- Cybersäkerhet
- IT-riskhantering
- Regulatorisk compliance
- Kontinuitetsplanering
Nästa steg för FI
FI har planerade åtgärder för att förbättra situationen:
Ökad tillsyn
För 2026 planerar FI att:
- Fördjupa granskningen av IT-säkerhet hos finansiella företag
- Genomföra riktade granskningar av särskilt kritiska områden
- Övervaka företagens implementering av DORA-kraven
Industrisamarbete
För att stödja mindre företag planerar FI att:
- Arrangera utbildningar om DORA och IT-säkerhet
- Utveckla branschgemensamma verktyg och mallar
- Skapa forum för erfarenhetsutbyte mellan företag
Frågor för framtiden
DORA-implementationen väcker flera viktiga frågor för den finansiella sektorn:
AI-reglering
Hantering av AI-risker är ett nytt område som kräver särskilt fokus:
- Behov av specifika regelverk för AI inom finans
- Utveckling av kompetens för AI-säkerhet
- Balans mellan innovation och riskhantering
Tredjepartsrisker i en digital värld
Finansiella företags ökande beroende av externa leverantörer kräver nya lösningar:
- Transparens i leverantörsleden
- Standardiserade säkerhetskrav
- Delat ansvar vid incidenter
Källor
- Finansinspektionen (FI) stabilitetsrapport 2026, publicerad 20 maj 2026
- DORA-förordningen (EU) 2022/2554
- FI:s tillsynsrapport om finansiell stabilitet 2026