2026-07-14-fi-digital-motstandskraft-varning
Finansinspektionens stabilitetsrapport 2026:1 avslöjar att svenska finansiella företag halkar efter efter DORA-regleringen. Sårbarheter i betalningsinfrastrukturen riskerar finansiell stabilitet.
FI varnar: Företagen klarar inte kraven på digital motståndskraft
Finansinspektionens senaste stabilitetsrapport 2026:1 sänder en tydlig varning till den svenska finanssektorn: många finansiella företag saknar den digitala motståndskraft som krävs för att möga EU:s DORA-förordning och säkra den finansiella stabiliteten. Läsningen: när nästa IT-kris slår till, är betalningssystemen inte beredda.
DORA-förordningen i fullt utförande
EU:s Digital Operational Resilience Act (DORA) gäller fullt ut sedan januari 2025 och ställer omfattande krav på finansiella instituts förmåga att hantera IT-risker, genomföra regelbundna tester och upprätthålla robusta krisplaner. Finansinspektionen har kartlagt 50 finansiella företag för att bedöma efterlevnadsgraden.
Resultaten är oroande: trots att DORA-kraven varit kända i flera år uppvisar många företag betydande brister i sin beredskap. Detta särskilt gäller företag med komplexa it-miljöer där flera system är sammankopplade.
Kritiska sårbarheter i betalningsinfrastrukturen
FI:s granskning har identifierat flera kritiska luckor som direkt påverkar betalningssystemens säkerhet och tillförlitlighet:
- Måttlig testkapacitet: Endast 35% av företagen genomför regelbundna penetrationstester av sina system
Brister i krisberedskap: 42% saknar heltäckande kontinuitetsplaner för IT-incidenter
Svag övervakning: 28% har otillräckliga system för att upptäcka och rapportera IT-incidenter
Avtalsproblem: 65% har otillräckliga krav på leverantörers IT-säkerhet i sina avtal
Dessa brister skapar en sårbar infrastruktur där en enda allvarlig IT-incident kan lamslå hela delar av betalningssystemet, med risk för systemkollaps och finansiella förluster.
Systemriskerna är verkliga
Finansinspektionen pekar specifikt på risker kopplade till:
- Koncentrerad beroendestruktur: Många företag förlitar sig på samma it-leverantörer och plattformar
Uppdateringsbrister: Föråldrade system som inte längre får säkerhetsuppdateringar
Svagt IT-personal: Brist på kompetens för att hantera moderna IT-hot
Dataintegrationsproblem: Komplexa systemintegrationer som gör det svårt att snabbt isolera problem
"Vi ser en trend där företagen satsar på nya funktioner men underskattar den underliggande IT-säkerheten", säger FI-generalen Erik Thedéen. "När en allvarlig incident inträffar kommer det att vara för sent att bygga den motståndskraft som krävs."
Konsekvenser för betalningsmarknaden
De upptäckta sårbarheterna har direkt påverkan på den svenska betalningsmarknadens stabilitet:
- Systemrisker: En incident hos en stor aktör kan lamslå hela betalningsflödet
Operativa störningar: Långsamma återställningsprocesser leder till betalningsförseningar
Förtroendepåverkan: Regelbromna incidenter skadar förtroendet för hela systemet
Ekonomiska kostnader: Systemstörningar kan uppgå till miljardbelopp i förlorad transaktionsvolym
FI:s krav på förbättringar
Finansinspektionen har krävt omedelbara åtgärder från de mest sårbara företagen:
- Upprätta kompletta IT-incidenthanteringsplaner senast september 2026
- Öka frekvensen på penetrationstester till minst halvårsbasis
- Implementera realtidsövervakning av IT-systemen
- Bygga redundans i kritiska systemkomponenter
- Skapa tydliga rutiner för kommunikation vid incidenter
"Vi vill få utökad möjlighet att ställa krav på företag för att samhällsviktiga tjänster ska fungera i kris", säger Thedéen. "Det räcker inte med att företagen själva bedömer sina risker - vi behöver stärkt tillsyn för att garantera systemens motståndskraft."
Beredskapen inför framtiden
Utvecklingen inom IT-säkerhet går snabbt framåt, med nya hot som kvantdatorer, AI-drivna cyberattacker och ökad komplexitet i systemintegrationer. FI:s rapport betonar behovet av kontinuerlig anpassning och förbättrad säkerhetskultur i finanssektorn.
Samtidigt växer beroendet av digitala betalningar, vilket gör sårbarheterna mer allvarliga. En framtid där merparten av betalningarna sker digitalt kräver proportionerligt starkare säkerhetsåtgärder.
Slutsats: En nödvändig ökning av säkerhetsnivån
Finansinspektionens varning är tydlig: den svenska finanssektorn måste ta IT-säkerhet på allvar och investera i den digitala motståndskraft som krävs för att möga DORA-förordningen och säkra den finansiella stabiliteten. Efterlevnad är inte bara en regelkrav utan en nödvändighet för att undvika katastrofala systemkollaps.
Frågan är inte om en allvarlig IT-incident kommer att inträffa, utan när. Då måste systemen vara redo att hantrycka utan att betalningsmarknaden kollapsar.
Som FI skriver: "Den digitala motståndskraften är inte en kostnad, utan en investering i systemens överlevnad."
Relaterade artiklar
2026-07-05-dora-forsta-aret-fi-varnar-efterlevnad
EU:s tillsynsmyndigheter publicerar första DORA-rapporten: 3 383 allvarliga IKT-incidenter i finanssektorn. Samtidigt varnar Finansinspektionen för att svenska företag riskerar att inte nå regelkraven.
Läs analyseneba-forsta-dora-rapport-fi-varnar
EBA publicerar sin första DORA-årsrapport: 3 383 allvarliga IKT-incidenter i EU:s finanssektor. Samtidigt varnar FI i stabilitetsrapport 2026:1 att svenska företag riskerar att inte nå regelkraven.
Läs analysendora-den-digitale-operativa-resiliensen
EU:s DORA-förordning revolutionerar hur finanssektorn hanterar digital risk och operativ resiliens. Här är vad svenska banker och finansiella institut behöver veta.
Läs analysen