Analys

dora-forsta-arsrapport-ikt-incidenter

5 min

EU:s första DORA-rapport: Tredjepartsberoenden är den största IKT-risken i finanssektorn

Efter det första året med obligatorisk incidentrapportering under DORA-förordningen presenterar de europeiska tillsynsmyndigheterna nu en samlad bild: fel i system och processer dominerar, och beroendet av tredjepartsleverantörer är betydligt större än väntat.

I juni 2026 publicerade EBA, EIOPA och ESMA den första gemensamma rapporten om allvarliga IKT-relaterade incidenter inom EU:s finanssektor. Rapporten bygger på incidentdata från 2025 — det första fulla året som DORA-förordningen var i kraft — och omfattar banker, försäkringsbolag, betaltjänstleverantörer och investeringsföretag i samtliga medlemsstater.

Systemfel, inte hackare, bakom de flesta incidenterna

Mot den allmänna uppfattningen att cyberattacker utgör det största hotet mot finansiell infrastruktur visar rapporten en annan bild. Process- och systemfel utgör den absoluta merparten av de rapporterade allvarliga IKT-incidenterna. Externa händelser — bland annat kopplade till tredjepartsleverantörer — utgör den näst största kategorin.

Cybersäkerhetsrelaterade incidenter förekommer, men andelen är förvånansvärt liten både på EU-nivå och i Sverige. Det betyder inte att cybersäkerhetshoten är obefintlig — snarare att de rutinmässiga it-problemen orsakar fler allvarliga störningar än de spektakulära attackerna.

Sverige: Tredjepartsberoendet är uttalat

Finansinspektionen drar en särskild slutsats för den svenska rapporteringen: en betydande andel av de allvarliga IKT-incidenterna i Sverige har kopplingar till tredjepartsleverantörer. Samtidigt är interna system- och processfel den vanligaste orsaksbilden även här.

För den svenska betalningsmarknaden är detta högst relevant. Bankernas beroende av få leverantörer av core-banking-system, Swish-infrastrukturens koppling till Bankgirot och BankID, och betalningsinstitutens integration med molntjänster skapar gemensamma sårbarheter. När en enda leverantör drabbas kan effekten sprida sig över hela betalningskedjan.

DORA i praktiken: från regelverk till riskbild

DORA-förordningen, som trädde i kraft fullt ut i januari 2025, ställer krav på att finansiella företag hanterar IKT-risker, testar sin digitala operativa motståndskraft och hanterar risker kopplade till tredjepartsleverantörer. Den årliga incidentrapporteringen till tillsynsmyndigheterna ger nu för första gången en strukturerad, jämförbar databas över faktiska incidenter.

FI konstaterar i rapporten att arbetet med digital operativ motståndskraft behöver fortsätta stärkas. Såväl interna brister som externa beroenden måste hanteras mer systematiskt. FI publicerade i våras också Stabilitetsrapport 2026:1 med samma slutsats: företagen behöver fortsätta stärka sin operativa motståndskraft (Finansinspektionen, 2026).

Vad betyder detta för betalningsbranschen?

För betaltjänstleverantörer — från storbanker till nischade fintech-bolag — innebär DORA-incidentrapporteringen en ny transparens. Tillsynsmyndigheterna kan nu identifiera mönster, gemensamma sårbarheter och leverantörsberoenden som tidigare var osynliga.

Rapporten förväntas publiceras årligen framöver, vilket gör det möjligt att följa trender över tid. Den första utgåvan ger dock en tydlig indikation: den största risken för betalningsavbrott ligger inte i avancerade cyberattacker, utan i vardagliga systemfel och det utbredda beroendet av ett begränsat antal leverantörer.


Källor: De europeiska tillsynsmyndigheternas rapport om allvarliga IKT-relaterade incidenter enligt DORA-förordningen (EBA, juni 2026); Finansinspektionen, nyhet 2026-07; Finansinspektionen, Stabilitetsrapport 2026:1.

Relaterade artiklar