DORA-system för IKT-leverantörer och digital motståndskraft
Använd leverantörsregister för IKT-tjänsteleverantörer, riskhantering för IKT-risker, och självbedömningar för leverantörsövervakning. Digital Operational Resilience Act gäller från januari 2025.
Leverantörsregister för IKT-tjänsteleverantörer
DORA artikel 28 kräver register över IKT-leverantörer. Använd leverantörsregistret för att dokumentera alla IKT-leverantörer, klassificera kritiska leverantörer, koppla avtal och exitstrategier.
Riskhantering för IKT-risker
DORA artikel 6 kräver IKT-riskhanteringsramverk. Dokumentera IKT-tillgångar i tillgångsregistret, bedöm IKT-risker i riskmatrisen, och koppla säkerhetsåtgärder för att hantera riskerna systematiskt.
Leverantörsbedömningar och övervakning
DORA artikel 30 kräver bedömning av IKT-leverantörer. Skicka säkerhetsbedömningar till kritiska leverantörer, följ upp prestanda och dokumentera kontinuerlig övervakning.
Dokumentation för tillsyn
DORA kräver bevisbar efterlevnad. All information loggas automatiskt - leverantörsregister, riskbedömningar, avtalskrav och åtgärder. Exportera rapporter färdiga för tillsynsmyndigheten.
DORA innebär ett paradigmskifte för finansiella företags hantering av digitala risker. Med ChainSec får ni en systematisk tillvägagångssätt till leverantörsövervakning och IKT-riskhantering som stödjer ert arbete med både nuvarande och framtida krav på digital motståndskraft.
Vad är DORA och vem omfattas?
Digital Operational Resilience Act (DORA) är en EU-förordning som trädde i kraft i januari 2025 och syftar till att stärka den digitala motståndskraften inom finanssektorn. Regelverket omfattar banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, pensionsfonder och andra finansiella aktörer samt deras kritiska IKT-tjänsteleverantörer.
För att uppfylla DORA-kraven behöver finansiella företag implementera omfattande åtgärder:
Robust IKT-riskhantering med fokus på digitala risker och säkerhet i informations- och kommunikationsteknologi.
Systematisk övervakning och verifiering av kritiska IKT-leverantörers säkerhetsnivå och prestanda.
Obligatoriska stresstester och krishanteringsprocesser för att verifiera digital motståndskraft och återhämtningsförmåga.
Så använder ni ChainSec för DORA-efterlevnad
ChainSec ger finansiella företag verktygen för att uppfylla DORA:s krav på IKT-leverantörshantering och riskhantering. Här är hur ni använder plattformen:
Leverantörsregister för artikel 28
DORA artikel 28 kräver register över alla IKT-tjänsteleverantörer. Samla IKT-leverantörer i registret, dokumentera tjänster och avtal, klassificera kritiska leverantörer, koppla exitstrategier och visa myndigheten komplett översikt över IKT-kedjan.
Riskhantering för artikel 6
DORA artikel 6 kräver IKT-riskhanteringsramverk. Dokumentera IKT-tillgångar i tillgångsregistret, bedöm IKT-risker i riskmatrisen, koppla säkerhetskontroller till risker och visa systematisk IKT-riskhantering.
Leverantörsbedömningar för artikel 30
DORA artikel 30 kräver bedömning av kritiska leverantörer. Skicka säkerhetsbedömningar för att utvärdera leverantörers motståndskraft, återhämtningsförmåga och säkerhetsnivå. Dokumentera alla bedömningar och följ upp åtgärder.
Dokumentation klar för tillsyn
DORA kräver bevisbar efterlevnad. Exportera rapporter över IKT-leverantörsregister, klassificering av kritiska leverantörer, riskbedömningar, avtalskrav och kontinuerlig övervakning. Dokumentation färdig för tillsynsmyndigheten.
Se ChainSec i praktiken
Boka en demo så visar vi hur ni kan hantera riskbedömningar och leverantörsgranskningar i ett system. Efter demon får ni testa plattformen kostnadsfritt.
Frågor och svar
- När trädde DORA i kraft och vilka omfattas?
DORA trädde i kraft 17 januari 2025 och gäller alla finansiella företag i EU: banker, försäkringsbolag, värdepappersföretag, betalningsinstitut, fondförvaltare, pensionsfonder och krypto-företag. Det finns inga storleksundantag - även små företag måste följa kraven.
- Vad måste vi ha i vårt IKT-leverantörsregister?
Ni måste dokumentera alla IKT-leverantörer med: leverantörens namn och kontaktuppgifter, vilka tjänster de tillhandahåller, om de är kritiska eller inte, avtalsinformation och avtalstider, samt plats där data lagras och behandlas. Registret ska uppdateras kontinuerligt.
- Hur klassificerar vi kritiska IKT-leverantörer?
En IKT-leverantör är kritisk om: tjänsten är svår att ersätta på kort tid, avbrott skulle väsentligt påverka verksamheten, leverantören hanterar känslig eller affärskritisk data, eller ni har betydande beroende av leverantören. Dokumentera klassificeringen och riskbedömningen.
- Vilka klausuler krävs i avtal med IKT-leverantörer?
Avtal måste innehålla: rätt att granska leverantörens säkerhet och processer, krav på incidentrapportering till er, dokumenterade exitstrategier och övergångsplaner, säkerhetskrav och SLA:er, samt information om eventuella underleverantörer.
- Hur ofta ska vi bedöma våra IKT-leverantörer?
Kritiska leverantörer ska bedömas minst årligen. Genomför säkerhetsbedömningar, granska deras incidenthantering och återhämtningsförmåga, kontrollera att avtalskrav efterlevs, samt dokumentera alla bedömningar och identifierade risker.
- Vad är en exitstrategi och varför krävs det?
En exitstrategi beskriver hur ni kan avsluta samarbetet med en IKT-leverantör utan att störa verksamheten. Den ska inkludera: alternativa leverantörer, tidsplan för övergång, hur data överförs, samt hur kontinuitet säkerställs under bytet. Detta är obligatoriskt för kritiska leverantörer.
- Måste vi rapportera leverantörsincidenter?
Ja, om en IKT-leverantör har en incident som påverkar er verksamhet måste ni rapportera enligt DORA:s tidsramar: Initial notifiering inom 4 timmar, incidentrapport inom 72 timmar, och slutrapport inom en månad. Dokumentera även mindre incidenter för årlig rapportering.
- Hur hjälper ChainSec med DORA:s leverantörskrav?
ChainSec ger er verktygen för DORA: leverantörsregister för artikel 28 (IKT-tjänsteleverantörer), riskhantering för artikel 6 (IKT-riskhanteringsramverk), självbedömningar för artikel 30 (leverantörsbedömningar), samt dokumentation som visar systematisk övervakning för tillsynsmyndigheten.