Inledning Digital Operational Resilience Act (DORA) innebär skärpta krav på finansiella aktörers hantering av IKT-risker, incidentrapportering, tredjepartsrisk och kontinuitet. En central del är hur organisationer styr och följer upp sina IKT-leverantörer. För många verksamheter väcker detta en oro: Kommer DORA innebära fler möten, fler dokument, fler kontroller och mer administration i leverantörssamverkan? Det behöver det inte göra. Tvärtom kan ett redan etablerat samverkansforum med leverantörer bli ett kraftfullt verktyg för att uppfylla DORA – om det struktureras rätt. Nyckeln är att integrera DORA-kraven i befintliga forum och processer istället för att skapa parallella spår. 1. Börja i rätt ände: Vad är syftet med forumet? Många leverantörsforum har vuxit fram organiskt med fokus på operativ uppföljning, roadmap, incidenter och relation. DORA förändrar inte behovet av dessa forum – men det tydliggör att de också behöver stödja strukturerad riskuppföljning, tydlig incidenttransp

Digital operativ motståndskraft handlar inte enbart om teknik, processer och regelverk. Minst lika viktigt är hur människor och funktioner samverkar inom och mellan organisationer. I detta sammanhang blir samverkansforum ett centralt verktyg för att möta kraven i DORA – Digital Operational Resilience Act. DORA ställer höga krav på styrning, riskhantering och uppföljning av IT-relaterade risker. Dessa krav kan sällan uppfyllas av en enskild funktion. I stället krävs strukturerade forum där inköp, IT, informationssäkerhet, risk, compliance och verksamhet möts och fattar gemensamma beslut. Varför samverkansforum är avgörande enligt DORA DORA utgår från ett helhetsperspektiv på digitala risker och förutsätter att organisationen har samlad kontroll över sina ICT-risker, tydliga beslutsvägar och fungerande rapportering. Från informella möten till etablerade styrforum Samverkansforum enligt DORA ska vara formaliserade, dokumenterade och kopplade till tydliga mandat och ansvar. Samverkansforum

Digital operativ motståndskraft har gått från att vara en teknisk fråga till att bli en affärskritisk ledningsfråga. I takt med att finansiella organisationer blir allt mer beroende av externa IT-leverantörer har också riskbilden förändrats. Driftstörningar, cyberincidenter och leverantörsberoenden kan snabbt få konsekvenser för hela verksamheten. Med DORA – Digital Operational Resilience Act – sätter EU ett tydligt regelverk för hur dessa risker ska hanteras. En central del av DORA handlar om leverantörsstyrning: hur organisationer väljer, styr, följer upp och vid behov lämnar sina leverantörer av ICT-tjänster. DORA och tredjepartsrisker DORA utgår från insikten att många av de största operativa riskerna i dag ligger utanför den egna organisationen. Regelverket kräver att finansiella aktörer identifierar kritiska leverantörer, förstår deras påverkan på verksamheten och säkerställer kontroll över risker och beroenden. Från leverantörshantering till leverantörsstyrning Leverantörsstyrni

Digitaliseringen av den finansiella sektorn har skapat ett starkt beroende av IT-system och externa leverantörer. Molntjänster, SaaS-lösningar, driftpartners och andra tredjepartsleverantörer är i dag en central del av verksamheten för banker, försäkringsbolag och andra finansiella aktörer. Samtidigt har cyberhot, driftstörningar och leverantörsberoenden blivit allt mer kritiska risker. Mot denna bakgrund har EU infört DORA – Digital Operational Resilience Act, ett regelverk som syftar till att stärka den digitala operativa motståndskraften i den finansiella sektorn. DORA träder i kraft fullt ut 2025 och innebär omfattande krav på hur organisationer hanterar IT-risker, incidenter och relationen till externa IT-leverantörer. Vad är DORA i korthet DORA är en EU-förordning som gäller direkt i alla medlemsländer och omfattar banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer och kritiska tredjepartsleverantörer av IT-tjänster. Förändrad roll för inköp Under DORA blir inkö

Digitalisering har länge varit en möjliggörare i den finansiella sektorn. Men den har också skapat ett starkt beroende av IT-system, molntjänster och externa leverantörer. När systemen ligger nere, eller när en leverantör inte lever upp till säkerhetskraven, kan konsekvenserna bli allvarliga – både operativt och regulatoriskt. Det är mot denna bakgrund som EU har infört DORA – Digital Operational Resilience Act. För många organisationer uppfattas DORA främst som ett IT- eller compliance-regelverk. I praktiken får det dock minst lika stor påverkan på inköpsarbetet och hur leverantörer väljs, avtalas och följs upp. Vad är DORA – och varför är det relevant för inköp? DORA är ett EU-regelverk som ska stärka den digitala operativa motståndskraften i den finansiella sektorn. Regelverket börjar tillämpas fullt ut 2025 och omfattar bland annat banker, försäkringsbolag, fondbolag och betaltjänstleverantörer. En central del av DORA handlar om tredjepartsrisker – alltså risker som uppstår genom b

Att hyra in inköpskompetens är ett smart sätt för företag utan egen inköpsfunktion att få tillgång till expertstöd. En extern inköpspartner kan hantera allt från löpande beställningar till strategiska upphandlingar.