Digitaliseringen av den finansiella sektorn har skapat ett starkt beroende av IT-system och externa leverantörer. Molntjänster, SaaS-lösningar, driftpartners och andra tredjepartsleverantörer är i dag en central del av verksamheten för banker, försäkringsbolag och andra finansiella aktörer. Samtidigt har cyberhot, driftstörningar och leverantörsberoenden blivit allt mer kritiska risker.
Mot denna bakgrund har EU infört DORA – Digital Operational Resilience Act, ett regelverk som syftar till att stärka den digitala operativa motståndskraften i den finansiella sektorn. DORA träder i kraft fullt ut 2025 och innebär omfattande krav på hur organisationer hanterar IT-risker, incidenter och relationen till externa IT-leverantörer.
Vad är DORA i korthet
DORA är en EU-förordning som gäller direkt i alla medlemsländer och omfattar banker, försäkringsbolag, värdepappersbolag, betaltjänstleverantörer och kritiska tredjepartsleverantörer av IT-tjänster.
Förändrad roll för inköp
Under DORA blir inköp en strategisk funktion. Inköpsbeslut blir riskbeslut och kräver samarbete mellan inköp, IT, risk och juridik.
Påverkan på leverantörsval och upphandling
DORA ställer krav på riskbedömning, klassificering av leverantörer och dokumenterade beslut redan i upphandlingsfasen.
Avtalens ökade betydelse
Avtal måste innehålla specifika klausuler om säkerhet, incidentrapportering, revision, underleverantörer och exitstrategier.
Förändrad uppföljning av leverantörer
Uppföljning ska ske löpande och vara dokumenterad. Organisationer måste kunna visa tillsynsmyndigheter hur leverantörer kontrolleras över tid.
