Rapport om allvarliga IKT-relaterade incidenter enligt Dora-förordningen

De europeiska tillsynsmyndigheterna har publicerat en gemensam rapport med incidentdata från finansiella företag inom EU. Rapporten, som innehåller incidentdata för 2025, visar att så kallade IKT‑risker i allt högre grad är gränsöverskridande och sammanlänkade. Process- och systemfel är de vanligaste orsakerna till incidenter.

Dora-förordningen ställer krav på att finansiella företag hanterar risker med informations- och kommunikationsteknik (IKT), testar sin digitala operativa motståndskraft och hanterar risker kopplade till tredjepartsleverantörer. Förordningen innebär också att finansiella företag i samtliga medlemsländer ska rapportera in allvarliga IKT-relaterade incidenter till sin tillsynsmyndighet.

I juni publicerade de europeiska tillsynsmyndigheterna en rapport som ger en samlad bild av de inrapporterade allvarliga IKT-relaterade incidenterna i finanssektorn. Rapporten visar att fel i system och processer samt externa händelser, står för den absoluta merparten av IKT-incidenterna. Rapporten kommer att publiceras årligen framöver.

I rapporteringen från svenska företag ser FI också att en betydande andel av incidenterna har kopplingar till en tredjepartsleverantör. Samtidigt utgör interna system- och processfel de vanligaste orsakerna till incidenter även i Sverige. Cybersäkerhetsrelaterade incidenter förekommer också, men utgör en mindre andel av de rapporterade fallen både i Sverige och inom EU. En slutsats som dras i rapporten är att arbetet med digital operativ motståndskraft behöver fortsätta stärkas. Såväl interna brister som externa beroenden behöver hanteras mer systematiskt för att stärka och utveckla finanssektorns operativa motståndskraft.

Om Dora-förordningen

EU:s-förordning om digital operativ motståndskraft, Dora-förordningen, började tillämpas fullt ut i januari 2025 och riktar sig till de flesta företag som bedriver tillståndspliktig finansiell verksamhet. I Sverige ansvarar FI för tillsynen över hur finansiella företag följer Dora-förordningen.

Läs mer