Analys

2026-07-17-dora-incidentrapport-2025

5 min

--- title: "Första DORA-incidentrapporten: System- och processfel dominerar – tredjepartsberoenden i fokus" description: "Europeiska tillsynsmyndigheternas första gemensamma rapport om allvarliga IKT-incidenter visar att systemfel och tredjepartsberoenden utgör största risken för finansiell infrastruktur." published: "2026-07-17" reading-time: "5 min" keywords: ["DORA", "cybersäkerhet", "IKT-incidenter", "Finansinspektionen", "tredjepartsrisker", "operativ motståndskraft"] author: "PayPro Redaktion" ---

Första DORA-incidentrapporten: System- och processfel dominerar – tredjepartsberoenden i fokus

Europeiska tillsynsmyndigheterna publicerar första gemensamma rapporten om allvarliga IKT-incidenter. FI ser betydande tredjepartskopplingar bland svenska företag.

De europeiska tillsynsmyndigheterna (EBA, EIOPA, ESMA) har publicerat den första gemensamma rapporten om allvarliga IKT-relaterade incidenter inom EU:s finansiella sektor. Rapporten täcker incidenter under 2025 — det första hela året som DORA-förordningen var i fullt tillämpning.

Vad rapporten visar

Rapporten fastställer att IKT-risker i allt högre grad är gränsöverskridande och sammanlänkade. De tre huvudsakliga orsakerna till allvarliga incidenter:

  • Process- och systemfel — utgör den absoluta merparten av rapporterade incidenter, både i Sverige och inom EU
  • Externa händelser — inklusive leverantörsstörningar
  • Cybersäkerhetsrelaterade incidenter — förekommer men utgör en mindre andel

Tredjepartsberoenden i fokus

En särskild iakttagelse gäller tredjepartsleverantörer. Finansinspektionen konstaterar att en betydande andel av incidenterna i Sverige har kopplingar till en tredjepartsleverantör. Detta är en central poäng: när finansiella företag är beroende av samma tekniska leverantörer, kan en enda störning få kaskadeffekter över hela sektorn.

Rapporten betonar att arbetet med digital operativ motståndskraft behöver fortsätta stärkas. Både interna brister och externa beroenden måste hanteras mer systematiskt.

Vad är DORA?

DORA (Digital Operational Resilience Act) är EU:s förordning om digital operativ motståndskraft som började tillämpas fullt ut i januari 2025. Förordningen kräver att finansiella företag:

  • Hanterar risker med informations- och kommunikationsteknik (IKT)
  • Testar sin digitala operativa motståndskraft regelbundet
  • Hanterar risker kopplade till tredjepartsleverantörer
  • Rapporterar allvarliga IKT-incidenter till sin nationella tillsynsmyndighet

I Sverige ansvarar Finansinspektionen för tillsynen över DORA-efterlevnad.

Relevans för svensk betalningsinfrastruktur

För banker, betalningsinstitut och betaltjänstleverantörer i Sverige innebär rapporten flera viktiga insikter:

  • Tredjepartsriskhantering måste prioriteras — särskilt för aktörer som förlitar sig på molntjänster, core banking-plattformar eller delade betalningsinfrastrukturer
  • Incidentrapportering fungerar nu som avsett — DORA ger tillsynsmyndigheterna en samlad bild av sektorns sårbarheter
  • Korrespondentförbindelser — FI genomför parallellt en fördjupad analys av hur svenska banker hanterar risker i internationella betalningsnätverk

FI:s stabilitetsrapport bekräftar bilden

I sin stabilitetsrapport 2026:1 konstaterar FI att företagen behöver fortsätta stärka sin operativa motståndskraft. DORA-incidentrapporten och FI:s egen analys pekar i samma riktning: den finansiella sektorns digitala beroenden kräver systematisk riskhantering.

Källor

  • De europeiska tillsynsmyndigheternas rapport om allvarliga IKT-relaterade incidenter (EBA, 2026)
  • Finansinspektionen: "Rapport om allvarliga IKT-relaterade incidenter enligt Dora-förordningen" (fi.se, 2026)
  • FI Stabilitetsrapport 2026:1

Relaterade artiklar