Analys
DORAEBAFIFinansinspektionenoperativa motståndskraftIKT-incidentercybersäkerhetbetalningarbanker Sverige

eba-forsta-dora-rapport-fi-varnar

7 min

EBA publicerar sin första DORA-årsrapport: 3 383 allvarliga IKT-incidenter i EU:s finanssektor. Samtidigt varnar FI i stabilitetsrapport 2026:1 att svenska företag riskerar att inte nå regelkraven.

DORAs första år: 3 383 incidenter i EU — FI varnar för svenska banker som inte hinner ikapp

Europeiska bankingmyndigheten publicerar sin första årliga rapport över DORA-incidenter. Samtidigt drar FI slutsatsen att svenska finansföretag riskerar att halka efter kravbildningen. Två rapporter, samma budskap: operativa motståndskraft är inte löst.

3 383 incidenter — men få handlar om hackerangrepp

I juli 2026 publicerade EBA (European Banking Authority) sin första årliga översikt av allvarliga IKT-incidenter enligt DORA-förordningen. Siffrorna ger en bild av en finanssektor som stöter mot tekniska problem mer ofta än mot externa hot. 3 383 incidenter rapporterades från finansiella företag över hela EU. Det motsvarar cirka 0,18 incidenter per enhet som omfattas av DORAs rapporteringsskyldighet. Cirka en tredjedel — runt 1 128 fall — hade gränsöverskridande effekt och påverkade aktörer i fler än ett medlemsland. Det som är överraskande: bara 10% av alla incidenter relaterade till cybersäkerhet. Systemfel, driftstörningar och externa händelser (elavbrott, underleverantörssläpp) står för löjonandelen. Direkt påverkan på kunder och transaktioner bedöms som generellt begränsad, men EBA betonar att trenden behöver övervakas noga — särskilt med tanke på att AI-drivna verktyg snabbt introduceras i finansiella företag utan att säkerhetsrutinerna hänger med. EBA slår också fast att DORA Artikel 22(2) gör årlig rapportering obligatorisk för ESAs från och med 2025. Detta är alltså den första rapportcykeln — och siffrorna förväntas öka när rapporteringsrutinerna mognar.

FI drar samma slutsats på svensk nivå

Torsdagen den 3 juli publicerade Finansinspektionen sin stabilitetsrapport 2026:1. Den bekräftar EBA:s bild — och lägger till en nationell varning. FI konstaterar att det svenska finansiella systemet i grunden är stabilt. Men myndigheten drar samtidigt slutsatsen att vissa företag inte når upp till DORA-regelkraven. Myndigheten har kartlagt och analyserat efterlevnaden och pekar på att risken för ickeefterlevnad finns kvar, särskilt hos mindre aktörer med begränsade resurser. Det som gör rapporten extra aktuell är kopplingen till geopolitiken. Under våren 2026 orsakade osäkerheten kring Mellanöstern-konflikten kraftiga prisrörelser och hög volatilitet på globala marknader. FI bedömer att sannolikheten för en kraftigare ekonomisk inbromsning har ökat — och att finanssektorn måste vara redo att hantera både ekonomisk stress och tekniska haverier samtidigt. FI föreslår dessutom ny lagstiftning som ger myndigheten kravrätt på finansiella företag i krigssituation. Riksbanken har redan föreskriftsrätt gällande betalningsberedskap, men ett tydligare ramverk för FI skulle stärka samordningen.

Vad betyder det för svenska betaltjänster?

DORA riktar sig inte bara till banker. Betaltjänstleverantörer — Klarna, Trustly, Zimpler, Bankgirot, Swish — omfattas av samma rapporteringsskyldigheter när det gäller IKT-resiliens och incidenthantering. Tre konkreta konsekvenser för paypro.se:s läsare: 1. Rapporteringströskeln är lägre än många tror. DORA kräver att incidenter som påverkar kriticitetsnivå tjänster rapporteras inom 24 timmar till den nationella tillsynsmyndigheten. 10% av EBA:s incidenter var cybersäkerhetsrelaterade — det betyder att 90% var operativa fel. Ett systemfel i en Swish-integration eller ett avbrott i en betaltjänsts API räcker för att triggas in i rapporteringsskyldighet. 2. Underleverantörskedjan är den största risken. EBA:s rapport lyfter fram externa händelser och underleverantörsproblem som huvudorsaker. För betaltjänster som litar på molnleverantörer, kortnätverk och tredjeparts-API:er är detta en direkt varning. DORA kräver att företag kartlägger och övervakar sin hela IKT-underleverantörskedja — inte bara de direktkontrakterade partner. 3. Sverige ligger efter i implementationen. FI:s varning i stabilitetsrapporten pekar på att de svenska företagen inte är i mål. Mindre banker och betaltjänster med begränsad compliance-resurser riskerar att halka efter. EBA:s gränsöverskridande siffra (~1 128 incidenter) visar också att problem i ett land snabbt sprider sig — ett svenskt betalbolag som drabbas av ett IKT-haveri kan trigga incidentrapportering i Tyskland, Danmark och Finland samtidigt.

Vad händer härnäst

DORA har varit fullt tillämplig i Sverige sedan juli 2025. 2026 är alltså det första hela år där efterlevnadsdata samlas in systematiskt. EBA:s andra årsrapport kommer i juli 2027 — och då förväntas både antalet rapporterade incidenter och myndigheternas kravbild ha skärpts. FI:s förslag om ny kravrättslagstiftning väntas ta minst ett år att genomföra politiskt. Men signalen är tydlig: myndigheterna ser operativa risker som en av de största hoten mot den svenska betalningsinfrastrukturen. För betaltjänstleverantörer handlar det om tre konkreta steg: kartlägg underleverantörskedjan, öva incidentresponder, och säkerställ att rapporteringsrutiner enligt DORA Artikel 22 faktiskt fungerar i praktiken — inte bara på papper. EBA:s första siffra — 3 383 incidenter — är inte slutet på storyn. Det är början på en ny normal där operativa motståndskraft mäts, rapporteras och granskas årligen. För svenska aktörer gäller det att vara redo innan den andra rapporten kommer.

Källor: EBA — ESAs publish first report on DORA major ICT-related incidents (juli 2026). FI — Stabilitetsrapport 2026:1 (2026-07-03).

Relaterade artiklar

analys
5 min

2026-07-05-dora-forsta-aret-fi-varnar-efterlevnad

EU:s tillsynsmyndigheter publicerar första DORA-rapporten: 3 383 allvarliga IKT-incidenter i finanssektorn. Samtidigt varnar Finansinspektionen för att svenska företag riskerar att inte nå regelkraven.

Läs analysen
DORAIKT-incidentercybersäkerhetFinansinspektionenEBAfinansiell stabilitetbetalningsberedskap