fi-varnar-digital-motstandskraft-dora
FI varnar: Företagen klarar inte kraven på digital motståndskraft (DORA)
Stockholm, 26 juni 2026 — Finansinspektionen (FI) har släppt sin årliga stabilitetsrapport för 2026 och lyfter fram allvarliga brister i den finansiella sektorns digitala motståndskraft. Många betalningsinstitut, banker och försäkringsbolag klarar inte att möta de nya kraven som följer av DORA-förordningen (Digital Operational Resilience Act).
FIs omfattande kartläggning
I en omfattande kartläggning som omfattar 50 finansiella institutioner — inklusive banker, försäkringsbolag, betalningsinstitut och handelsplattformar — har FI identifierat systemiska brister i digital motståndskraft. DORA-förordningen, som gäller fullt ut sedan januari 2025, ställer höga krav på finansiella aktörers förmåga att hantera cyberhot och IT-relaterade risker.
FIs stabilitetsrapport publicerades den 20 maj 2026 och belyser en oroande utveckling i den finansiella sektorns förmåga att hantera digitala utmaningar.
Betalningssektorns sårbarheter
Betalningsinstitut är direkt drabbade av DORA-kraven och står inför unika utmaningar:
1. IT-systemens komplexitet
Modern betalningsinfrastruktur baseras på komplexa IT-system med många integrationspunkter. FI:s kartläggning visar att: - 30% av de granskade betalningsinstituten saknar heltäckande kontinuitetsplaner - Många har bristande kris- och återställningsplaner - Testning av system mot verksamhetens behov är otillräcklig
2. AI-sårbarheter och nya hot
FI:s rapport lyfter fram AI-utveckling som en specifik ny riskområde. AI-system som Anthropics Mythos-modell kan både upptäcka och utnyttja it-sårbarheter på nya sätt. Betalningssektorn, som är beroende av automatiserade beslutsprocesser, särskilt utsatt för AI-relaterade hot.
3. Systemrisker och samband
30% av fastighetssektorns finansiering förfaller inom 12 månader (upp från 25%), vilket skapar press på betalningsflöden och ökar systemriskerna. FI pekar på behovet av att förstå sambanden mellan olika finansiella aktörer och hur enstaka störningar kan spridas i systemet.
4. FTPOS-samarbetet
FI, Riksbanken och Riksgälden har bildat en ny samverkansstruktur kallad FTPOS (Finansiell Tillsyn och Pensionsövervakning) för att bättre hantera systemrisker. Detta samarbete kommer att bli viktigt för att säkerställa hela den finansiella sektorns stabilitet.
DORA-förordningens krav
DORA ställer följande grundläggande krav på finansiella aktörer:
1. Digital operativ motståndskraft
Alla finansiella institutioner måste ha robusta system för att: - Identifiera, förhindra, hantera och återhämta sig från IT-störningar - Säkerställa kontinuitet i verksamheten - Ha adekvata backup- och återställningslösningar
2. Incidenthantering
Kraven inkluderar: - Tydliga rutiner för att hantera IT-incidenter - Rapportering till FI inom specifika tidsramer - Regelbundna tester av incidenthanteringsplaner
3. Tredjepartsrisker
Betalningsinstitut måste hantera risker från externa leverantörer, inklusive: - Due diligence av IT-leverantörer - Kontrakt som säkerställer motståndskraft - Övervakning av externa risker
FIs varningar och rekommendationer
Johan Almenberg, generaldirektör på FI, har i samband med rapportens publicering varnit för allvarliga brister i den finansiella sektorns förmåga att möta DORA-kraven. FI begär nu ny lagstiftning för att ställa bindande krav vid höjd beredskap, särskilt i kris- eller krigstid.
Skärpt tillsyn
FI:s varningar om brister kan leda till: - Ökad tillsyn av betalningsinstitut - Förelägganden om att åtgärda specifika brister - Potentiella sanktioner mot institutioner som inte uppfyller kraven
Tidspress
Med DORA fullt ut implementerat sedan januari 2025 är många aktörer fortfarande i efterträde. FI:s granskning visar att många behöver: - Öka investeringarna i cybersäkerhet - Förbättra incidenthanteringsrutiner - Utveckla bättre testsystem
Samhällspåverkan
En svag digital motståndskraft i den finansiella sektören har bred samhällspåverkan: - Risk för störningar i betalningssystemen - Potential för finansiella förluster för konsumenter och företag - Förlorat förtroende för det finansiella systemet
Betalningsinstitutens utmaningar
Den specifika situationen för betalningsinstitut inkluderar flera unika utmaningar:
1. Tekniska begränsningar
Många betalningsinstitut har arvet från äldre IT-system som är svåra att anpassa till moderna krav. Många har också begränsade resurser för att genomföra de nödvändiga investeringarna.
2. Regulatorisk komplexitet
Betalningsinstitut står inför flera parallella regelverk: - DORA för operativ motståndskraft - PSD2/PSD3 för betaltjänster - Penningtvättsregler för compliance - Lokala krav från nationella tillsynsmyndigheter
3. Konkurrenssituation
Stora och små betalningsinstitut står inför olika utmaningar. Stora aktörer har resurser men komplex system, medan mindre aktörer har enklare system men begränsade möjligheter att investera i säkerhet.
4. Kompetensbrist
Det råder brist på specialister inom cybersäkerhet och IT-resiliens inom finanssektorn. Detta gör det svårt för många att uppfylla DORA-kraven i tid.
Nästa steg för branschen
FI:s rapport markerar startskottet för en intensiv period av förbättringsarbeten inom den finansiella sektoren. För betalningsinstitut innebär detta:
1. Prioriterade investeringar
Investeringar som bör prioriteras inkluderar: - Uppgradering av IT-infrastruktur - Implementation av robust backup-lösningar - Utveckling av AI-säkerhetsrutiner - Förbättrad incidenthantering
2. Samarbeten och standardisering
Möjliga åtgärder inkluderar: - Samarbeten mellan betalningsinstitut om gemensamma säkerhetslösningar - Standardisering av testning och incidenthantering - Delning av information om hot och sårbarheter
3. Utbildning och kompetensutveckling
Branschen behöver satsa på: - Utbildning i cybersäkerhet för ledning och personal - Certifiering av specialistkompetens - Program för kompetensutveckling och karriärvägar
Slutsats
FI:s varningar om brister i den finansiella sektorns digitala motståndskraft är allvarliga och markerar ett viktigt väckelsesamtal för hela branschen. Betalningsinstitut, som är ryggraden i den moderna ekonomin, måste snabbt anpassa sig till DORA-kraven för att undvika allvarliga konsekvenser för både verksamheten och konsumenter.
Utvecklingen kommer att följas noga av både aktörer i branschen och tillsynsmyndigheter, eftersom den finansiella stabiliteten står på spel.
Källa: FI stabilitetsrapport 2026:1 (publicerad 20 maj 2026) + Johan Almenberg (generaldirektör FI)