Lär dig om DORA, IFRS 16, NIS2 och avtalshantering | House of control

DORA: Styrelsens och ledares ansvar | House of Control

Skriven av House of Control | 2025-09-01

Styrelsens och ledares ansvar under DORA är kärnan i EU:s nya ramverk för digital motståndskraft. Här får du översikten på både strategisk och operativ nivå, med allt du behöver för att uppfylla kraven.

Digital motståndskraft är inte längre bara ett IT-ansvar. Sedan den 17 januari 2025 är EU:s Digital Operational Resilience Act (DORA) fullt tillämplig, och ansvaret ligger nu hos styrelsen och företagsledningen. Detta innebär att DORA handlar om mer än reglering, det handlar om ledarskap.

DORA förändrar spelreglerna för styrning. Digital motståndskraft flyttas från att vara ett tekniskt ansvar till att bli ett styrelse- och ledningsansvar. Det kräver kunskap, engagemang och samarbete. Rätt hanterat öppnar det också för starkare företag och långvarigt förtroende.

För företag i finanssektorn och närliggande branscher betyder detta att digital risk och motståndskraft måste behandlas med samma allvar som finansiell risk. Frågan är inte längre ”är IT-avdelningen redo?”, utan ”är vi som ledare redo?”

DORA och styrelsen: Varför styrning och ledning är avgörande

Kärnan i DORA ger styrelsen två tydliga skyldigheter:

  • Sätta ramverket för hantering av IKT-risk och digital motståndskraft

  • Övervaka och följa upp att ramverket faktiskt fungerar

Styrning är inte valfritt – det är en lagstadgad plikt. Styrelsen måste säkerställa rätt strukturer, processer och resurser för att uppfylla regulatoriska förväntningar.

IKT-risk är inte en “fråga vid sidan av”, utan måste integreras i den övergripande riskhanteringen. Styrelsen förväntas ta ett helhetsgrepp: bygga in IKT-risk i riskbilden, kräva tydliga rapporteringslinjer och få regelbundna uppdateringar om cyberrisker, resiliens-tester, incidenthantering och leverantörsuppföljning.

Viktigast av allt: styrelsen måste visa digital kompetens, och bristande kunskap är inte längre en ursäkt. Styrelsemedlemmar måste ha insikt och färdigheter för att förstå IKT-risker och ställa de rätta frågorna.

Ledaransvar under DORA: Från beslut till daglig drift


Medan styrelsen definierar ramverket är det ledningen som får det att fungera. Under DORA är ledarna ansvariga för att integrera IKT-riskhantering i den dagliga verksamheten.

VD bär det övergripande ansvaret, men nyckelroller fördelas:

  • CIO: Säkerställer att den tekniska delen av IKT-riskhanteringen fungerar

  • CISO: Leder arbetet med informationssäkerhet och resiliens

  • Compliance: Övervakar uppföljning och efterlevnad av regelverket

VD måste dessutom säkerställa tillräckliga resurser, etablera rutiner för incidenthantering och noggrant utvärdera leverantörer. DORA kräver också en oberoende kontrollfunktion för IKT-risk som är åtskild från den dagliga driften för att undvika intressekonflikter.

Kulturen är nyckeln. Ledningen måste främja en organisationskultur där resiliens är allas ansvar, stödd av utbildning, medvetenhet och samarbete över gränserna.

Incidentrapportering: Agera snabbt när det gäller

En av de mest konkreta skyldigheterna i DORA är incidentrapportering. Allvarliga IKT-incidenter måste snabbt rapporteras till myndigheterna, i vissa fall inom några timmar.

Styrelsen och ledningen måste säkerställa att:

  • Det finns tydliga rutiner för att upptäcka och klassificera incidenter

  • Rapportering internt sker omedelbart så att beslutsfattare snabbt informeras

  • Compliance-teamet kan hantera de mycket korta tidsfristerna för rapportering.

Detta handlar inte bara om att undvika sanktioner. Öppen och snabb rapportering handlar också om att skydda förtroendet hos kunder, partners och tillsynsmyndigheter.

Testning av motståndskraft: Bevis på att ramverket fungerar

DORA kräver regelbunden testning av digital motståndskraft, från grundläggande sårbarhetsbedömningar till avancerade hotbaserade penetrationstester (TLPT) utförda av oberoende experter.

För ledningen innebär detta att säkerställa att:

  • Det finns en plan för regelbunden testning av system, kontroller och återställningsprocesser

  • Resultaten rapporteras tillbaka till styrelsen och följs upp

  • Identifierade svagheter leder till tydliga åtgärder

Testning är platsen där strategi möter verklighet. Det är så ledare kan vara säkra på att motståndskraft inte bara är en policy, utan en faktisk kapacitet i verksamheten.

Tredjepartsrisk: Styrning av externa leverantörer

En stor del av IKT-risken ligger hos tredjepartsleverantörer, såsom molntjänster, fintech-partners och andra kritiska aktörer. DORA är tydlig: ansvaret stannar hos styrelsen och ledningen, även vid outsourcing.

Detta kräver:

  • Due diligence innan man tar in nya IKT-leverantörer

  • Tydliga kontrakt som definierar säkerhet, resiliens och rapporteringskrav

  • Löpande uppföljning av leverantörens prestation och säkerhet

  • Exit-strategier om leverantören inte kan leverera på ett säkert sätt

För ledare handlar detta om att inse att resiliens också är en fråga om leverantörskedjan. Solid styrning av leverantörer är nu både ett regulatoriskt krav och en affärsmässig nödvändighet.

Tillsynsförväntningar: Dialog och dokumentation

DORA öppnar för nära europeisk samordning mellan tillsynsmyndigheter. Företag måste vara förberedda på ökad kontroll och fler krav på dokumentation.

Styrelsen och ledningen måste säkerställa att:

  • Styrningsbeslut och riskbedömningar är väl dokumenterade

  • Det finns tydliga spår av incidenter, testning och leverantörsuppföljning

  • Företaget kan visa på faktisk genomföring, inte bara planer

I praktiken innebär detta att vara förberedd på nära dialog med tillsynsmyndigheter, och att betrakta dem som centrala intressenter i digital resiliens.

Så får styrelsen och ledningen DORA-styrning att fungera i praktiken

Compliance kan inte reduceras till en checklista. Effektiv styrning innebär en kontinuerlig cykel av planering, genomförande, testning och utvärdering.

Ledare bör fokusera på:

  • Mätbara mål: Tydliga KPI:er för resiliens och riskreduktion

  • Regelbunden rapportering: Synlighet av framsteg och incidenter till styrelsen

  • Tvärfunktionellt samarbete: Forum där CIO, CISO, compliance och riskhantering samordnar insatserna

  • Leverantörsuppföljning: Aktiv riskhantering utöver de egna systemen

När detta hänger ihop blir resiliens en integrerad del av verksamheten, och mer än bara ett compliance-krav.

Risken med att ignorera DORA

Att inte följa DORA kan få allvarliga konsekvenser. Reglerna öppnar för betydande böter, och vid grov vårdslöshet kan styrelsemedlemmar eller ledare hållas personligt ansvariga.

Men den största förlusten är ofta anseendet. En cyberincident som avslöjar svag styrning kan underminera både kunders och investerares förtroende, och därmed konkurrenskraften. För finansinstitut, där förtroende är kärnkapitalet, är detta den största risken.

Utöver compliance: Hur DORA stärker förtroende och konkurrenskraft

De goda nyheterna är att de som tar DORA på allvar inte bara undviker risk – de bygger styrka. Genom att integrera resiliens i styrning och drift kan företag:

  • Minska exponeringen för cyberhot

  • Stärka förtroendet hos kunder, partners och tillsynsmyndigheter

  • Ta en konkurrensfördel på en marknad där resiliens är en differentierande faktor

Kort sagt handlar DORA inte bara om compliance. Det handlar om ledarskap, förtroende och att ge ditt företag en konkurrensfördel.
Visa hela inlägget