Kruso Logo
Kontakta oss

DORA Agent | AI

Att uppnå DORA-compliance i hela organisationen

EU’s förordning om digital operativ motståndskraft har nu trätt i kraft. Men många organisationer kämpar fortfarande med att dokumentera hur de faktiskt efterlever kraven. Här får du en praktisk checklista och inblick i hur vår DORA Agent kan hjälpa dig att få kontroll över både överblick och efterlevnad. 

DORA är nu verklighet - men är ni operativt compliant?

DORA - eller Digital Operational Resilience Act - trädde i kraft i januari 2025. Alla organisationer inom finanssektorn, från banker och försäkringsbolag till fintechs och deras leverantörer, är nu skyldiga att dokumentera och säkerställa att deras digitala motståndskraft är tillräcklig. 

Men att vara “DORA-redo” är inte detsamma som att vara DORA-compliant i praktiken. 

Många upplever fortfarande: 

  • Bristande koppling mellan policy och praktik 

  • Otydliga processer för incidenthantering och rapportering 

  • Manuella och fragmenterade arbetsflöden som gör dokumentationen svår 

DORA handlar inte bara om att ha regler på plats – utan om att kunna bevisa att de fungerar. Här blir en checklista ett enkelt och effektivt verktyg för att identifiera svagheter och styrkor i ert compliance-arbete. 

DORA’s fem pelare - kort sammanfattat

  1. IKT-riskhantering

    Organisationer måste etablera och underhålla robusta IT-system som kan motstå och begränsa effekten av IKT-relaterade risker. Detta inkluderar: 

    • Identifiering och klassificering av kritiska funktioner och tillgångar 

    • Löpande övervakning av alla källor till digitala risker 

    • Implementering av detaljerade beredskaps- och återhämtningsplaner som testas minst en gång per år 

    • Mekanismer för att snabbt upptäcka avvikande beteenden och dra lärdomar av interna och externa incidenter 

    Riskhantering måste vara levande och operativ – inte bara en PDF i ett styrdokument. 

  2. Incidenthantering och rapportering

    DORA ställer krav på enhetlig och snabb rapportering av IT-relaterade incidenter. Det innebär: 

    • Incidenter ska loggas, klassificeras och bedömas enligt en gemensam EU-standard 

    • Allvarliga incidenter ska rapporteras i tre steg: initialt, preliminärt och slutligt 

    • Rapporteringen ska följa mallar och processer som fastställts av EU’s tillsynsmyndigheter (EBA, EIOPA och ESMA) 

    Det kräver att organisationer har automatiserade processer och tydliga ansvarsområden för både övervakning och rapportering. 

  3. Testning av digital motståndskraft

    Organisationer måste testa sin digitala motståndskraft minst en gång per år, och ytliga checklistor räcker inte. Kraven innefattar: 

    • Grundläggande teknisk testning av system och verktyg 

    • Snabb identifiering och åtgärd av svagheter 

    • Avancerade hotbaserade penetrationstester (TLPT) för system som stöder kritiska funktioner 

    DORA kräver att motståndskraft testas - inte antas. 

  4. Tredjepartsstyrning

    DORA inför skärpta krav på samarbetet med IT-tjänsteleverantörer, särskilt de med kritisk betydelse. Det innebär bland annat: 

    • Övervakning av alla outsourcade aktiviteter – inklusive interna inom koncernen 

    • Fokus på koncentrationsrisker och vidareoutsourcing 

    • Harmonisering av kontraktsinnehåll, inklusive SLA'er, dataplacering och åtkomstvillkor 

    • Ett komplett register över leverantörer och underleverantörer som kontinuerligt uppdateras 

    Företag måste kunna bevisa att de har kontroll över hela sin digitala leverantörskedja och kan agera om något går fel. 

  5. Informationsdelning

    Slutligen uppmuntrar DORA till aktiv kunskapsdelning om cyberhot och digitala sårbarheter, både mellan företag och från myndigheter. Det innebär: 

    • Företag kan etablera samarbetsforum och delningsstrukturer 

    • Tillsynsmyndigheter kommer att dela anonymiserad hotinformation 

    • Organisationer bör ha en fast process för att agera på delad hotinformation 

    Informationsdelning handlar inte om att “blotta sig”, utan om att stärka det kollektiva cyberförsvaret i hela sektorn. 

DORA Agent

DORA’s fem pelare är tydliga och ambitiösa men komplexa att uppfylla i praktiken. Det kräver ett strukturerat arbete tvärs över IT, ledning, säkerhet och efterlevnad. Här kan Krusos DORA Agent spela en nyckelroll: Genom att samla data, visualisera status och automatisera dokumentation, gör den DORA-arbetet levande, transparent och hanterbart varje dag. 

Hos Kruso har vi utvecklat en prototyp av en DORA Agent - ett digitalt verktyg som hjälper organisationer att samla, visualisera och automatisera sitt compliance-arbete.

Med DORA Agent kan du: 

  • Få en visuell överblick över er compliance-status i realtid 

  • Identifiera brister och risker i systemlandskapet 

  • Generera dokumentation och rapporter automatiskt 

  • Stödja samarbetet mellan IT, styrning och ledning

Vår lösning är byggd enligt API-first-principer, vilket gör den enkel att integrera i befintliga systemlandskap utan tunga övergångar eller datadubletter.

DORA-efterlevnad blir enkelt med den AI-drivna DORA Agenten

Nyfiken på DORA Agent? Läs mer här

Lär känna teamet bakom DORA Agent

Du kanske också vill läsa

DORA-efterlevnad blir enkelt med den AI-drivna DORA AgentenHur AI kan hjälpa organisationer med DORA
svEN