Den finansiella sektorn präglas av omfattande och snabbt föränderliga regelverk. Digitalisering, molntjänster och ökade beroenden av externa IT-leverantörer har gjort frågor om IKT-risker och operativ motståndskraft till centrala delar av styrning och compliance för banker, försäkringsbolag, fintech-aktörer och andra reglerade verksamheter.
Rättsliga frågor uppstår genom hela förändringskedjan – vid val av leveransmodell och avtalsstruktur, vid införande av nya regelverk samt i samband med tillsyn. Bristande efterlevnad kan leda till ingripanden från Finansinspektionen, krav på åtgärder och i vissa fall ansvar för ledningen.
TechLaw bistår finansiella och andra reglerade aktörer med rådgivning inom IKT-risker operativ motståndskraft och regelefterlevnad i tekniska miljöer. Vi arbetar med att omsätta regulatoriska krav till fungerande lösningar anpassade till verksamhetens IT-miljö och leveransstruktur.
Vår rådgivning
Vi bistår i juridiska frågor som uppstår vid digitalisering och regulatoriska krav i finansiella verksamheter, bland annat i frågor som rör:
- DORA och andra finansiella regelverk i IT- och teknikmiljöer
- IKT-risker, styrning och dokumentation
- DORA-avtal, avtalsvillkor och leverantörsavtal
- Leverantörsstyrning och tredjepartsrisker
- Tillstånds- och registreringsfrågor hos Finansinspektionen
- Incidenthantering och rapportering enligt finansiella regelverk
- Krav kopplade till outsourcing och molntjänster
- Ansvar och kontroll i digitala leveransmodeller
Hur vi bistår
Vi arbetar med löpande juridisk rådgivning, projektstöd och interimslösningar anpassade efter verksamhetens regulatoriska krav och organisatoriska behov. Det kan handla om rådgivning kring compliance, styrning och riskhantering, stöd vid implementering av nya regelverk samt dialog med tillsynsmyndigheter.
Många uppdrag berör flera rättsområden samtidigt. Finansiell reglering hänger ofta ihop med artificiell intelligens (AI), IT-säkerhet och outsourcing. Vi erbjuder även kurser och webbinarier inom finansiell reglering och DORA.
Vanliga frågor om DORA och finansiell reglering
Vilka verksamheter omfattas av DORA?
DORA är en EU-förordning som är direkt tillämplig sedan januari 2025 och omfattar ett brett spektrum av finansiella entiteter, däribland banker, värdepappersbolag, försäkringsföretag, betalningsinstitut och leverantörer av kryptotillgångstjänster. Förordningen gäller även kritiska tredjepartsleverantörer av IKT-tjänster, vilket innebär att molntjänstleverantörer och andra teknikbolag som tillhandahåller tjänster till finansiella aktörer kan omfattas av direkt EU-tillsyn. Bedömningen av om en verksamhet omfattas kräver en analys av verksamhetens karaktär, storlek och vilka tjänster som tillhandahålls.
Vad kräver DORA av finansiella aktörer avseende IKT-riskhantering?
DORA ställer krav på ett effektivt ramverk för IKT-riskhantering som ska vara förankrat på ledningsnivå. Ramverket ska bland annat innehålla strategier, riktlinjer och förfaranden för att skydda informations- och IKT-tillgångar samt åtgärder för minimering av IKT-risker och risker som härrör från leverantörer av IKT-tjänster. Ledningsorganet har ett uttryckligt ansvar för att godkänna och följa upp ramverket.
Vilka krav ställer DORA på avtal med IKT-leverantörer?
DORA ställer detaljerade krav på avtalsinnehållet vid upphandling av IKT-tjänster som till exempel molntjänster. Avtalen ska bland annat reglera tjänstebeskrivning och servicenivåer, rätt till revision och insyn, krav på underleverantörer, incidentrapportering och tillgänglighet, plats för databehandling och lagring samt exitplanering. Standardavtal från leverantörssidan uppfyller sällan dessa krav utan anpassning. En juridisk granskning och förhandling är nödvändig för att säkerställa att avtalet är förenligt med DORA.
Vad gäller vid incidentrapportering enligt DORA?
DORA inför harmoniserade krav på klassificering och rapportering av IKT-relaterade incidenter. Betydande incidenter ska rapporteras till behörig myndighet, i Sverige Finansinspektionen, inom fastställda tidsfrister och enligt ett strukturerat trestegssystem. Klassificeringen baseras på kriterier som påverkan på tjänsternas tillgänglighet, dataförlust, geografisk spridning och kritikaliteten av den berörda tjänsten. Interna rutiner och tydlig ansvarsfördelning är avgörande för att klara rapporteringskraven i praktiken.
Hur förhåller sig DORA till NIS2-direktivet för finansiella aktörer?
DORA fungerar som lex specialis inom den finansiella sektorn, vilket innebär att finansiella entiteter som omfattas av DORA i huvudsak inte behöver uppfylla NIS2-direktivets krav vid sidan av DORA. Regelverken är dock inte identiska och överlappning kan förekomma i gränsfall. I praktiken innebär det att finansiella entiteter primärt behöver säkerställa efterlevnad av DORA, men att NIS2-direktivet ändå kan vara relevant i vissa situationer. Bedömningen behöver göras per entitet och verksamhetsgren.
Hur förhåller sig DORA till GDPR?
DORA och GDPR är parallella regelverk som båda kan vara tillämpliga, till exempel när en IKT-relaterad incident involverar personuppgifter eller vid upphandling av en molntjänstleverantör. En allvarlig incident kan utlösa rapporteringsskyldigheter under båda regelverken, till Finansinspektionen enligt DORA och till IMY enligt GDPR, med delvis olika tidsfrister och krav på innehåll. DORA:s krav på avtalsreglering med IKT-leverantörer behöver koordineras med GDPR:s krav på personuppgiftsbiträdesavtal, och riskbedömningar enligt DORA behöver samordnas med konsekvensbedömning avseende dataskydd. En samlad juridisk hantering är i praktiken nödvändig för finansiella entiteter som behandlar personuppgifter i sina IKT-system.
Vad innebär DORA för tredjepartsleverantörer av IKT-tjänster?
DORA inför ett särskilt tillsynsramverk för tredjepartsleverantörer av IKT-tjänster som bedöms som kritiska för den finansiella sektorn. Sådana leverantörer kan utses till kritiska av de europeiska tillsynsmyndigheterna och bli föremål för direkt EU-tillsyn, med krav på att lämna information, genomgå inspektioner och åtgärda brister. Även leverantörer som inte klassificeras som kritiska påverkas indirekt – de finansiella entiteter de levererar till är skyldiga att ställa DORA-anpassade avtalskrav på sina leverantörer, bland annat avseende revision, incidentrapportering, underleverantörer och exitplanering. För teknikbolag som levererar tjänster till finansiella aktörer är det därför angeläget att tidigt förstå vilka krav som kan komma att ställas, oavsett om direkt tillsyn aktualiseras eller inte.
Relevanta regelverk
Rådgivningen berör ett flertal regelverk beroende på verksamhet – däribland DORA, NIS2-direktivet och cybersäkerhetslagen, GDPR, PSD2 och betaltjänstreglering, penningtvättsregelverket samt tillstånds- och tillsynsregler under Finansinspektionens tillsyn. Vi bistår er i att fastställa vilka krav som är tillämpliga och hur de bör implementeras i verksamheten.
Tillämpas ofta inom
Rådgivningen tillämpas ofta inom finansiella tjänster & FinTech, tech- och plattformsbolag och kritisk infrastruktur & energi.