Securance logo

DORA i praktiken

  • Assurance
  • Advisory

3 383 allvarliga IKT-incidenter i EU:s finansiella sektor under 2025

De europeiska tillsynsmyndigheterna EBA, EIOPA och ESMA har publicerat sin första gemensamma rapport om allvarliga IKT-relaterade incidenter enligt DORA. Rapporten bygger på det första hela året med incidentrapportering under Artikel 19 i DORA, och ger den mest heltäckande bilden hittills av hur digital operativ motståndskraft faktiskt fungerar i praktiken i EU:s finansiella sektor.

Cyberincidentrapport inom E Us finanssektor

Vad rapporten visar

  • 3 383 allvarliga IKT-incidenter rapporterades under 2025, i snitt 282 per månad.
  • Kredit- och betalningssektorn stod tillsammans för mer än tre fjärdedelar av samtliga incidenter. Båda sektorerna har rapporterat incidenter sedan 2018 under PSD2, vilket ger en mer mogen rapporteringskultur men det förklarar inte hela bilden.
  • Ungefär en tredjedel av incidenterna hade gränsöverskridande påverkan, driven av delad infrastruktur och gemensamma IKT-tjänster mellan länder och sektorer.
  • Systemfel (51 procent) och externa händelser (27 procent) var de vanligaste bakomliggande orsakerna. Renodlade cybersäkerhetsincidenter stod bara för cirka 10 procent.
  • Nästan en tredjedel av incidenterna hade sitt ursprung hos en IKT-tredjepartsleverantör, andra finansiella entiteter eller infrastrukturleverantörer.
  • Trots det höga antalet incidenter fick två tredjedelar ingen eller endast marginell påverkan på kunder och transaktioner, tack vare tidig upptäckt och fungerande skyddsåtgärder.

 

Incidenter är inte ett tecken på svaghet - men de är en testfråga

Tillsynsmyndigheterna är tydliga med att antalet incidenter inte i sig ska tolkas som ett tecken på bristande säkerhet. Ökad digitalisering, komplexitet och sammanlänkning gör en viss nivå av driftstörningar statistiskt oundviklig. Det som verkligen mäts är något annat: förmågan att upptäcka, hantera och återhämta sig från en störning innan den eskalerar. Det är precis den verkligheten DORA är byggd för att adressera.

Det ställer krav på att arbetet med DORA är mer än ett dokumentationsprojekt. Det behöver fungera skarpt i incidenthantering, tredjepartsstyrning, kontinuitetsarbete, riskhantering och governance och det behöver gå att bevisa vid en granskning.

 

Var rapporten pekar mot ökat fokus

Tre av rapportens iakttagelser är särskilt relevanta att ta med sig in i det löpande DORA-arbetet:

Tredjepartsberoenden. Med nästan en tredjedel av incidenterna kopplade till tredje part blir ett aktuellt informationsregister (eng. Register of Information, ROI) och en fungerande löpande uppföljning av leverantörer en förutsättning snarare än en formalitet.
Gränsöverskridande koordinering. En tredjedel av incidenterna spred sig över landsgränser. Organisationer som verkar i flera jurisdiktioner behöver en incidentprocess som är byggd för att koordinera med flera tillsynsmyndigheter samtidigt, inte bara den egna.
Testad respons, inte bara en dokumenterad plan. Att två tredjedelar av incidenterna fick begränsad påverkan visar att fungerande upptäckts- och begränsningsförmåga gör skillnad i praktiken. Det är ett argument för att öva incidenthantering regelbundet, inte bara beskriva den i ett styrdokument.

 

Så arbetar Securance med detta

På Securance hjälper vi organisationer i den finansiella sektorn att stärka sin informationssäkerhet och digitala operativa motståndskraft enligt DORA, bland annat genom:

  • DORA-rådgivning - gap-analys, ICT-riskhantering, incidenthantering, resiliens- och sårbarhetstestning samt tredjepartsriskhantering.
  • Cybersäkerhetslagen och NIS2 - för er som omfattas av båda regelverken parallellt.
  • Stöd i att bygga en incidenthanteringsprocess som håller vid tillsyn, med tydliga roller, testade kommunikationskedjor och spårbar dokumentation.

Vill ni veta var er organisation står och vad som behöver prioriteras framåt? Hör gärna av er för ett förutsättningslöst samtal.

 

Relaterat innehåll

Källa: ESAs 2025 report on major ICT-related incidents, publicerad av EBA, EIOPA och ESMA den 3 juni 2026.

Relaterade artiklar