Contact sales

Leave your details and we'll get back to you shortly.

Håll mig uppdaterad om Hy5:s funktioner, compliance-insikter och regelverksförändringar.

Vi använder dina uppgifter enbart för att besvara din förfrågan.

Vad kostar det att inte följa DORA?

En fråga som återkommer i våra kunddialoger är inte "vad händer om vi missar ett krav?" utan snarare "vad är det som faktiskt triggar en tillsynsgranskning?" Det är en mer användbar fråga. Och svaret avslöjar något viktigt: de flesta organisationer som kommer till oss har redan fastställt att de omfattas av DORA. Det de vill förstå är hur de undviker att hamna i tillsynens fokus — och vad som händer om de gör det ändå.

Den här artikeln går igenom vad bristande DORA-efterlevnad faktiskt kostar, vad som utlöser en granskning, och vad det betyder för hur ett compliance-program behöver vara uppbyggt.

Sanktionerna är höga — men det är inte hela bilden

DORA ger tillsynsmyndigheter rätt att utfärda administrativa sanktioner på upp till en procent av det globala genomsnittliga dagliga omsättningen, beräknat på föregående år. För finansiella företag av någon storlek är det betydande belopp. För kritiska ICT-tredjepartsleverantörer som klassificeras som systemviktiga kan sanktionerna uppgå till en procent av den globala omsättningen per dag — under en period på upp till sex månader.

Men sanktionsbeloppet är sällan det som oroar organisationer mest. Det är processen som leder dit.

Vad som faktiskt utlöser en granskning

Tillsynsmyndigheter granskar inte slumpmässigt. Det finns ett antal konkreta triggers:

Incidenter som rapporteras sent eller felaktigt. DORA kräver att allvarliga ICT-incidenter rapporteras inom fyra timmar från klassificering. En försenad eller ofullständig rapport är i sig ett regelbrott — och ett som omedelbart signalerar att den interna processen inte fungerar.

Brister i informationsregistret. Tillsynsmyndigheter har tillgång till de register of information som finansiella företag lämnar in. Ofullständiga data, inkonsekventa klassificeringar eller uppenbart föråldrad information är röda flaggor.

Klagomål och externa signaler. Klagomål från kunder, motparter eller leverantörer kan initiera en granskning. Detsamma gäller negativ mediebevakning kopplad till en incident.

Sektorövergripande tillsynsinitiativ. Europeiska tillsynsmyndigheter (EBA, ESMA, EIOPA) genomför tematiska granskningar av hela sektorer. Att ingå i en sådan granskning är inte nödvändigtvis ett tecken på misstanke — men det kräver att dokumentationen är på plats.

Den dolda kostnaden: processen, inte böterna

Organisationer som genomgår en tillsynsgranskning rapporterar konsekvent att den direkta kostnaden för böter är lägre än den indirekta kostnaden för att hantera själva processen.

En granskning kräver intern tid från juridik, compliance, IT och ledning — ofta under lång tid. Externa konsulter kallas in för att sammanställa dokumentation som borde ha funnits tillgänglig redan. Ledningens tid omfördelas från verksamheten till tillsynsdialogen.

Därtill kommer reputationsrisken. DORA-sanktioner är offentliga. En publicerad sanktion mot ett finansiellt företag signalerar till kunder, motparter och investerare att den operativa styrningen har brustit.

Missuppfattning: böterna är den största risken. Verklighet: det är granskningsprocessen och dess konsekvenser som kostar mest.

Vad det betyder för systemdesignen

Det här är där utformningen av compliance-stödet spelar roll.

En organisation som förlitar sig på manuella processer — kalkylblad, e-postkedjor, periodiska genomgångar — har ingen rimlig möjlighet att möta DORA:s krav på löpande dokumentation och snabb rapportering. Det är inte ett resursproblem. Det är ett strukturproblem.

Tillsynsmyndigheter letar inte primärt efter perfekt efterlevnad. De letar efter bevis på styrning och kontroll: att organisationen vet vad den har, att den övervakar det löpande, och att den kan visa upp en spårbar historik när den ombeds göra det.

Det ställer specifika krav på hur ett compliance-system behöver vara konfigurerat: automatiska uppdateringstriggers kopplade till kontraktslivscykeln, rollbaserad åtkomst, fullständiga revisionsloggar och förmågan att generera regulatoriska rapporter utan manuell databearbetning.

En organisation som kan visa det — oavsett om en incident inträffar eller inte — är i en fundamentalt starkare position gentemot tillsynsmyndigheten.

Hy5 och DORA-efterlevnad

Oroar du dig för vad en tillsynsgranskning skulle avslöja om er nuvarande compliance-process?

Hy5 automatiserar löpande DORA-efterlevnad för finansiella organisationer i Sverige — från informationsregistret och incidentrapportering till tredjepartsövervakning och revisionsloggar. Allt i en plattform, utan manuell administration.

Boka en demonstration av hur Hy5 hanterar DORA-efterlevnad

Hy5 kan drastiskt öka effektivitet och precision för compliancearbete.

DORA Compliance lösningar

Relaterat innehåll

DORA och tredjepartsrisker: vad kräver regelverket egentligen?

DORA ställer tydliga krav på hur finansiella företag hanterar sina ICT-leverantörer. Vi går igenom vad regelverket faktiskt kräver — och vad det betyder för hur arbetet behöver organiseras.

Hur bygger man ett strukturerat DORA-program?

De flesta organisationer vet vad DORA kräver. Utmaningen är operationaliseringen. Så här bygger du ett DORA-program som håller över tid.