Vad är DORA?
Digital Operational Resilience Act — känd som DORA — är förordning (EU) 2022/2554, antagen av Europaparlamentet och rådet den 14 december 2022. EU publicerade den i Europeiska unionens officiella tidning den 27 december 2022. Den trädde i kraft den 16 januari 2023 och blev fullt tillämplig den 17 januari 2025.
DORA åtgärdar en specifik lucka i EU:s finansiella regelverk. Före DORA hanterade finansiella institutioner operativ risk främst genom att avsätta kapital. Den metoden täckte emellertid inte på ett adekvat sätt ICT-relaterade störningar, som kan påverka många institutioner samtidigt när en gemensam teknikleverantör fallerar. DORA inför därför ett enhetligt ramverk i hela EU för hantering av ICT-risker, incidentrapportering, testning av operativ motståndskraft och tillsyn av tredjepartsleverantörer av teknik.
Vem måste efterleva DORA?
DORA gäller för två huvudgrupper av organisationer som är involverade i tjänster för informations- och kommunikationsteknik (ICT) inom den finansiella sektorn.
Den första gruppen är finansiella enheter. Dessa inkluderar kreditinstitut, betalningsinstitut, institut för elektroniska pengar, värdepappersföretag, försäkrings- och återförsäkringsföretag, leverantörer av kryptotillgångstjänster, värdepapperscentraler, centrala motparter och handelsplatser, bland andra som anges i artikel 2 i förordningen.
Den andra gruppen är tredjepartsleverantörer av ICT-tjänster — företag som tillhandahåller tekniktjänster till finansiella enheter. Denna grupp inkluderar leverantörer av molntjänster, mjukvaruutvecklare, dataanalysföretag, cybersäkerhetsföretag, datacenteroperatörer och alla andra leverantörer vars tjänster stödjer en reglerad finansiell institutions verksamhet.
Viktigt är att DORA även omfattar ICT-leverantörer baserade utanför EU. Om ett teknikföretag i USA, Storbritannien eller Asien tillhandahåller tjänster till EU-reglerade finansiella institutioner gäller DORA för den relationen.
LEI-kravet enligt DORA
DORA kräver att finansiella enheter upprätthåller ett detaljerat informationsregister som täcker alla deras tredjepartsleverantörer av ICT-tjänster. Kommissionens genomförandeförordning (EU) 2024/2956, publicerad den 2 december 2024, fastställer standardmallarna för detta register.
Artikel 3.5 i den genomförandeförordningen anger direkt:
“Finansiella enheter ska använda en giltig och aktiv identifieringskod för juridiska personer (LEI) eller den europeiska unika identifieraren som avses i artikel 16 i direktiv (EU) 2017/1132 (‘EUID’), och när båda dessa identifierare är tillgängliga, för att identifiera alla sina tredjepartsleverantörer av ICT-tjänster som är juridiska personer, med undantag för fysiska personer som agerar i affärsmässig egenskap.”
Med andra ord måste varje tredjepartsleverantör av ICT-tjänster som är en juridisk person kunna identifieras med antingen en giltig och aktiv LEI eller en EUID. Båda måste vara aktuella. En förfallen eller utgången LEI uppfyller inte detta krav.
LEI eller EUID — vilken gäller för er?
Båda identifierarna uppfyller DORA-kraven, men de täcker olika situationer. Att förstå skillnaden hjälper er att välja rätt.
LEI (Legal Entity Identifier) är en globalt erkänd 20-siffrig alfanumerisk kod baserad på ISO-standard 17442. Global Legal Entity Identifier Foundation (GLEIF) styr Global LEI System och gör all LEI-data offentligt tillgänglig i Global LEI Index. LEI täcker juridiska personer i över 200 jurisdiktioner och inkluderar även ägarskaps- och kontrolldata.
EUID (European Unique Identifier) är kopplad till EU:s system för sammankoppling av företagsregister (BRIS). Eftersom den uteslutande är kopplad till EU:s nationella register täcker den endast enheter registrerade i EU:s medlemsstater.
Här gör genomförandeförordningen en kritisk åtskillnad: ICT-leverantörer etablerade utanför EU måste identifieras med enbart LEI. EUID är helt enkelt inte tillgänglig för enheter utanför EU. Som ett resultat är LEI den enda giltiga identifieraren för alla leverantörer som verkar utanför EU.
För EU-baserade leverantörer fungerar båda identifierarna. För global verksamhet eller leverantörer med exponering utanför EU är LEI emellertid det starkare valet på grund av dess internationella erkännande och bredare datatäckning.
Vad “giltig och aktiv” innebär i praktiken
Genomförandeförordningen kräver specifikt en giltig och aktiv LEI. Detta hänvisar till den status som visas i GLEIF:s globala databas.
En LEI som visar statusen “Issued” är giltig och aktiv och uppfyller därmed DORA. En LEI som visar “Lapsed” har gått ut och uppfyller följaktligen inte kravet. Finansiella enheter kan inte registrera en förfallen LEI som en efterlevande identifierare i sitt informationsregister.
En LEI förblir giltig i ett år från utfärdandedatum eller senaste förnyelse. Därefter måste ägaren förnya den för att upprätthålla aktiv status. Under förnyelsen verifierar den utfärdande organisationen enhetens referensdata på nytt — inklusive juridiskt namn, registrerad adress och ägarstruktur — mot officiella registerkällor. Denna process säkerställer att data i den globala LEI-databasen förblir korrekt och aktuell.
Ni kan kontrollera statusen för en LEI med hjälp av GLEIF:s LEI-sökverktyg eller genom LEI Systems sökning.
Varför LEI är den praktiska standarden för DORA-efterlevnad
DORA-tillsynsmyndigheterna valde LEI eftersom den löser ett problem som ingen nationell identifierare kan: konsekvent, gränsöverskridande identifiering av juridiska personer i ett enda globalt erkänt format.
Nationella företagsregistreringsnummer varierar avsevärt mellan länder, är inte alltid maskinläsbara och täcker inte alls enheter utanför EU. LEI däremot tillhandahåller en konsekvent kod för alla juridiska personer, oavsett var de är registrerade. Eftersom LEI-data dessutom är offentligt tillgänglig och verifierbar kan finansiella institutioner kontrollera leverantörsuppgifter omedelbart utan att begära dokument.
För finansiella institutioner som hanterar många ICT-leverantörer i olika länder minskar denna standardisering avsevärt den administrativa komplexiteten i DORA-efterlevnaden. En enda LEI-sökning ger verifierad information om leverantörens juridiska namn, registreringsuppgifter och ägarstruktur — allt direkt relevant för DORA:s skyldigheter för hantering av tredjepartsrisker.
För ICT-leverantörer gör det att inneha en giltig LEI det enkelt för finansiella institutionskunder att inkludera dem korrekt i sitt DORA-register. Leverantörer utan giltig LEI skapar däremot efterlevnadsluckor för sina kunder och riskerar därmed att skada affärsrelationen. GLEIF tillhandahåller ytterligare kontext om hur LEI stödjer detta i sin översikt över regulatorisk användning av LEI.
Vad ICT-leverantörer bör göra nu
Kontrollera om ni har en giltig LEI. Om ni tillhandahåller ICT-tjänster till någon EU-reglerad finansiell institution måste er kund identifiera er i sitt DORA-informationsregister. Kontakta dem för att bekräfta om de har registrerat er LEI och om den för närvarande är aktiv.
Registrera en LEI om ni inte har en. Processen är helt digital och slutförs inom 24 timmar för de flesta jurisdiktioner. Ni behöver tillhandahålla ert företags juridiska namn, registrerade adress och registreringsnummer. I de flesta fall verifierar systemet dessa uppgifter automatiskt mot officiella företagsregister. LEI System är en ackrediterad GLEIF-registreringsagent. Ni kan påbörja er LEI-registrering idag.
Förnya er LEI om den har gått ut. En förfallen LEI måste förnyas innan era kunder kan använda den i ett DORA-register. Förnyelse återställer statusen “Issued” och validerar ert företags referensdata på nytt. Ni kan förnya er LEI snabbt genom LEI System.
Håll er LEI-data uppdaterad. Om ert företagsnamn, registrerade adress eller ägarstruktur har ändrats, uppdatera er LEI-referensdata i enlighet därmed. Föråldrad LEI-data skapar efterlevnadskomplikationer för era finansiella institutionskunder när de lämnar in sitt register till nationella myndigheter.
DORA i sammanhanget av bredare EU-reglering
DORA verkar inte isolerat. Den står vid sidan av andra EU-förordningar som också använder LEI som standardidentifierare för juridiska personer, inklusive MiFID II-transaktionsrapportering, EMIR-derivatrapportering och EU:s förordning om omedelbara betalningar. För finansiella enheter som redan använder LEI för transaktionsrapportering tillför DORA därför en ytterligare dimension snarare än ett helt nytt system.
Dessutom är DORA direkt kopplad till NIS2-direktivet (direktiv (EU) 2022/2555) om cybersäkerhet. DORA fungerar som en sektorspecifik rättsakt enligt NIS2 för finansiella enheter. Ni kan läsa mer om NIS2 och LEI i artikeln om NIS2 och LEI på denna webbplats. För en bredare översikt över hur LEI fungerar inom EU:s finansiella reglering, se Hur LEI fungerar i praktiken i EU.
DORA och LEI — viktiga fakta i korthet
Vad är DORA? Förordning (EU) 2022/2554 om digital operativ motståndskraft för den finansiella sektorn.
När blev DORA tillämplig? 17 januari 2025.
Vem måste efterleva? EU:s finansiella enheter och deras tredjepartsleverantörer av ICT-tjänster, inklusive leverantörer utanför EU som betjänar EU:s finansiella institutioner.
Vad kräver DORA för identifiering av ICT-leverantörer? En giltig och aktiv LEI eller EUID, enligt vad som anges i kommissionens genomförandeförordning (EU) 2024/2956.
Vilken identifierare gäller för ICT-leverantörer utanför EU? Endast LEI. EUID täcker endast EU-registrerade enheter.
Vilken LEI-status uppfyller DORA? Endast “Issued”. En “Lapsed” LEI uppfyller inte kravet.
Var kan jag registrera eller förnya en LEI? Genom en ackrediterad GLEIF-registreringsagent såsom LEI System.