Navigera bland EU:s nya regelverk

‍DORA: digital operativ motståndskraft  (gäller nu)

DORA stärker den digitala operativa motståndskraften i finanssektorn genom harmoniserade krav på riskhantering, incidentrapportering och tredjepartsstyrning.

DORA gäller fullt ut sedan 17 januari 2025 och harmoniserar krav på IT-risk, incidentrapportering, testning samt kontroll av  tredjepartsleverantörer. Regelverket omfattar stort sett alla företag inom den finansiella sektorn. Förordningen har upprättats då finanssektorn i dag är väldigt beroende av teknik, vilket gör att behovet av skydd mot dataintrång och andra IT-risker har ökat. För bolag med moln- och SaaS-beroenden är leverantörsstyrning och register över kritiska avtal centralt.

DORA stärker den digitala operativa motståndskraften i finanssektorn genom harmoniserade krav på riskhantering, incidentrapportering och tredjepartsstyrning.

NIS2 – cybersäkerhet på tvären (pågående nationell implementering)

NIS2 breddar och fördjupar EU:s cybersäkerhetskrav med fokus på ledningsansvar, rapportering och skydd av samhällskritiska verksamheter.

NIS2[2]  skulle varit nationellt införd den 17 oktober 2024, men många länder är försenade. Ändå rullar nationella krav, tillsyn och vägledningar ut under 2025. “Essential” och “Important entities” får tuffa krav på riskstyrning, rapportering och ledningsansvar.

NIS2 breddar och fördjupar EU:s cybersäkerhetskrav med fokus på ledningsansvar, rapportering och skydd av samhällskritiska verksamheter.

AI Act – riskbaserad AI-styrning (fasas in 2025–2026)

AI Act inför ett riskbaserat regelverk för artificiell intelligens i EU för att säkerställa säkerhet, transparens och ansvarsfull användning av AI-system.

AI[3] -förordningen är publicerad (12 juli 2024) och i kraft, med etapper: förbud mot vissa system tidigt, GPAI-krav från 2025 och högrisk-krav mot 2026. Trots branschens önskan om uppskov ligger tidsplanen fast enligt Kommissionen. Räkna med vägledningar och en “code of practice” under 2025. 

Data Act – dataåtkomst, portabilitet och molnbyte (tillämplig 12 sep 2025)

Data Act reglerar dataåtkomst, delning och portabilitet för att skapa rättvisa och konkurrensneutrala villkor mellan aktörer i EU:s digitala ekonomi.

Data Act driver avtalsmässig och teknisk åtkomst till produktdata, portabilitet mellan moln och interoperabilitet. För SaaS/moln-landskap kräver det tydliga datapolicys, standardgränssnitt och rutiner för byten av leverantör.

Data Act reglerar dataåtkomst, delning och portabilitet för att skapa rättvisa och konkurrensneutrala villkor mellan aktörer i EU:s digitala ekonomi.

CSRD/ESRS – rapportering med mer andrum, men högre förväntningar

CSRD höjer kraven på hållbarhetsrapportering genom gemensamma EU-standarder och ökad transparens i styrning och uppföljning av ESG-data.

EU har skjutit upp sektor- och tredjelands-ESRS för att ge mer tid, men rapporteringskraven består och skärps stegvis. Governance-dokument (roller, processer, kontroller och bevis) blir avgörande för kvalitetssäkrad rapportering. 

DSA/DMA – ny normal för plattformsekonomi och gatekeepers

DSA och DMA reglerar digitala plattformar och marknadsaktörer med målet att öka transparensen, rättvis konkurrens och skyddet för användare i EU.

DSA gäller brett sedan 17 feb 2024 och DMA är i skarp tillsyn; 2025 har vi sett första sanktionsärendena. Även företag som inte är “gatekeepers” påverkas via datadelning, spårbarhet och tredjepartsberoenden. 

DSA och DMA reglerar digitala plattformar och marknadsaktörer med målet att öka transparensen, rättvis konkurrens och skyddet för användare i EU.

eIDAS 2.0 / EUDI Wallet – digital identitet blir vardag

eIDAS 2.0 inför en gemensam europeisk digital identitet (EUDI Wallet) för säker identifiering, signering och verifiering i digitala tjänster.

eIDAS 2.0 gäller sedan 20 maj 2024. Senast 2026 ska alla medlemsstater erbjuda minst en godkänd EU Digital Identity Wallet, och bred acceptans förväntas 2026–2027. För många processer (KYC, signering, beviskedjor) blir detta en katalysator.

eIDAS 2.0 inför en gemensam europeisk digital identitet (EUDI Wallet) för säker identifiering, signering och verifiering i digitala tjänster.

Konkreta råd för styrning & dokument (så blir ni redo)

Bygg ett regulatoriskt kontrollbibliotek
Mappa DORA, NIS2, AI Act, Data Act, CSRD, DSA/DMA mot interna policys, processer och bevis (”vilket dokument visar att vi uppfyller kontroll X?”). (ev lägga till något om vår kommande Ai-funktionalitet?)

DORA stärker den digitala operativa motståndskraften i finanssektorn genom harmoniserade krav på riskhantering, incidentrapportering och tredjepartsstyrning.

Inför “regulatory change management”
Spåra ändringar, tolkningar, RTS/ITS och vägledningar – och koppla dem till ägare, deadlines och dokumentuppdateringar. (Extra viktigt för DORA-standarder, AI-vägledningar och Data-Act-standardisering.)

DORA stärker den digitala operativa motståndskraften i finanssektorn genom harmoniserade krav på riskhantering, incidentrapportering och tredjepartsstyrning.

Centralisera tredjepartsstyrning
Skapa en masterlista över leverantörer med riskklassning, avtal, exit-planer, test- och incidentkrav (träffar DORA, NIS2, Data Act).

DORA stärker den digitala operativa motståndskraften i finanssektorn genom harmoniserade krav på riskhantering, incidentrapportering och tredjepartsstyrning.

Etablera AI-styrning
Inventera modeller och användningsfall, ägarsätt, inför dokumentationskrav och riskbedömningar – och sätt policy för generativt innehåll.

Säkra spårbar rapportering (CSRD)
Beskriv dataflöden, kontroller och arkivering – så att intern/extern assurance kan följas i efterhand.

CSRD höjer kraven på hållbarhetsrapportering genom gemensamma EU-standarder och ökad transparens i styrning och uppföljning av ESG-data.

Viktiga datum att ringa in i kalendern

●  2025–2026 – AI Act fasas in (GPAI 2025, högrisk 2026; tidsplanen ligger fast enligt Kommissionen).

AI Act inför ett riskbaserat regelverk för artificiell intelligens i EU för att säkerställa säkerhet, transparens och ansvarsfull användning av AI-system.

●  Löpande 2025 – NIS2 nationella regler + tillsyn rullas ut. 

NIS2 breddar och fördjupar EU:s cybersäkerhetskrav med fokus på ledningsansvar, rapportering och skydd av samhällskritiska verksamheter.

●  Senast 2026 – EUDI Wallet tillgänglig i alla medlemsstater; bred acceptans 2026–2027. 

Observera att detta inte är en heltäckande lista över alla gällande och kommande regleringar, utan en översikt över några centrala exempel. Syftet är att inspirera och ge en bild av vad organisationer kan behöva se över framåt.

North House gör det lätt att omsätta nya regler i konkret styrning. Plattformen ger struktur, spårbarhet och trygghet, oavsett hur snabbt regelverken förändras. 

‍