anonym.legal

By · Last updated 2026-05-14

Tillbaka till BloggenSMB-säkerhet

DORA, IKT-leverantörshantering och ISO 27001

DORA trädde i kraft i januari 2025 och kräver att finansiella företag genomför årliga leverantörsgranskningar. ISO 27001-certifiering kan minska tiden för varje granskning från veckor till timmar.

May 14, 20268 min läsning
DORA ICT vendor managementISO 27001 DORA compliancefinancial institution vendor riskannual vendor assessmentMiFID II vendor oversight

Vad DORA kräver

DORA trädde i kraft som EU-lagstiftning i januari 2025. Banker, försäkringsbolag, investeringsföretag och betalningsföretag måste nu hantera risker från alla teknikleverantörer de anlitar. Tre regler sticker ut.

Obligatoriska kontraktsvillkor (artikel 30). Varje kontrakt med en teknikleverantör måste täcka fyra punkter: revisionsrättigheter, incidentvarningar, exitplaner och prestationsmål. Dessa klausuler är inte valfria.

Årliga granskningar (artikel 28). Företag måste kontrollera alla nyckelleverantörer minst en gång om året. En leverantör är "nyckel" om ett avbrott skulle stoppa normal drift. Anonymiseringsverktyg som används för efterlevnadsuppgifter faller i denna kategori.

Leverantörsregister (artikel 28(3)). Företag måste föra en aktiv lista över alla viktiga tredjepartskontrakt. Listan måste innehålla säkerhetsregistreringar för var och en.

Att genomföra årliga granskningar för dussintals leverantörer tar tid. En enda skräddarsydd granskning — gjord från grunden — tar uppskattningsvis 40–80 timmar per leverantör. En holländsk bank med 50 nyckelleverantörer står inför upp till 4 000 timmars granskningsarbete per år. Det motsvarar två heltidsanställda som uteslutande arbetar med granskningar.

ISO 27001 minskar granskningstimmarna

ISO 27001-certifiering ger företag en snabbare väg genom DORA:s årliga granskningsregel. Certifieringsorganet genomför ett övervakningsaudit varje år och ett fullständigt audit vart tredje år. Certifikatet har ett utgångsdatum. Det är bara giltigt så länge de årliga kontrollerna godkänns.

Under DORA:s årliga granskningsregel kan ett företag hämta leverantörens gällande ISO 27001-certifikat en gång om året och kontrollera datumet. Ett giltigt datum innebär att ett externt revisionsorgan har kontrollerat leverantörens 93 säkerhetskontroller under de senaste tolv månaderna. Företaget registrerar detta i leverantörsregistret. Granskningen är därmed avslutad.

Tidsbesparingen är verklig. En holländsk bank som kontrollerar ett certifierat anonymiseringsverktyg lägger några timmar på granskningen. Samma granskning från grunden tar veckor. Över 20 certifierade tredjeparter kan den årliga besparingen nå 1 200 timmar. Den tiden kan läggas på annat arbete.

Varför integritetsverktyg omfattas

Integritets- och anonymiseringsverktyg faller under DORA när ett företag använder dem för att hantera klientdata, uppfylla GDPR-regler eller behandla KYC-filer. Om verktyget slutar fungera och företaget inte kan producera GDPR-säkert resultat är verktyget en nyckelentreprenad under DORA. Det måste granskas varje år.

Vår GDPR-efterlevnadsguide förklarar reglerna för dataminimering. Se även ISO 27001:s värde för nedströms efterlevnad och genvägar till ISO 27001-leverantörsbedömning för mer om hur certifiering minskar efterlevnadsarbetet.

Källor

Relaterade Artiklar

SMB-säkerhet

Cut Privacy Training: Weeks to Hours

Privacy tool onboarding typically takes 2-4 weeks, with a 22% first-week configuration error rate. Shareable presets reduce training to 1 day and.

SMB-säkerhet

MSPs: Standardize Anonymization

MSPs and compliance consultants serving multiple client organizations cannot manually reconfigure PII tools per client at scale.

SMB-säkerhet

Transparent Pricing in Privacy Software

67% of B2B buyers prefer vendors with transparent pricing. 43% eliminated vendors who required sales contact for pricing information.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.