Cybersikkerhed er rykket højt op på dagsordenen, og med både NIS2 og DORA sender EU et klart signal: digital infrastruktur skal være sikker, gennemsigtig og modstandsdygtig, uanset om den driver energi, vandforsyning eller finansielle systemer.
For at efterleve kravene kræves en struktureret tilgang, der forankrer ansvar og kontrol på tværs af hele organisationen og ikke mindst i samspillet med leverandører.
Fælles mål, forskellige veje
NIS2 og DORA er centrale søjler i EUs digitale strategi. De skal mindske samfundets sårbarhed over for cybertrusler og skabe fælles rammer for, hvordan organisationer dokumenterer, styrer og overvåger deres cybersikkerhedsindsats.
Hvor NIS2 favner bredt på tværs af sektorer, stiller DORA skarpt på finansielle aktørers digitale robusthed. Begge forordninger signalerer et opgør med fragmenterede tilgange til cybersikkerhed og en bevægelse mod tværgående governance, øget ledelsesansvar og ensartet tilsyn i hele EU.
Hvad er NIS2?
NIS2 er EUs reviderede direktiv for netværks- og informationssikkerhed og skal styrke det samlede cyberberedskab i kritiske sektorer på tværs af medlemslandene. Direktivet omfatter bl.a. energi, sundhed, transport, vandforsyning og digital infrastruktur sektorer, hvor driftsforstyrrelser kan få alvorlige samfundsmæssige konsekvenser.
Organisationer, der er omfattet, forpligtes til at etablere systematiske risikostyringsforanstaltninger, sikre effektiv hændelseshåndtering og kunne dokumentere deres cybersikkerhedsindsats. Kravene til ledelsesansvar, leverandørstyring og rapporteringspligt er samtidig blevet væsentligt skærpet.
Hvad er DORA?
DORA Digital Operational Resilience Act er en EU-forordning, der stiller specifikke krav til den finansielle sektors evne til at modstå, reagere på og komme sig efter alvorlige IT-hændelser. Målet er at sikre digital robusthed i en sektor, hvor systemiske risici kan sprede sig hurtigt og få store konsekvenser.
Forordningen omfatter blandt andet krav til IKT-risikostyring, hændelsesrapportering, løbende test af modstandsdygtighed og øget tilsyn med tredjepartsleverandører. DORA gælder i alle EU-lande og favner både traditionelle finansielle virksomheder og nye aktører i fintech.
NIS2 og DORA i strategisk perspektiv
Selvom NIS2 og DORA er målrettet forskellige sektorer, bygger de på det samme fundament: at sikre modstandsdygtighed i en digital virkelighed, hvor hændelser ikke er et spørgsmål om hvis, men hvornår.
Fælles for forordningerne er kravet om en dokumenteret og risikobaseret tilgang til cybersikkerhed, der er forankret i ledelsen og integreret i den samlede governance-struktur. Derudover er der øget fokus på leverandørstyring, hændelseshåndtering og krav til kontrolmiljøer, der kan modstå komplekse trusler på tværs af grænser.
Forskellen ligger primært i målgruppen og graden af teknisk specificering:
- NIS2 er et direktiv og skal implementeres nationalt. Det favner bredt og stiller krav til samfundskritiske sektorer som energi, sundhed og digital infrastruktur.
- DORA er en forordning, der gælder direkte, og som stiller detaljerede krav til, hvordan finansielle aktører skal opbygge og teste deres digitale robusthed.
For organisationer, der opererer i eller på tværs af begge domæner, stiller det skærpede krav til koordinering og ensartet styring.
LÆS OGSÅ: Cyberresiliens som en del af GRC-strategien
Forskelle på NIS2 og DORA
Lovtype: NIS2 er et direktiv, som skal omsættes til national lov. DORA er en forordning og gælder direkte.
Sektorfokus: NIS2 omfatter kritisk infrastruktur og vigtige samfundstjenester. DORA gælder udelukkende finansielle aktører og deres IKT-leverandører.
Detaljeringsgrad: DORA fastsætter mere teknisk specifikke krav, fx til test, klassificering af hændelser og tredjepartsstyring. NIS2 er mere rammepræget og overlader fortolkning til medlemsstaterne.
Tilsyn og håndhævelse: DORA håndhæves af finansielle tilsynsmyndigheder i tæt EU-koordinering. NIS2 implementeres og overvåges nationalt, hvilket kan give variation i håndhævelsen.
Ligheder mellem NIS2 og DORA
Ledelsesforankring: Begge reguleringer kræver involvering af topledelsen og tydelig fordeling af ansvar.
Risikobaseret tilgang: Organisationer skal kortlægge, vurdere og håndtere digitale risici som en integreret del af governance-strukturen.
Rapportering og transparens: Begge regelsæt indfører pligt til hurtig indberetning af hændelser samt dokumentation for compliance.
Fokus på leverandører: Der stilles krav til kontrol med underleverandører og forsyningskæder, herunder due diligence, kontraktkrav og løbende overvågning.
LÆS OGSÅ: IKT-tjenester: Hvad er det, og hvorfor er det vigtig at kende dem?
Hvem er omfattet, og hvad er på spil?
Selvom NIS2 og DORA gælder forskellige sektorer, deler de en fælles præmis: De gælder ikke for alle men for dem, der er omfattet, er konsekvenserne ved manglende efterlevelse betydelige.
NIS2 retter sig mod organisationer, der leverer samfundskritiske eller vigtige tjenester. Det gælder bl.a. aktører inden for energi, sundhed, transport, digital infrastruktur, fødevarer og vandforsyning. Forpligtelserne afhænger både af sektor og af virksomhedens størrelse som udgangspunkt organisationer med over 50 ansatte og en årlig omsætning over 10 mio. euro.
DORA omfatter et bredt udsnit af finansielle virksomheder fra banker og forsikringsselskaber til mindre investeringsselskaber samt deres IKT-leverandører. Det betyder, at også teknologipartnere uden direkte finansiel aktivitet kan være underlagt kravene, hvis deres ydelser er forretningskritiske for den finansielle sektor.
Uanset hvilken forordning der er relevant, er bundlinjen den samme: Manglende compliance kan føre til bøder på op til 10 mio. euro eller 2 % af den globale omsætning under NIS2, mens DORA håndhæves direkte af de finansielle tilsynsmyndigheder. Samtidig risikerer organisationer tab af tillid, udelukkelse fra kontrakter eller pålæg om skærpet kontrol med potentielt alvorlige forretningsmæssige konsekvenser.
