Cybersikkerhet står høyt på agendaen. Med både NIS2 og DORA sender EU et tydelig signal: digital infrastruktur skal være sikker, transparent og motstandsdyktig, enten den understøtter energi, vannforsyning eller finansielle tjenester.
For å møte kravene kreves en strukturert tilnærming, der ansvar og kontroll forankres i hele organisasjonen og spesielt i samspillet med leverandører.
Felles mål, ulike veier
NIS2 og DORA er sentrale elementer i EUs digitale strategi. Begge regelverk har som mål å redusere samfunnets sårbarhet for cybertrusler og etablere felles rammer for hvordan organisasjoner dokumenterer, styrer og overvåker sitt cybersikkerhetsarbeid.
Mens NIS2 omfatter et bredt spekter av sektorer, retter DORA seg spesifikt mot den finansielle sektoren og dens digitale robusthet. Begge signaliserer et oppgjør med fragmentert cybersikkerhet og en tydelig bevegelse mot helhetlig governance, økt ledelsesansvar og harmonisert tilsyn i EU.
Hva er NIS2?
NIS2 er EUs reviderte direktiv for nettverks- og informasjonssikkerhet. Målet er å styrke det samlede digitale beredskapet i samfunnskritiske sektorer på tvers av medlemslandene. Direktivet omfatter blant annet energi, helse, transport, vannforsyning og digital infrastruktur – sektorer der driftsforstyrrelser kan få betydelige samfunnskonsekvenser.
Virksomheter som omfattes av NIS2, må etablere systematiske risikostyringstiltak, sikre effektiv håndtering av digitale hendelser og dokumentere sin cybersikkerhetsinnsats. Kravene til ledelsesansvar, leverandørstyring og rapportering er samtidig strammet betydelig inn.
Hva er DORA?
DORA (Digital Operational Resilience Act) er en EU-forordning som stiller spesifikke krav til finanssektorens evne til å motstå, håndtere og komme seg etter alvorlige IT-hendelser. Målet er å sikre digital robusthet i en sektor der risikoer kan spre seg raskt og få systemiske konsekvenser.
Forordningen omfatter blant annet krav til IKT-risikostyring, hendelsesrapportering, kontinuerlig testing av digital motstandskraft og skjerpet tilsyn med tredjepartsleverandører. DORA gjelder direkte i alle EU-land og favner både tradisjonelle finansielle virksomheter og nye fintech-aktører.
NIS2 og DORA i et strategisk perspektiv
Selv om NIS2 og DORA retter seg mot ulike sektorer, bygger de på samme prinsipp: å styrke motstandskraften i en digital virkelighet der spørsmålet ikke er om hendelser skjer, men når.
Felles for regelverkene er kravene om en dokumentert, risikobasert tilnærming til cybersikkerhet, forankret i ledelsen og integrert i organisasjonens governance-struktur. Begge legger særlig vekt på leverandørstyring, hendelseshåndtering og kontrollmiljøer som kan håndtere komplekse trusler på tvers av landegrenser.
Den viktigste forskjellen ligger i målgruppen og detaljnivået:
- NIS2 er et direktiv som skal implementeres nasjonalt. Det favner bredt og gjelder samfunnskritiske sektorer som energi, helse og digital infrastruktur.
- DORA er en forordning som gjelder direkte og stiller høyt detaljerte krav til hvordan finansielle aktører skal bygge og teste sin digitale robusthet.
For virksomheter som opererer i begge domener, øker behovet for koordinert styring og sammenhengende praksis.
LES OGSÅ: Cyberresiliens som en del av GRC-strategien
Forskjeller mellom NIS2 og DORA
Lovtype: NIS2 er et direktiv som skal omsettes til nasjonal lovgivning. DORA gjelder direkte som forordning.
Sektorfokus: NIS2 gjelder kritisk infrastruktur og viktige samfunnstjenester.
DORA omfatter utelukkende finansielle virksomheter og deres IKT-leverandører.
Detaljnivå: DORA fastsetter mer tekniske og detaljerte krav, for eksempel til testing, klassifisering av hendelser og håndtering av tredjepartsleverandører. NIS2 er mer overordnet og gir medlemslandene større rom for tolkning.
Tilsyn og håndhevelse: DORA håndheves av finansielle tilsynsmyndigheter i tett EU-koordinering. NIS2 implementeres og håndheves nasjonalt, og tilsynspraksis kan variere mellom land.
Likheter mellom NIS2 og DORA
Ledelsesforankring: Begge krever aktiv involvering av toppledelsen og tydelig ansvarsplassering.
Risikobasert styring: Risikovurdering og risikohåndtering skal integreres i governance-strukturen.
Rapportering og transparens: Begge stiller krav til rask rapportering av hendelser og dokumentert compliance.
Leverandørstyring: Krav om kontroll, due diligence og overvåkning av leverandører og forsyningskjeder.
LES OGSÅ: IKT-tjenester: Hva er det, og hvorfor er det viktig å ha oversikt over dem?
Hvem omfattes, og hva står på spill?
NIS2 og DORA gjelder ikke for alle virksomheter, men for dem som omfattes er konsekvensene ved manglende etterlevelse betydelige.
NIS2 gjelder virksomheter som leverer samfunnskritiske eller viktige tjenester. Det inkluderer aktører innen energi, helse, transport, digital infrastruktur, matforsyning og vannforsyning. Som hovedregel omfatter det virksomheter med over 50 ansatte og mer enn 10 millioner euro i årlig omsetning.
DORA omfatter et bredt spekter av finansielle aktører, fra banker og forsikringsselskaper til mindre investeringsforetak og deres IKT-leverandører. Det innebærer at også teknologileverandører uten direkte finansaktivitet kan omfattes hvis tjenestene deres er kritiske for finanssektoren.
Uansett hvilket regelverk som gjelder, er konklusjonen den samme: Manglende etterlevelse kan føre til bøter på opptil 10 millioner euro eller 2 prosent av global omsetning under NIS2, mens DORA håndheves direkte av finansielle tilsynsmyndigheter. I tillegg risikerer virksomheter tap av tillit, utestengelse fra kontrakter eller pålegg om strengere kontroll, med potensielt alvorlige forretningsmessige konsekvenser.
