Cybersäkerhet har hamnat högt upp på dagordningen och med både NIS2 och DORA sänder EU en tydlig signal: digital infrastruktur måste vara säker, transparent och motståndskraftig, oavsett om det handlar om energi, vattenförsörjning eller finansiella system.
Efterlevnad kräver ett strukturerat arbetssätt som förankrar ansvar och kontroll i hela organisationen och inte minst i samspelet med leverantörerna.
Gemensamma mål, olika vägar
NIS2 och DORA är viktiga pelare i EU:s digitala strategi. De syftar till att minska samhällets sårbarhet för cyberhot och skapa ett gemensamt ramverk för hur organisationer dokumenterar, hanterar och övervakar sina cybersäkerhetsinsatser. Medan NIS2 har en bred räckvidd över sektorer fokuserar DORA på finansiella organisationers digitala motståndskraft. Båda förordningarna signalerar ett steg bort från fragmenterade strategier för cybersäkerhet och ett steg mot övergripande governance, ökat ledningsansvar och enhetlig tillsyn i hela EU.
Vad är NIS2?
NIS2 är EU:s reviderade direktiv om nät- och informationssäkerhet och syftar till att stärka den övergripande cyberberedskapen inom kritiska sektorer i alla medlemsländer. Direktivet omfattar sektorer som energi, hälsa, transport, vattenförsörjning och digital infrastruktur, där störningar kan få allvarliga konsekvenser för samhället.
De organisationer som omfattas måste införa systematiska riskhanteringsåtgärder, säkerställa en effektiv incidenthantering och dokumentera sitt cybersäkerhetsarbete. Samtidigt har kraven på ledningsansvar, leverantörshantering och rapporteringsskyldigheter skärpts avsevärt.
Vad är DORA?
DORA Digital Operational Resilience Act är en EU-förordning som ställer särskilda krav på finanssektorns förmåga att motstå, reagera på och återhämta sig från allvarliga IT-incidenter. Syftet är att säkerställa digital motståndskraft i en sektor där systemrisker kan spridas snabbt och få stora konsekvenser.
Förordningen innehåller krav på IKT-riskhantering, incidentrapportering, kontinuerlig testning av motståndskraft och ökad tillsyn av tredjepartsleverantörer. DORA gäller i alla EU-länder och omfattar både traditionella finansiella organisationer och nya aktörer inom fintech.
NIS2 och DORA ur ett strategiskt perspektiv
Även om NIS2 och DORA vänder sig till olika sektorer utgår de från samma grundtanke: att skapa motståndskraft i en digital verklighet där incidenter inte handlar om ifall de inträffar, utan när.
Gemensamt för regelverken är kravet på ett dokumenterat och riskbaserat förhållningssätt till cybersäkerhet som är förankrat i ledningen och integrerat i den övergripande governance-strukturen. Därutöver finns ett ökat fokus på leverantörshantering, incidenthantering och krav på kontrollmiljöer som kan stå emot komplexa hot över gränserna.
Skillnaden ligger främst i målgruppen och graden av teknisk detaljnivå:
- NIS2 är ett direktiv som måste införas i nationell lagstiftning. Det har ett brett tillämpningsområde och ställer krav på samhällskritiska sektorer som energi, hälso- och sjukvård samt digital infrastruktur.
- DORA är en förordning som gäller direkt och som ställer detaljerade krav på hur finansiella aktörer ska bygga upp och testa sin digitala motståndskraft.
För organisationer som verkar inom eller över båda områdena innebär detta skärpta krav på samordning och enhetlig styrning.
LÄS OCKSÅ: Cyberresiliens som en del av GRC-strategin
Skillnader mellan NIS2 och DORA
Lagtyp: NIS2 är ett direktiv som ska omsättas i nationell lag. DORA är en förordning och gäller direkt i hela EU.
Sektorfokus: NIS2 omfattar kritisk infrastruktur och viktiga samhällstjänster. DORA gäller enbart finansiella aktörer och deras IKT-leverantörer.
Detaljnivå: DORA ställer mer tekniskt specifika krav, till exempel på tester, incidentklassificering och tredjepartshantering. NIS2 är mer ramstyrt och lämnar tolkningen till medlemsstaterna.
Tillsyn och efterlevnad: DORA övervakas av finansiella tillsynsmyndigheter i nära EU-samordning. NIS2 införs och övervakas nationellt, vilket kan leda till variation i hur reglerna efterlevs.
Likheter mellan NIS2 och DORA
Ledningsförankring: Båda regelverken kräver att högsta ledningen är involverad och att ansvaret är tydligt fördelat.
Riskbaserad ansats: Organisationer ska kartlägga, bedöma och hantera digitala risker som en integrerad del av governance-strukturen.
Rapportering och transparens: Båda regelverken innebär krav på snabb incidentrapportering samt dokumentation av compliance.
Fokus på leverantörer: Det ställs krav på kontroll av underleverantörer och leverantörskedjor, inklusive due diligence, avtalsvillkor och löpande uppföljning.
LÄS OCKSÅ: IKT-tjänster: Vad är det, och varför är det viktigt att känna till dem?
Vem omfattas och vad står på spel?
Även om NIS2 och DORA gäller olika sektorer delar de en gemensam premiss: reglerna omfattar inte alla, men för dem som berörs är konsekvenserna av bristande efterlevnad betydande.
NIS2 riktar sig till organisationer som tillhandahåller samhällskritiska eller viktiga tjänster, exempelvis inom energi, hälsa, transport, digital infrastruktur, livsmedel och vattenförsörjning. Förpliktelserna beror både på sektor och företagets storlek, i regel organisationer med fler än 50 anställda och en årlig omsättning över 10 miljoner euro.
DORA omfattar ett brett spektrum av finansiella företag, från banker och försäkringsbolag till mindre investeringsbolag, samt deras IKT-leverantörer. Det innebär att även teknologipartners utan direkt finansiell verksamhet kan omfattas av kraven, om deras tjänster är affärskritiska för den finansiella sektorn.
Oavsett vilken förordning som är aktuell är slutsatsen densamma: bristande compliance kan leda till böter på upp till 10 miljoner euro eller 2% av den globala omsättningen enligt NIS2, medan DORA övervakas direkt av de finansiella tillsynsmyndigheterna. Samtidigt riskerar organisationer förlorat förtroende, uteslutning från kontrakt eller krav på skärpt kontroll, med potentiellt allvarliga affärsmässiga konsekvenser.
