Två regelverk, en sektor
Finanssektorn befinner sig i en unik position: den omfattas av DORA (Digital Operational Resilience Act), en EU-förordning specifik för finansiella tjänster. Samtidigt finns NIS2 som berör kritisk infrastruktur bredare.
Hur hänger dessa ihop? Och vad måste finansorganisationer göra?
Kortversion: Finansentiteter omfattas primärt av DORA, inte NIS2. Men ICT-leverantörer till finanssektorn kan omfattas av båda.
DORA i korthet
Vad är DORA? Digital Operational Resilience Act, EU-förordning för digital motståndskraft i finanssektorn. Gäller från 17 januari 2025.
Vem omfattas?
- Banker och kreditinstitut
- Betalningsinstitut
- Försäkrings- och återförsäkringsföretag
- Värdepappersföretag
- Fondbolag
- Kritiska ICT-tredjepartsleverantörer
Fem pelare:
- ICT-riskhantering
- Incidentrapportering
- Digital resiliens-testning
- ICT tredjepartsrisk
- Informationsdelning
DORA vs NIS2: Jämförelse
| Aspekt | DORA | NIS2 |
|---|---|---|
| Typ | Förordning (direkt tillämplig) | Direktiv (kräver nationell lag) |
| Sektor | Finanssektorn | 18 kritiska sektorer |
| Fokus | Digital operationell resiliens | Cybersäkerhet brett |
| Incidentrapportering | 4h-24h-72h-1mån | 24h-72h-1mån |
| Testning | Explicit, inklusive TLPT | Implicit |
| Tredjepartsrisk | Mycket detaljerat | Krav finns |
| Sanktioner | Via finanstillsyn | Upp till 10M€ eller 2% |
NIS2 Artikel 4: Undantaget
NIS2 undantar finansentiteter från direktivet:
“Denna förordning ska inte påverka tillämpningen av [DORA] på finansiella entiteter som omfattas av den förordningen.”
I praktiken:
- Banker, försäkringsbolag etc. följer DORA
- NIS2 gäller inte parallellt för samma entitet
- ICT-leverantörer till finans kan omfattas av NIS2 (och DORA:s tredjepartskrav)
Överlappande krav
Båda kräver systematisk ICT/cybersäkerhetsriskhantering. DORA är mer detaljerad med krav på riskaptit och ramverk.
Båda kräver rapportering. DORA: 4 timmar initial. NIS2: 24 timmar. DORA har mer specifika klassificeringskriterier.
Båda kräver kontinuitetsplaner. DORA har explicita krav på återställningstid och testning.
Båda adresserar leverantörsrisk. DORA är betydligt mer detaljerad med krav på koncentrationsrisk och exit-strategier.
Var DORA går längre
Testning
DORA:s testkrav:
- Grundläggande tester: Sårbarhetsbedömningar, nätverkssäkerhet, gap-analyser, fysisk säkerhet, källkodsgranskningar
- Avancerade tester (TLPT): Threat-Led Penetration Testing för kritiska funktioner, vart tredje år för större finansinstitut
- Tredjepartstester: ICT-leverantörer ska ingå i testprogram
NIS2 har inga motsvarande explicita testkrav.
ICT tredjepartsrisk
| DORA-krav | Beskrivning |
|---|---|
| Koncentrationsrisk | Undvik överdrivet beroende av enskild leverantör |
| Exit-strategi | Plan för att byta kritiska leverantörer |
| Tillsyn av kritiska | Kritiska ICT-leverantörer står under EU-tillsyn |
| Avtalsinnehåll | Specifika krav på vad avtal ska innehålla |
| Register | Uppdaterat register över alla ICT-leverantörer |
Incidentrapportering
| Steg | DORA | NIS2 |
|---|---|---|
| Initial | 4 timmar | 24 timmar |
| Mellanrapport | 72 timmar | 72 timmar |
| Slutrapport | 1 månad | 1 månad |
| Till vem | Finansiell tillsynsmyndighet | CSIRT/sektorsmyndighet |
Strategisk approach
- Klargör vilka regelverk som gäller Finansentitet? DORA primärt. ICT-leverantör till finans? Potentiellt båda. Annan kritisk sektor? NIS2.
- Bygg på ISO 27001 ISO 27001 ger struktur som stödjer både DORA och NIS2. Addera specifika krav på toppen.
- Förstärk testning (DORA) DORA kräver mer rigorös testning. Planera för regelbundna tester och TLPT om tillämpligt.
- Utveckla tredjepartshantering DORA:s krav är detaljerade. Skapa robust process för leverantörsbedömning, avtalshantering och exit-planering.
- Integrera rapportering En incidentprocess som täcker båda regelverkens tidskrav. Börja med kortaste kravet (DORA 4h).
Praktiska tips
För finansinstitut
- Fokusera på DORA. Det är ert primära regelverk
- Inkludera NIS2-krav i leverantörsavtal (era leverantörer kan omfattas)
- Samarbeta med ICT-leverantörer om gemensam compliance
För ICT-leverantörer till finans
- Ni kan omfattas av både DORA (tredjepartskrav) och NIS2
- Förbered för DORA:s avtals- och revisionskarv
- Kritiska leverantörer står under EU-tillsyn
ICT-leverantör? Kontrollera om ni omfattas av NIS2 och läs mer om NIS2:s specifika krav.
Så kan Securapilot hjälpa
Securapilot stödjer compliance för både DORA och NIS2:
- Riskhantering: ICT-riskhantering enligt båda ramverken
- Incidenthantering: Rapportering som uppfyller kortaste tidskrav
- Leverantörshantering: DORA:s krav på ICT-tredjepartsrisk
- Testspårning: Dokumentera tester och resultat
- Compliance-dashboard: Överblick över status
Boka en demo och se hur vi kan stödja er finanssektors-compliance.
Vanliga frågor
Gäller både DORA och NIS2 för banker?
Nej, NIS2 undantar finansentiteter som omfattas av DORA (Artikel 4). Banker, försäkringsbolag och andra finansinstitut följer primärt DORA. Dock kan NIS2 gälla för ICT-leverantörer till finanssektorn.
Vad är skillnaden mellan DORA och NIS2?
DORA är sektorspecifik för finans och mer detaljerad, med explicita krav på testning och tredjepartshantering. NIS2 är bredare och gäller många sektorer. DORA har högre krav på vissa områden.
Vilka sanktioner gäller vid DORA-överträdelser?
Finansiella tillsynsmyndigheter kan utdöma sanktioner enligt nationell implementering. Kritiska ICT-tredjepartsleverantörer kan få böter upp till 1% av genomsnittlig daglig global omsättning.
Kan ISO 27001 användas som grund för båda?
Ja, ISO 27001 ger en bra grund som täcker stora delar av både DORA och NIS2. Båda kräver dock specifika tillägg. DORA är mer detaljerad på testning och tredjepartshantering.
