To regelværk — én sektor
Finanssektoren befinder sig i en unik position: den omfattes af DORA (Digital Operational Resilience Act), en EU-forordning specifik for finansielle tjenester. Samtidig findes NIS2 som berører kritisk infrastruktur bredere.
Hvordan hænger disse sammen? Og hvad skal finansorganisationer gøre?
Kortversion: Finansielle enheder omfattes primært af DORA, ikke NIS2. Men ICT-leverandører til finanssektoren kan omfattes af begge.
DORA i kort form
Hvad er DORA? Digital Operational Resilience Act — EU-forordning for digital modstandskraft i finanssektoren. Gælder fra 17. januar 2025.
Hvem omfattes?
- Banker og kreditinstitutter
- Betalingsinstitutter
- Forsikrings- og genforsikringsselskaber
- Værdipapirselskaber
- Fondsmæglerselskaber
- Kritiske ICT-tredjepartsleverandører
Fem søjler:
- ICT-risikostyring
- Hændelsesrapportering
- Digital resiliens-testning
- ICT tredjepartsrisiko
- Informationsdeling
DORA vs NIS2 — Sammenligning
| Aspekt | DORA | NIS2 |
|---|---|---|
| Type | Forordning (direkte anvendelig) | Direktiv (kræver national lov) |
| Sektor | Finanssektoren | 18 kritiske sektorer |
| Fokus | Digital operationel resiliens | Cybersikkerhed bredt |
| Hændelsesrapportering | 4t-24t-72t-1md | 24t-72t-1md |
| Testning | Eksplicit, inkl. TLPT | Implicit |
| Tredjepartsrisiko | Meget detaljeret | Krav findes |
| Sanktioner | Via Finanstilsynet | Op til 10M€ eller 2% |
NIS2 Artikel 4 — Undtagelsen
NIS2 undtager finansielle enheder fra direktivet:
“Denne forordning skal ikke påvirke anvendelsen af [DORA] på finansielle enheder som omfattes af den forordning.”
I praksis:
- Banker, forsikringsselskaber etc. følger DORA
- NIS2 gælder ikke parallelt for samme enhed
- ICT-leverandører til finans kan omfattes af NIS2 (og DORA’s tredjepartskrav)
Overlappende krav
Begge kræver systematisk ICT/cybersikkerhedsrisikostyring. DORA er mere detaljeret med krav til risikoappetit og rammer.
Begge kræver rapportering. DORA: 4 timer initial. NIS2: 24 timer. DORA har mere specifikke klassifikationskriterier.
Begge kræver kontinuitetsplaner. DORA har eksplicitte krav til gendannelsestid og testning.
Begge adresserer leverandørrisiko. DORA er betydeligt mere detaljeret med krav til koncentrationsrisiko og exit-strategier.
Hvor DORA går længere
Testning
DORA’s testkrav:
- Grundlæggende tests: Sårbarhedsvurderinger, netværkssikkerhed, gap-analyser, fysisk sikkerhed, kildekodegennemgange
- Avancerede tests (TLPT): Threat-Led Penetration Testing for kritiske funktioner, hvert tredje år for større finansinstitutter
- Tredjepartstests: ICT-leverandører skal indgå i testprogrammer
NIS2 har ingen tilsvarende eksplicitte testkrav.
ICT tredjepartsrisiko
| DORA-krav | Beskrivelse |
|---|---|
| Koncentrationsrisiko | Undgå overdreven afhængighed af enkelt leverandør |
| Exit-strategi | Plan for at skifte kritiske leverandører |
| Tilsyn af kritiske | Kritiske ICT-leverandører står under EU-tilsyn |
| Aftaleindhold | Specifikke krav til hvad aftaler skal indeholde |
| Register | Opdateret register over alle ICT-leverandører |
Hændelsesrapportering
| Trin | DORA | NIS2 |
|---|---|---|
| Initial | 4 timer | 24 timer |
| Mellemrapport | 72 timer | 72 timer |
| Slutrapport | 1 måned | 1 måned |
| Til hvem | Finanstilsynet | CFCS/sektormyndighed |
Strategisk tilgang
- Afklar hvilke regelværk der gælder Finansiel enhed? DORA primært. ICT-leverandør til finans? Potentielt begge. Anden kritisk sektor? NIS2.
- Byg på ISO 27001 ISO 27001 giver struktur som understøtter både DORA og NIS2. Tilføj specifikke krav ovenpå.
- Forstærk testning (DORA) DORA kræver mere rigorøs testning. Planlæg for regelmæssige tests og TLPT hvis relevant.
- Udvikl tredjepartshåndtering DORA's krav er detaljerede. Skab robust proces for leverandørvurdering, aftalehåndtering og exit-planlægning.
- Integrer rapportering Én hændelsesproces som dækker begge regelværks tidskrav. Start med korteste krav (DORA 4t).
Praktiske tips
For finansinstitutter
- Fokuser på DORA — det er jeres primære regelværk
- Inkluder NIS2-krav i leverandøraftaler (jeres leverandører kan omfattes)
- Samarbejd med ICT-leverandører om fælles compliance
For ICT-leverandører til finans
- I kan omfattes af både DORA (tredjepartskrav) og NIS2
- Forbered jer på DORA’s aftale- og revisionskrav
- Kritiske leverandører står under EU-tilsyn
ICT-leverandør? Kontroller om I omfattes af NIS2 og læs mere om NIS2’s specifikke krav.
Sådan kan Securapilot hjælpe
Securapilot understøtter compliance for både DORA og NIS2:
- Risikostyring — ICT-risikostyring i henhold til begge rammer
- Hændelseshåndtering — Rapportering som opfylder korteste tidskrav
- Leverandørhåndtering — DORA’s krav til ICT-tredjepartsrisiko
- Testsporing — Dokumenter tests og resultater
- Compliance-dashboard — Overblik over status
Book en demo og se hvordan vi kan understøtte jeres finanssektors-compliance.
Ofte stillede spørgsmål
Gælder både DORA og NIS2 for banker?
Nej, NIS2 undtager finansielle enheder som omfattes af DORA (Artikel 4). Banker, forsikringsselskaber og andre finansinstitutter følger primært DORA. Dog kan NIS2 gælde for ICT-leverandører til finanssektoren.
Hvad er forskellen mellem DORA og NIS2?
DORA er sektorspecifik for finans og mere detaljeret, med eksplicitte krav til testning og tredjepartshåndtering. NIS2 er bredere og gælder mange sektorer. DORA har højere krav på visse områder.
Hvilke sanktioner gælder ved DORA-overtrædelser?
Finanstilsynet kan udmåle sanktioner i henhold til national implementering. Kritiske ICT-tredjepartsleverandører kan få bøder op til 1% af gennemsnitlig daglig global omsætning.
Kan ISO 27001 anvendes som grundlag for begge?
Ja, ISO 27001 giver et godt grundlag som dækker store dele af både DORA og NIS2. Begge kræver dog specifikke tilføjelser — DORA er mere detaljeret på testning og tredjepartshåndtering.
