To regelverk — en sektor
Finanssektoren befinner seg i en unik posisjon: den omfattes av DORA (Digital Operational Resilience Act), en EU-forordning spesifikk for finansielle tjenester. Samtidig finnes NIS2 som berører kritisk infrastruktur mer bredt.
Hvordan henger disse sammen? Og hva må finansorganisasjoner gjøre?
Kortversjon: Finansentiteter omfattes primært av DORA, ikke NIS2. Men IKT-leverandører til finanssektoren kan omfattes av begge.
DORA i korthet
Hva er DORA? Digital Operational Resilience Act — EU-forordning for digital motstandskraft i finanssektoren. Gjelder fra 17. januar 2025.
Hvem omfattes?
- Banker og kredittinstitusjoner
- Betalingsinstitusjoner
- Forsikrings- og gjenforsikringsselskaper
- Verdipapirforetak
- Fondsforvaltningsselskaper
- Kritiske IKT-tredjepartsleverandører
Fem pilarer:
- IKT-risikostyring
- Hendelsesrapportering
- Digital resiliens-testing
- IKT tredjepartsrisiko
- Informasjonsdeling
DORA vs NIS2 — Sammenligning
| Aspekt | DORA | NIS2 |
|---|---|---|
| Type | Forordning (direkte anvendelig) | Direktiv (krever nasjonal lov) |
| Sektor | Finanssektoren | 18 kritiske sektorer |
| Fokus | Digital operasjonell resiliens | Cybersikkerhet bredt |
| Hendelsesrapportering | 4t-24t-72t-1mnd | 24t-72t-1mnd |
| Testing | Eksplisitt, inkludert TLPT | Implisitt |
| Tredjepartsrisiko | Svært detaljert | Krav finnes |
| Sanksjoner | Via finanstilsyn | Opp til 10M€ eller 2% |
NIS2 Artikkel 4 — Unntaket
NIS2 unntar finansentiteter fra direktivet:
“Denne forordningen skal ikke påvirke anvendelsen av [DORA] på finansielle entiteter som omfattes av den forordningen.”
I praksis:
- Banker, forsikringsselskaper etc. følger DORA
- NIS2 gjelder ikke parallelt for samme entitet
- IKT-leverandører til finans kan omfattes av NIS2 (og DORA sine tredjepartskrav)
Overlappende krav
Begge krever systematisk IKT/cybersikkerhetsrisikostyring. DORA er mer detaljert med krav til risikoappetitt og rammeverk.
Begge krever rapportering. DORA: 4 timer initial. NIS2: 24 timer. DORA har mer spesifikke klassifiseringskriterier.
Begge krever kontinuitetsplaner. DORA har eksplisitte krav til gjenopprettingstid og testing.
Begge adresserer leverandørrisiko. DORA er betydelig mer detaljert med krav til konsentrasjonsrisiko og exit-strategier.
Hvor DORA går lenger
Testing
DORA sine testkrav:
- Grunnleggende tester: Sårbarhetsvurderinger, nettverkssikkerhet, gap-analyser, fysisk sikkerhet, kildekodegjennomganger
- Avanserte tester (TLPT): Threat-Led Penetration Testing for kritiske funksjoner, hvert tredje år for større finansinstitusjoner
- Tredjepartstester: IKT-leverandører skal inngå i testprogram
NIS2 har ingen tilsvarende eksplisitte testkrav.
IKT tredjepartsrisiko
| DORA-krav | Beskrivelse |
|---|---|
| Konsentrasjonsrisiko | Unngå overdreven avhengighet av enkelt leverandør |
| Exit-strategi | Plan for å bytte kritiske leverandører |
| Tilsyn av kritiske | Kritiske IKT-leverandører står under EU-tilsyn |
| Avtaleinnhold | Spesifikke krav til hva avtaler skal inneholde |
| Register | Oppdatert register over alle IKT-leverandører |
Hendelsesrapportering
| Steg | DORA | NIS2 |
|---|---|---|
| Initial | 4 timer | 24 timer |
| Mellomrapport | 72 timer | 72 timer |
| Sluttrapport | 1 måned | 1 måned |
| Til hvem | Finansiell tilsynsmyndighet | CSIRT/sektormyndighet |
Strategisk tilnærming
- Avklar hvilke regelverk som gjelder Finansentitet? DORA primært. IKT-leverandør til finans? Potensielt begge. Annen kritisk sektor? NIS2.
- Bygg på ISO 27001 ISO 27001 gir struktur som støtter både DORA og NIS2. Legg til spesifikke krav på toppen.
- Forsterke testing (DORA) DORA krever mer rigorøs testing. Planlegg for regelmessige tester og TLPT hvis aktuelt.
- Utvikle tredjepartshåndtering DORA sine krav er detaljerte. Skap robust prosess for leverandørvurdering, avtalehåndtering og exit-planlegging.
- Integrer rapportering En hendelsesprosess som dekker begge regelverkenes tidskrav. Start med korteste kravet (DORA 4t).
Praktiske tips
For finansinstitusjoner
- Fokuser på DORA — det er deres primære regelverk
- Inkluder NIS2-krav i leverandøravtaler (deres leverandører kan omfattes)
- Samarbeid med IKT-leverandører om felles compliance
For IKT-leverandører til finans
- Dere kan omfattes av både DORA (tredjepartskrav) og NIS2
- Forbered for DORA sine avtale- og revisjonskrav
- Kritiske leverandører står under EU-tilsyn
IKT-leverandør? Kontroller om dere omfattes av NIS2 og les mer om NIS2 sine spesifikke krav.
Slik kan Securapilot hjelpe
Securapilot støtter compliance for både DORA og NIS2:
- Risikostyring — IKT-risikostyring i henhold til begge rammeverken
- Hendelseshåndtering — Rapportering som oppfyller korteste tidskrav
- Leverandørhåndtering — DORA sine krav til IKT-tredjepartsrisiko
- Testsporing — Dokumenter tester og resultater
- Compliance-dashboard — Oversikt over status
Book en demo og se hvordan vi kan støtte deres finanssektors-compliance.
Ofte stilte spørsmål
Gjelder både DORA og NIS2 for banker?
Nei, NIS2 unntar finansentiteter som omfattes av DORA (Artikkel 4). Banker, forsikringsselskaper og andre finansinstitusjoner følger primært DORA. Men NIS2 kan gjelde for IKT-leverandører til finanssektoren.
Hva er forskjellen mellom DORA og NIS2?
DORA er sektorspesifikk for finans og mer detaljert, med eksplisitte krav til testing og tredjepartshåndtering. NIS2 er bredere og gjelder mange sektorer. DORA har høyere krav på enkelte områder.
Hvilke sanksjoner gjelder ved DORA-overtredelser?
Finansielle tilsynsmyndigheter kan ilegge sanksjoner i henhold til nasjonal implementering. Kritiske IKT-tredjepartsleverandører kan få bøter opp til 1% av gjennomsnittlig daglig global omsetning.
Kan ISO 27001 brukes som grunnlag for begge?
Ja, ISO 27001 gir et godt grunnlag som dekker store deler av både DORA og NIS2. Begge krever imidlertid spesifikke tillegg — DORA er mer detaljert på testing og tredjepartshåndtering.
