Oversikt

To rammeverk, ulike utgangspunkt

ISO 27001 og DORA adresserer begge IKT-risikostyring, men fra grunnleggende forskjellige vinkler. ISO 27001 er en frivillig internasjonal standard som gir et rammeverk for a etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS). Organisasjoner soker sertifisering for a demonstrere sikkerhetsmodenhet overfor kunder, partnere og tilsynsmyndigheter.

DORA (EU-forordning 2022/2554) er en obligatorisk forordning som gjelder for omtrent 22 000 finansielle enheter i EU. Den tradte i kraft 17. januar 2025 og fastsetter detaljerte krav til digital operasjonell motstandsdyktighet, inkludert IKT-risikostyring, hendelsesrapportering, testing av motstandsdyktighet, tredjepartsrisikostyring og informasjonsdeling.

Den sentrale forskjellen er at ISO 27001-sertifisering er et valg, mens DORA-samsvar er en juridisk forpliktelse. En ISO 27001-sertifisert finansiell enhet ma fortsatt tilfredsstille DORAs tilleggskrav. Men den gode nyheten er at ISO 27001 gir et betydelig forsprang: dersom du allerede driver et sertifisert ISMS, har du styringsstrukturene, risikometodikken og kontrollrammeverket som DORA bygger videre pa.

Hovedpoeng: ISO 27001 er et grunnlag, ikke en malsetting. Standarden dekker omtrent 60–70 % av det DORA krever, men de gjenstaende gapene er spesifikke, presise og obligatoriske. A forsta noyaktig hvor DORA gar lenger er forste steg mot effektivt samsvar.

Side om side

DORA vs ISO 27001 sammenligningstabell

Denne tabellen fremhever de viktigste forskjellene pa tvers av dimensjonene som betyr mest for samsvarsplanlegging. Bruk den til a identifisere hvor ditt eksisterende ISO 27001-program allerede oppfyller DORAs forventninger og hvor det trengs ytterligere arbeid.

Dimensjon ISO 27001 DORA (EU 2022/2554)
Juridisk status Frivillig internasjonal standard; sertifisering er valgfri Obligatorisk EU-forordning; direkte gjeldende i alle medlemsstater
Omfang Enhver organisasjon, enhver sektor, enhver storrelse Finansielle enheter i EU (banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, kryptoaktiva-tjenesteleverandorer) + kritiske IKT-leverandorer
Risikostyring Risikobasert ISMS med Annex A-kontroller; organisasjonen definerer egen risikoappetitt Presist IKT-risikorammeverk (art. 5–16) med spesifikke krav til identifisering, beskyttelse, deteksjon, respons, gjenoppretting og laering
Hendelsesrapportering Intern hendelseshandteringsprosess (A.5.24–A.5.28); ingen regulatorisk rapporteringstidsfrist Obligatorisk rapportering til NCA: 4t forstevarsel, 72t mellomrapport, 1 md. sluttrapport
Testing Anbefaler testing og evaluering av sikkerhetstiltak; ingen spesifikk metodikk palagt Palegger arlig grunnleggende testing + TLPT hvert 3. ar for utpekte enheter (art. 24–27)
Tredjepartsrisiko Leverandorrelasjonsstyring (A.5.19–A.5.23); aktivaoversiktstilnaerming Informasjonsregister i maskinlesbart format + obligatoriske kontraktsklausuler + due diligence for kontrakt + CTPP-tilsynsrammeverk (art. 28–44)
Styreansvar Toppledelsens tilsyn og engasjement (punkt 5); ingen personlig ansvar Ledelsesorganet personlig ansvarlig for IKT-risikorammeverket; skal godkjenne og folge opp implementering (art. 5(2))
Driftskontinuitet Kontroller for driftskontinuitet (A.5.29–A.5.30); samsvarer med ISO 22301 IKT-driftskontinuitetsstyring med spesifikke RTO- og RPO-mal; obligatorisk testing av IKT-kontinuitetsplaner
Sanksjoner Ingen regulatoriske sanksjoner; risiko for a miste sertifisering Regulatoriske boter fastsatt av NCA-er; CTPP periodiske boter opp til 1 % daglig global omsetning; personlig ansvar for ledelsesorganets medlemmer

Felles grunn

Hvor ISO 27001 og DORA overlapper

Dersom du allerede har ISO 27001-sertifisering, har du betydelig dekning pa tvers av flere DORA-kravomrader. Disse overlappende omradene betyr at du ikke starter fra null.

1

Risikorammeverk

Begge krever en strukturert tilnaerming til risikostyring som dekker identifisering, vurdering, behandling og overvaking. Din ISO 27001-risikovurderingsmetodikk og anvendelseserklaring (SoA) gir et godt utgangspunkt for DORAs IKT-risikorammeverk under artikkel 5–16.

2

Styring og ansvar

ISO 27001 punkt 5 krever toppledelsens engasjement, mens DORA art. 5(2) krever ledelsesorganets tilsyn. Begge insisterer pa tydelige roller, ansvarsomrader og engasjement pa styreniva med informasjonssikkerhet og operasjonell motstandsdyktighet.

3

Hendelsesdeteksjon og -respons

ISO 27001 Annex A.5.24–A.5.28 dekker handtering av informasjonssikkerhetshendelser. DORA artikkel 17–23 adresserer handtering av IKT-relaterte hendelser. Begge krever prosesser for a oppdage, klassifisere, respondere pa og laere av hendelser.

4

Aktivastyring

ISO 27001 Annex A.5.9–A.5.13 dekker identifisering og klassifisering av informasjonsaktiva. DORA art. 8 krever at finansielle enheter identifiserer alle IKT-aktiva og vedlikeholder en oppdatert oversikt. Din eksisterende aktivaoversikt gir et grunnlag a bygge videre pa.

5

Tilgangskontroll og autentisering

ISO 27001 Annex A.8.1–A.8.5 og A.5.15–A.5.18 dekker tilgangskontroll, identitetsstyring og autentisering. DORA art. 9(4) krever sterk autentisering, tilgangsstyringspolicyer og overvaking av tilgang til IKT-systemer og data. Kontrollmalene samsvarer godt.


Gapomrader

Hvor DORA gar lenger enn ISO 27001

Selv om ISO 27001 gir deg et solid rammeverk for sikkerhetsstyring, innforer DORA flere krav som ikke har noe direkte ekvivalent i standarden. Dette er omradene der finansielle enheter ma utvide sitt eksisterende ISMS for a oppna samsvar.

Obligatorisk trusselbasert penetrasjonstesting (TLPT). DORA art. 26–27 krever at utpekte finansielle enheter gjennomforer trusselbasert penetrasjonstesting minst hvert tredje ar, i henhold til TIBER-EU-rammeverket eller tilsvarende. ISO 27001 anbefaler testing, men palegger ingen spesifikk metodikk, frekvens eller tilnaerming. TLPT er et av de mest ressurskrevende DORA-kravene og krever grundig planlegging. Se var guide for testing av motstandsdyktighet for implementeringsdetaljer.

Informasjonsregister. DORA art. 28(3) krever at finansielle enheter vedlikeholder et komplett register over alle kontraktsavtaler med IKT-tredjepartsleverandorer, i et maskinlesbart format som kan innsendes til tilsynsmyndigheter pa forespørsel. ISO 27001 adresserer leverandorforhold pa et hoyt niva (A.5.19–A.5.23), men krever ikke et strukturert, maskinlesbart register. Dette er en betydelig ny dataforvaltningsforpliktelse. Les mer om dette kravet i var guide for tredjepartsrisikostyring.

Obligatoriske kontraktsklausuler. DORA art. 30 fastsetter spesifikke klausuler som skal inkluderes i avtaler med IKT-tjenesteleverandorer, som dekker tjenesteniva, dataplassering, revisjonsrettigheter, exit-strategier og vilkar for underleverandorer. ISO 27001 krever at organisasjoner adresserer informasjonssikkerhet i leverandoravtaler, men fastsetter ikke obligatoriske kontraktsvilkar.

CTPP-tilsynsrammeverk. DORA etablerer direkte tilsyn pa EU-niva av kritiske tredjepartsleverandorer (CTPP-er) gjennom ledende tilsynsorganer utpekt av ESA-ene. Dette er en regulatorisk konstruksjon som ikke har noe ekvivalent i ISO 27001. Finansielle enheter ma forsta om deres viktige leverandorer er utpekt som CTPP-er og hva det inneberer for kontrakts- og tilsynsordninger.

Spesifikke tidsfrister for hendelsesrapportering. DORA krever et forstevarsel innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en sluttrapport innen en maned, alt innsendt til relevant finansielt tilsynsmyndighet. ISO 27001 krever hendelseshandteringsprosesser, men palegger ingen ekstern rapporteringstidsfrist. Dette gapet krever nye rapporteringsarbeidsflyter og maler.

Personlig styreansvar. DORA art. 5(2) gjor ledelsesorganet personlig ansvarlig for a definere, godkjenne, folge opp og vaere ansvarlig for IKT-risikorammeverket. ISO 27001 punkt 5 krever toppledelsens engasjement, men etablerer ikke personlig ansvar. Denne forskjellen endrer hvordan styrer engasjerer seg med operasjonell motstandsdyktighet og kan kreve oppdaterte styringsprosesser.

Overvaking av konsentrasjonsrisiko. DORA art. 29 krever at finansielle enheter vurderer og styrer IKT-konsentrasjonsrisiko, inkludert avhengigheter til enkeltstaaende leverandorer eller til leverandorer som betjener en stor del av finanssektoren. ISO 27001 adresserer ikke konsentrasjonsrisiko som et spesifikt kontrollomaade.


Praktisk veiledning

Bruk ISO 27001 som grunnlag for DORA

Dersom du allerede driver et sertifisert ISMS, er den mest effektive veien til DORA-samsvar a utvide det du har, i stedet for a bygge et parallelt program. Ditt ISO 27001-styringssystem gir deg styringsstrukturene, risikometodikken, internrevisjonskompetansen og kontrollrammeverket som DORA bygger pa.

Ditt ISMS dekker mer enn du tror

Organisasjoner med et modent ISO 27001 ISMS finner typisk at 60–70 % av DORAs krav allerede er adressert pa et eller annet niva. Risikovurderingsprosessen, tilnaermingen til kontrollimplementering, ledelsesgjennomgangssyklusene og metodikken for kontinuerlig forbedring kan alle overføres direkte. Arbeidet fremover er fokusert pa de DORA-spesifikke tilleggene, ikke pa a bygge opp fra bunnen.

Ikke opprett et eget program. En vanlig feil er a behandle DORA som et helt nytt samsvarstiltak med egen styring, dokumentasjon og rapporteringsstrukturer. Dette skaper duplisering, oker kostnadene og gjor langsiktig vedlikehold vanskeligere. Integrer i stedet DORA-kravene i ditt eksisterende ISMS-omfang, utvid anvendelseserklaeringen din til a dekke DORA-spesifikke kontroller, og bruk dine etablerte ledelsesgjennomgangs- og internrevisjonsprosesser til a overvake samsvar.

Kjor en strukturert gap-analyse. Det mest verdifulle enkelttiltaket er en systematisk sammenligning av dine navarende ISO 27001-kontroller mot DORAs spesifikke krav. Dette identifiserer noyaktig hvor ditt ISMS allerede tilfredsstiller DORA, hvor kontroller ma styrkes, og hvor helt nye funksjoner er nodvendig. DORA gap-analyseverktøyet er designet for nettopp dette formalet og kartlegger din navarende stilling pa tvers av alle fem DORA-pilarer.

Prioriter de mest krevende gapene. Ikke alle gap veier like tungt. TLPT-planlegging, implementering av Informasjonsregisteret og endringer i arbeidsflyt for hendelsesrapportering er vanligvis de mest tidkrevende tilleggene. Start med disse omradene for a sikre tilstrekkelig tid til implementering, saerlig for TLPT som krever engasjement av eksterne testere og koordinering med tilsynsmyndigheter.



FAQ

Ofte stilte sporsmal

Nei. ISO 27001 gir et solid grunnlag som dekker omtrent 60–70 % av det DORA krever, men standarden adresserer ikke flere obligatoriske DORA-forpliktelser. Disse inkluderer trusselbasert penetrasjonstesting, et maskinlesbart Informasjonsregister, presise tidsfrister for hendelsesrapportering til tilsynsmyndigheter, obligatoriske kontraktsklausuler for IKT-leverandorer, CTPP-tilsyn og eksplisitt personlig styreansvar. Du ma identifisere og lukke disse gapene ved a utvide ISMS-et med DORA-spesifikke kontroller.

Ja, og dette er den anbefalte tilnaermingen. Ditt ISO 27001 ISMS gir allerede styringsrammeverket, risikostyringsmetodikken, aktivaoversikten, tilgangskontrollene og hendelseshandteringsprosessene DORA krever. I stedet for a bygge et eget DORA-samsvarsprogram, bor du utvide ditt eksisterende styringssystem med DORA-spesifikke kontroller. Kjor en gap-analyse for a identifisere hva DORA krever utover ditt navarende omfang, og legg til kontrollene som utvidelser innenfor ditt etablerte rammeverk.

De viktigste gapene faller i seks omrader: (1) TLPT — DORA palegger trusselbasert penetrasjonstesting hvert tredje ar for utpekte enheter; (2) Informasjonsregister — et maskinlesbart register over alle IKT-tredjepartsavtaler uten ISO 27001-ekvivalent; (3) Hendelsesrapportering — spesifikke tidsfrister pa 4 timer, 72 timer og 1 maned til tilsynsmyndigheter; (4) Kontraktsklausuler — obligatoriske vilkar for IKT-leverandoravtaler; (5) CTPP-tilsyn — et EU-niva tilsynsrammeverk for kritiske IKT-leverandorer; (6) Styreansvar — personlig ansvar for ledelsesorganets medlemmer som gar utover ISO 27001s krav om toppledelsens engasjement.

Start med a kartlegge Annex A-kontroller mot de fem DORA-pilarene. Annex A.5 (Organisatoriske kontroller) samsvarer bredt med DORAs IKT-risikorammeverk (art. 5–16). A.8 (Teknologiske kontroller) samsvarer med DORAs krav til beskyttelse og testing. A.5.19–A.5.23 (Leverandorforhold) samsvarer med DORAs tredjepartsrisikostyring (art. 28–44), selv om DORA gar betydelig lenger. A.5.24–A.5.28 (Hendelseshandtering) samsvarer med DORAs hendelsesrapportering (art. 17–23), men uten de spesifikke tidsfristene. Bruk et strukturert gap-analyseverktoy for systematisk a identifisere hvor DORA-kravene overstiger din navarende Annex A-dekning.