To rammeverk, ulike utgangspunkt
ISO 27001 og DORA adresserer begge IKT-risikostyring, men fra grunnleggende forskjellige vinkler. ISO 27001 er en frivillig internasjonal standard som gir et rammeverk for a etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS). Organisasjoner soker sertifisering for a demonstrere sikkerhetsmodenhet overfor kunder, partnere og tilsynsmyndigheter.
DORA (EU-forordning 2022/2554) er en obligatorisk forordning som gjelder for omtrent 22 000 finansielle enheter i EU. Den tradte i kraft 17. januar 2025 og fastsetter detaljerte krav til digital operasjonell motstandsdyktighet, inkludert IKT-risikostyring, hendelsesrapportering, testing av motstandsdyktighet, tredjepartsrisikostyring og informasjonsdeling.
Den sentrale forskjellen er at ISO 27001-sertifisering er et valg, mens DORA-samsvar er en juridisk forpliktelse. En ISO 27001-sertifisert finansiell enhet ma fortsatt tilfredsstille DORAs tilleggskrav. Men den gode nyheten er at ISO 27001 gir et betydelig forsprang: dersom du allerede driver et sertifisert ISMS, har du styringsstrukturene, risikometodikken og kontrollrammeverket som DORA bygger videre pa.
DORA vs ISO 27001 sammenligningstabell
Denne tabellen fremhever de viktigste forskjellene pa tvers av dimensjonene som betyr mest for samsvarsplanlegging. Bruk den til a identifisere hvor ditt eksisterende ISO 27001-program allerede oppfyller DORAs forventninger og hvor det trengs ytterligere arbeid.
| Dimensjon | ISO 27001 | DORA (EU 2022/2554) |
|---|---|---|
| Juridisk status | Frivillig internasjonal standard; sertifisering er valgfri | Obligatorisk EU-forordning; direkte gjeldende i alle medlemsstater |
| Omfang | Enhver organisasjon, enhver sektor, enhver storrelse | Finansielle enheter i EU (banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, kryptoaktiva-tjenesteleverandorer) + kritiske IKT-leverandorer |
| Risikostyring | Risikobasert ISMS med Annex A-kontroller; organisasjonen definerer egen risikoappetitt | Presist IKT-risikorammeverk (art. 5–16) med spesifikke krav til identifisering, beskyttelse, deteksjon, respons, gjenoppretting og laering |
| Hendelsesrapportering | Intern hendelseshandteringsprosess (A.5.24–A.5.28); ingen regulatorisk rapporteringstidsfrist | Obligatorisk rapportering til NCA: 4t forstevarsel, 72t mellomrapport, 1 md. sluttrapport |
| Testing | Anbefaler testing og evaluering av sikkerhetstiltak; ingen spesifikk metodikk palagt | Palegger arlig grunnleggende testing + TLPT hvert 3. ar for utpekte enheter (art. 24–27) |
| Tredjepartsrisiko | Leverandorrelasjonsstyring (A.5.19–A.5.23); aktivaoversiktstilnaerming | Informasjonsregister i maskinlesbart format + obligatoriske kontraktsklausuler + due diligence for kontrakt + CTPP-tilsynsrammeverk (art. 28–44) |
| Styreansvar | Toppledelsens tilsyn og engasjement (punkt 5); ingen personlig ansvar | Ledelsesorganet personlig ansvarlig for IKT-risikorammeverket; skal godkjenne og folge opp implementering (art. 5(2)) |
| Driftskontinuitet | Kontroller for driftskontinuitet (A.5.29–A.5.30); samsvarer med ISO 22301 | IKT-driftskontinuitetsstyring med spesifikke RTO- og RPO-mal; obligatorisk testing av IKT-kontinuitetsplaner |
| Sanksjoner | Ingen regulatoriske sanksjoner; risiko for a miste sertifisering | Regulatoriske boter fastsatt av NCA-er; CTPP periodiske boter opp til 1 % daglig global omsetning; personlig ansvar for ledelsesorganets medlemmer |
Hvor ISO 27001 og DORA overlapper
Dersom du allerede har ISO 27001-sertifisering, har du betydelig dekning pa tvers av flere DORA-kravomrader. Disse overlappende omradene betyr at du ikke starter fra null.
Risikorammeverk
Begge krever en strukturert tilnaerming til risikostyring som dekker identifisering, vurdering, behandling og overvaking. Din ISO 27001-risikovurderingsmetodikk og anvendelseserklaring (SoA) gir et godt utgangspunkt for DORAs IKT-risikorammeverk under artikkel 5–16.
Styring og ansvar
ISO 27001 punkt 5 krever toppledelsens engasjement, mens DORA art. 5(2) krever ledelsesorganets tilsyn. Begge insisterer pa tydelige roller, ansvarsomrader og engasjement pa styreniva med informasjonssikkerhet og operasjonell motstandsdyktighet.
Hendelsesdeteksjon og -respons
ISO 27001 Annex A.5.24–A.5.28 dekker handtering av informasjonssikkerhetshendelser. DORA artikkel 17–23 adresserer handtering av IKT-relaterte hendelser. Begge krever prosesser for a oppdage, klassifisere, respondere pa og laere av hendelser.
Aktivastyring
ISO 27001 Annex A.5.9–A.5.13 dekker identifisering og klassifisering av informasjonsaktiva. DORA art. 8 krever at finansielle enheter identifiserer alle IKT-aktiva og vedlikeholder en oppdatert oversikt. Din eksisterende aktivaoversikt gir et grunnlag a bygge videre pa.
Tilgangskontroll og autentisering
ISO 27001 Annex A.8.1–A.8.5 og A.5.15–A.5.18 dekker tilgangskontroll, identitetsstyring og autentisering. DORA art. 9(4) krever sterk autentisering, tilgangsstyringspolicyer og overvaking av tilgang til IKT-systemer og data. Kontrollmalene samsvarer godt.
Hvor DORA gar lenger enn ISO 27001
Selv om ISO 27001 gir deg et solid rammeverk for sikkerhetsstyring, innforer DORA flere krav som ikke har noe direkte ekvivalent i standarden. Dette er omradene der finansielle enheter ma utvide sitt eksisterende ISMS for a oppna samsvar.
Obligatorisk trusselbasert penetrasjonstesting (TLPT). DORA art. 26–27 krever at utpekte finansielle enheter gjennomforer trusselbasert penetrasjonstesting minst hvert tredje ar, i henhold til TIBER-EU-rammeverket eller tilsvarende. ISO 27001 anbefaler testing, men palegger ingen spesifikk metodikk, frekvens eller tilnaerming. TLPT er et av de mest ressurskrevende DORA-kravene og krever grundig planlegging. Se var guide for testing av motstandsdyktighet for implementeringsdetaljer.
Informasjonsregister. DORA art. 28(3) krever at finansielle enheter vedlikeholder et komplett register over alle kontraktsavtaler med IKT-tredjepartsleverandorer, i et maskinlesbart format som kan innsendes til tilsynsmyndigheter pa forespørsel. ISO 27001 adresserer leverandorforhold pa et hoyt niva (A.5.19–A.5.23), men krever ikke et strukturert, maskinlesbart register. Dette er en betydelig ny dataforvaltningsforpliktelse. Les mer om dette kravet i var guide for tredjepartsrisikostyring.
Obligatoriske kontraktsklausuler. DORA art. 30 fastsetter spesifikke klausuler som skal inkluderes i avtaler med IKT-tjenesteleverandorer, som dekker tjenesteniva, dataplassering, revisjonsrettigheter, exit-strategier og vilkar for underleverandorer. ISO 27001 krever at organisasjoner adresserer informasjonssikkerhet i leverandoravtaler, men fastsetter ikke obligatoriske kontraktsvilkar.
CTPP-tilsynsrammeverk. DORA etablerer direkte tilsyn pa EU-niva av kritiske tredjepartsleverandorer (CTPP-er) gjennom ledende tilsynsorganer utpekt av ESA-ene. Dette er en regulatorisk konstruksjon som ikke har noe ekvivalent i ISO 27001. Finansielle enheter ma forsta om deres viktige leverandorer er utpekt som CTPP-er og hva det inneberer for kontrakts- og tilsynsordninger.
Spesifikke tidsfrister for hendelsesrapportering. DORA krever et forstevarsel innen 4 timer etter klassifisering, en mellomrapport innen 72 timer og en sluttrapport innen en maned, alt innsendt til relevant finansielt tilsynsmyndighet. ISO 27001 krever hendelseshandteringsprosesser, men palegger ingen ekstern rapporteringstidsfrist. Dette gapet krever nye rapporteringsarbeidsflyter og maler.
Personlig styreansvar. DORA art. 5(2) gjor ledelsesorganet personlig ansvarlig for a definere, godkjenne, folge opp og vaere ansvarlig for IKT-risikorammeverket. ISO 27001 punkt 5 krever toppledelsens engasjement, men etablerer ikke personlig ansvar. Denne forskjellen endrer hvordan styrer engasjerer seg med operasjonell motstandsdyktighet og kan kreve oppdaterte styringsprosesser.
Overvaking av konsentrasjonsrisiko. DORA art. 29 krever at finansielle enheter vurderer og styrer IKT-konsentrasjonsrisiko, inkludert avhengigheter til enkeltstaaende leverandorer eller til leverandorer som betjener en stor del av finanssektoren. ISO 27001 adresserer ikke konsentrasjonsrisiko som et spesifikt kontrollomaade.
Bruk ISO 27001 som grunnlag for DORA
Dersom du allerede driver et sertifisert ISMS, er den mest effektive veien til DORA-samsvar a utvide det du har, i stedet for a bygge et parallelt program. Ditt ISO 27001-styringssystem gir deg styringsstrukturene, risikometodikken, internrevisjonskompetansen og kontrollrammeverket som DORA bygger pa.
Ditt ISMS dekker mer enn du tror
Organisasjoner med et modent ISO 27001 ISMS finner typisk at 60–70 % av DORAs krav allerede er adressert pa et eller annet niva. Risikovurderingsprosessen, tilnaermingen til kontrollimplementering, ledelsesgjennomgangssyklusene og metodikken for kontinuerlig forbedring kan alle overføres direkte. Arbeidet fremover er fokusert pa de DORA-spesifikke tilleggene, ikke pa a bygge opp fra bunnen.
Ikke opprett et eget program. En vanlig feil er a behandle DORA som et helt nytt samsvarstiltak med egen styring, dokumentasjon og rapporteringsstrukturer. Dette skaper duplisering, oker kostnadene og gjor langsiktig vedlikehold vanskeligere. Integrer i stedet DORA-kravene i ditt eksisterende ISMS-omfang, utvid anvendelseserklaeringen din til a dekke DORA-spesifikke kontroller, og bruk dine etablerte ledelsesgjennomgangs- og internrevisjonsprosesser til a overvake samsvar.
Kjor en strukturert gap-analyse. Det mest verdifulle enkelttiltaket er en systematisk sammenligning av dine navarende ISO 27001-kontroller mot DORAs spesifikke krav. Dette identifiserer noyaktig hvor ditt ISMS allerede tilfredsstiller DORA, hvor kontroller ma styrkes, og hvor helt nye funksjoner er nodvendig. DORA gap-analyseverktøyet er designet for nettopp dette formalet og kartlegger din navarende stilling pa tvers av alle fem DORA-pilarer.
Prioriter de mest krevende gapene. Ikke alle gap veier like tungt. TLPT-planlegging, implementering av Informasjonsregisteret og endringer i arbeidsflyt for hendelsesrapportering er vanligvis de mest tidkrevende tilleggene. Start med disse omradene for a sikre tilstrekkelig tid til implementering, saerlig for TLPT som krever engasjement av eksterne testere og koordinering med tilsynsmyndigheter.
Anbefalt tilnaerming: Fra ISO 27001 til DORA-samsvar
Folg disse stegene for systematisk a utvide ditt ISO 27001-program til a oppfylle DORA-krav. Hvert steg bygger pa det forrige og er designet for a minimere forstyrrelser i ditt eksisterende styringssystem.
Kartlegg ISO 27001-kontroller mot DORA-artikler
Opprett en detaljert kartlegging mellom dine Annex A-kontroller og de fem DORA-pilarene. Identifiser hvilke kontroller som allerede tilfredsstiller DORA-krav, hvilke som delvis tilfredsstiller dem, og hvilke DORA-artikler som ikke har noen tilsvarende ISO 27001-kontroll. Denne kartleggingen blir din baseline for gap-analysen.
Identifiser og dokumenter gap
For hvert DORA-krav som ikke er fullt dekket av ditt navarende ISMS, dokumenter gapet, innsatsen som trengs for a lukke det, og prioritetsniva. Fokuser pa omradene beskrevet i gap-seksjonen over: TLPT, Informasjonsregisteret, obligatoriske kontraktsklausuler, tidsfrister for hendelsesrapportering, styreansvar og konsentrasjonsrisiko. Bruk det gratis vurderingsverktoyet for a akselerere dette steget.
Utvid ISMS-et med DORA-spesifikke kontroller
Legg til nye kontroller i din anvendelseserklaring for a adressere identifiserte gap. Oppdater risikobehandlingsplanen din til a inkludere DORA-spesifikke risikoer. Integrer disse kontrollene i din eksisterende kontrollovervaking og internrevisjonsplan i stedet for a opprette en separat tilsynsstruktur.
Legg til DORA-rapporteringsfunksjoner
Implementer arbeidsflytene for hendelsesrapportering som DORA krever, inkludert maler for forstevarsler, mellomrapporter og sluttrapporter. Sett opp Informasjonsregisteret ditt i det maskinlesbare formatet forordningen krever. Konfigurer styrerapportering til a dekke DORA-spesifikke maleparametere og ansvarskrav. DORA GRC-plattformen tilbyr disse funksjonene ferdig ut av boksen.
Implementer ditt TLPT-program
Dersom din enhet er utpekt for TLPT, planlegg og gjennomfor trusselbasert penetrasjonstesting i henhold til art. 26–27 og TIBER-EU-rammeverket. Dette innebarer a engasjere kvalifiserte trusselinformasjons- og red team-leverandorer, definere omfanget med din tilsynsmyndighet, og gjennomfore tester mot aktive produksjonssystemer. Se guiden for testing av motstandsdyktighet for en detaljert implementeringsplan.
Ofte stilte sporsmal
Nei. ISO 27001 gir et solid grunnlag som dekker omtrent 60–70 % av det DORA krever, men standarden adresserer ikke flere obligatoriske DORA-forpliktelser. Disse inkluderer trusselbasert penetrasjonstesting, et maskinlesbart Informasjonsregister, presise tidsfrister for hendelsesrapportering til tilsynsmyndigheter, obligatoriske kontraktsklausuler for IKT-leverandorer, CTPP-tilsyn og eksplisitt personlig styreansvar. Du ma identifisere og lukke disse gapene ved a utvide ISMS-et med DORA-spesifikke kontroller.
Ja, og dette er den anbefalte tilnaermingen. Ditt ISO 27001 ISMS gir allerede styringsrammeverket, risikostyringsmetodikken, aktivaoversikten, tilgangskontrollene og hendelseshandteringsprosessene DORA krever. I stedet for a bygge et eget DORA-samsvarsprogram, bor du utvide ditt eksisterende styringssystem med DORA-spesifikke kontroller. Kjor en gap-analyse for a identifisere hva DORA krever utover ditt navarende omfang, og legg til kontrollene som utvidelser innenfor ditt etablerte rammeverk.
De viktigste gapene faller i seks omrader: (1) TLPT — DORA palegger trusselbasert penetrasjonstesting hvert tredje ar for utpekte enheter; (2) Informasjonsregister — et maskinlesbart register over alle IKT-tredjepartsavtaler uten ISO 27001-ekvivalent; (3) Hendelsesrapportering — spesifikke tidsfrister pa 4 timer, 72 timer og 1 maned til tilsynsmyndigheter; (4) Kontraktsklausuler — obligatoriske vilkar for IKT-leverandoravtaler; (5) CTPP-tilsyn — et EU-niva tilsynsrammeverk for kritiske IKT-leverandorer; (6) Styreansvar — personlig ansvar for ledelsesorganets medlemmer som gar utover ISO 27001s krav om toppledelsens engasjement.
Start med a kartlegge Annex A-kontroller mot de fem DORA-pilarene. Annex A.5 (Organisatoriske kontroller) samsvarer bredt med DORAs IKT-risikorammeverk (art. 5–16). A.8 (Teknologiske kontroller) samsvarer med DORAs krav til beskyttelse og testing. A.5.19–A.5.23 (Leverandorforhold) samsvarer med DORAs tredjepartsrisikostyring (art. 28–44), selv om DORA gar betydelig lenger. A.5.24–A.5.28 (Hendelseshandtering) samsvarer med DORAs hendelsesrapportering (art. 17–23), men uten de spesifikke tidsfristene. Bruk et strukturert gap-analyseverktoy for systematisk a identifisere hvor DORA-kravene overstiger din navarende Annex A-dekning.