Oversikt

Sammenligning side om side

For vi gar inn i detaljene, her er en sammenligning av DORA og CRA pa tvers av dimensjonene som er viktigst for compliance-planlegging.

Dimensjon DORA (EU 2022/2554) CRA (EU 2024/2847)
Rettslig form Forordning (direkte anvendelig) Forordning (direkte anvendelig)
Hovedfokus Operasjonell motstandsdyktighet for finansielle enheter Cybersikkerhet for produkter med digitale elementer
Hvem det gjelder ~22 000 finansielle enheter i EU + kritiske IKT-leverandorer Produsenter, importorer og distributorer av digitale produkter pa EU-markedet
Sektoromfang Kun finansielle tjenester Horisontalt (alle sektorer, alle digitale produkter)
Ikrafttredelse 17. januar 2025 Fasevis: rapportering sep. 2026, fulle forpliktelser des. 2027
Kjerneforpliktelse IKT-risikostyring, hendelsesrapportering, motstandsdyktighetstesting, tredjepartstilsyn Sikkerhet innebygd, sarbarhetshandtering, SBOM, CE-merking
Sarbarhetshandtering Identifisere og utbedre IKT-sarbarheter i operasjonelt miljo Handtere produktsarbarheter gjennom hele stotteperioden, koordinert offentliggjoring
Hendelsesrapportering 4t forste / 72t mellom / 1 mnd endelig til finansielt tilsynsorgan 24t varsling av aktivt utnyttede sarbarheter til ENISA + nasjonal CSIRT
Tredjepartsfokus Detaljert: Informasjonsregister, obligatoriske kontraktsklausuler, CTPP-tilsyn Leverandorkjede-aktsomhet for produktkomponenter og avhengigheter
Sanksjoner Fastsettes av tilsynsmyndigheter; CTPP-boter opptil 1 % daglig omsetning Opptil EUR 15 mill. eller 2,5 % global omsetning; produkttilbakekalling
Tilsynsmodell Finansielle tilsynsmyndigheter (ECB, EBA, ESMA, EIOPA) + hovedtilsynsforere Nasjonale markedstilsynsmyndigheter + ENISA-koordinering

DORA

DORA: Operasjonell motstandsdyktighet for finanssektoren

DORA (forordning (EU) 2022/2554) er en EU-forordning som fokuserer utelukkende pa finanssektoren. Formalet er a sikre at finansielle enheter kan motsta, reagere pa og gjenopprette seg etter IKT-relaterte forstyrrelser. Den adresserer den systemiske risikoen som opstar nar finanssektoren er svart avhengig av et lite antall kritiske teknologileverandorer.

DORA gjelder for omtrent 22 000 finansielle enheter i EU, inkludert banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, e-pengeforetak, kryptoaktiva-tjenesteleverandorer og kredittvurderingsbyraer. Den bringer ogsa kritiske IKT-tredjepartsleverandorer (CTPP-er) under direkte EU-tilsyn for forste gang.

Forordningen er organisert rundt fem pilarer: IKT-risikostyring (art. 5-16), hendelseshandtering og -rapportering (art. 17-23), digital motstandsdyktighetstesting (art. 24-27), tredjepartsrisikostyring for IKT (art. 28-44) og informasjonsdeling (art. 45). Hver pilar er stottet av regulatoriske tekniske standarder (RTS) og gjennomforings tekniske standarder (ITS).

DORAa perspektiv er den enheten som bruker IKT: hvordan styrer, beskytter, tester og forvalter du teknologien virksomheten din er avhengig av? Dette er et fundamentalt annet sporsmol enn det CRA stiller.


CRA

CRA: Produktsikkerhet for digitale produkter

Cyber Resilience Act (forordning (EU) 2024/2847) er en horisontal forordning som gjelder for produsenter, importorer og distributorer av produkter med digitale elementer pa EU-markedet. I motsetning til DORA er CRA ikke sektorspesifikk; den gjelder pa tvers av alle bransjer, fra IoT-enheter til bedriftsprogramvare og industrielle kontrollsystemer.

CRA innforer obligatoriske cybersikkerhetskrav for maskinvare- og programvareprodukter gjennom hele livssyklusen. Produsenter ma designe produkter med sikkerhet innebygd, levere sikkerhetsoppdateringer for forventet produktlevetid (minimum fem ar), handtere sarbarheter gjennom koordinert offentliggjoring, og produsere en Software Bill of Materials (SBOM) som dokumenterer produktkomponenter og avhengigheter.

Produkter klassifiseres i standard, viktige (Klasse I og Klasse II) og kritiske kategorier, der hoyrisikokateorier krever tredjeparts samsvarsvurdering. Produkter som oppfyller de grunnleggende cybersikkerhetskravene mottar CE-merking, uten hvilken de ikke lovlig kan plasseres pa EU-markedet.

CRAs perspektiv er produsentens: hvordan sikrer du at de digitale produktene du plasserer pa markedet er sikre fra design, forblir oppdaterte, og har sarbarhetene sine handtert transparent? Dette utfyller DORA, som spor hvordan enhetene som bruker disse produktene forblir operasjonelt motstandsdyktige.


Overlapp

Hvor DORA og CRA overlapper

Selv om DORA og CRA adresserer ulike sider av cybersikkerhetsligningen, deler de flere felles temaer som skaper naturlige kontaktpunkter.

1

Sarbarhetshandtering

Begge forordningene krever systematisk handtering av sarbarheter. DORA paplegger finansielle enheter a identifisere, klassifisere og utbedre IKT-sarbarheter. CRA krever at produsenter handterer produktsarbarheter gjennom stotteperioden, utsteder sikkerhetsoppdateringer og rapporterer aktivt utnyttede sarbarheter til ENISA. Bedre produktsikkerhet under CRA reduserer direkte sarbarhetsflatene som finansielle enheter forvalter under DORA.

2

Hendelsesrapportering

Begge forordningene paplegger rapporteringsforpliktelser ved hendelser, men til ulike myndigheter og med ulike utlosere. DORA krever at finansielle enheter rapporterer vesentlige IKT-hendelser til sitt nasjonale tilsynsorgan. CRA krever at produsenter rapporterer aktivt utnyttede sarbarheter og alvorlige hendelser til ENISA og relevant nasjonal CSIRT. En enkelt sarbarhet kan utlose rapportering under begge forordningene.

3

Leverandorkjede-transparens

DORA krever at finansielle enheter opprettholder et Informasjonsregister som dokumenterer alle IKT-tredjepartsavtaler. CRA krever at produsenter utover aktsomhet overfor tredjepartskomponenter integrert i produktene sine og produserer SBOM-er. Sammen gir disse kravene ende-til-ende-synlighet i leverandorkjeden: CRA sikrer transparens pa produktkomponentniva, mens DORA sikrer transparens pa tjenesteleverandorniva.

4

Sikkerhet innebygd

Begge forordningene vektlegger proaktiv sikkerhet. DORA krever at finansielle enheter integrerer IKT-risikostyring i sine operasjonelle prosesser, gjennomforer motstandsdyktighetstesting og opprettholder sikre konfigurasjoner. CRA krever at produsenter anvender prinsippene om sikkerhet innebygd og sikkerhet som standard. Kombinasjonen sikrer at bade produktene og miljoene de opererer i er bygget med sikkerhet som grunnleggende krav.


Forskjeller

Hvor DORA og CRA skiller seg

Til tross for felles cybersikkerhetsmal er de to forordningene designet for fundamentalt ulike regulatoriske kontekster. A forsta disse forskjellene er avgjorende for organisasjoner som kan berores av begge.

Regulatorisk perspektiv. DORA regulerer enheter som bruker IKT (finansinstitusjoner og deres tjenesteleverandorer). CRA regulerer enheter som lager IKT-produkter (produsenter, importorer, distributorer). En bank som bruker en handelsplattform er underlagt DORA. Selskapet som bygde handelsplattformen er underlagt CRA. Dette er komplementare, ikke konkurrerende, forpliktelser.

Tredjepartstilsyn vs CE-merking. DORAa tilnarming til produkt- og tjenestekvalitet er indirekte: den krever at finansielle enheter gjennomforer aktsomhetsvurdering av sine IKT-leverandorer, inkluderer obligatoriske kontraktsklausuler og opprettholder exitstrategier. CRAa tilnarming er direkte: den krever at produsenter oppfyller grunnleggende cybersikkerhetskrav og oppnar CE-merking for produktene plasseres pa markedet. CRA setter i praksis et sikkerhetsgulv for produkter som finansielle enheter deretter vurderer gjennom sitt DORA-rammeverk for tredjepartsrisikostyring.

SBOM-krav. CRA paplegger produsenter a produsere en Software Bill of Materials (SBOM) som dokumenterer produktkomponenter og avhengigheter. DORA krever ikke at finansielle enheter produserer SBOM-er, men de kan dra nytte av a ettersporre dem fra sine IKT-leverandorer som del av tredjepartsaktsomhet under art. 28-30. Ettersom CRA-samsvar blir standard, vil SBOM-er bli et naturlig innspill til DORA-risikovurderinger.

Testforpliktelser. DORA foreskriv et strukturert testprogram for motstandsdyktighet, inkludert arlig grunnleggende testing og trusselbasert penetrasjonstesting (TLPT) hvert tredje ar for utpekte enheter. CRA krever at produsenter gjennomforer samsvarsvurderinger og sikkerhetstesting for produktene plasseres pa markedet, men paplegger ikke lopende penetrasjonstesting slik DORA gjor. Testfilosofiene er ulike: DORA tester operasjonelle miljoer, CRA tester produkter.

Sanksjonsrammer. CRA innforer noen av de hoyeste sanksjonene i EUs produktregulering: opptil EUR 15 millioner eller 2,5 % av global arsomsetning for manglende etterlevelse av grunnleggende cybersikkerhetskrav, og markedstilsynsmyndigheter kan beordre produkttilbakekalling. DORAa sanksjoner fastsettes av nasjonale finanstilsynsmyndigheter under eksisterende fullmakter, med CTPP-spesifikke periodiske boter pa opptil 1 % av gjennomsnittlig daglig global omsetning.


Dobbelt samsvar

Hvem ma etterleve begge?

De fleste finansielle enheter vil forholde seg til begge forordningene, men typisk i ulike roller. Hvilke forpliktelser som gjelder for din organisasjon avhenger av om du er bruker eller produsent av digitale produkter.

Identifiser din regulatoriske posisjon

Dersom organisasjonen din er en finansiell enhet som kun bruker digitale produkter og IKT-tjenester, er du underlagt DORA. CRA vil indirekte gagne deg ved a heve sikkerhetsnivat pa produktene du er avhengig av. Dersom organisasjonen din produserer eller distribuerer digitale produkter (selv som sekundar aktivitet), gjelder CRA for disse produktene. Gjor du begge deler, ma du etterleve begge forordningene innen sine respektive omfang.

Finansielle enheter som produktprodusenter. Noen finansinstitusjoner utvikler og distribuerer digitale produkter: bank-API-er som tilbys tredjeparter, white-label betalingsplattformer, risikostyringsprogramvare solgt til andre institusjoner, eller mobilbankapper distribuert via appbutikker. Der disse utgjor produkter med digitale elementer plassert pa markedet, gjelder CRA i tillegg til DORA.

Fintech-selskaper. Fintech-selskaper som bade er regulerte finansielle enheter og programvareproduktselskaper er det tydeligste eksempelet pa dobbeltregulering. Et fintech-selskap med betalingsforetakslisens som selger sin betalingsbehandlingsprogramvare til andre institusjoner ma etterleve DORA for sin egen operasjonelle motstandsdyktighet og CRA for sikkerheten til programvareproduktene det plasserer pa markedet.

IKT-leverandorer til finanssektoren. Teknologiselskaper som leverer IKT-tjenester til finansielle enheter kan vare underlagt DORAa tredjepartstilsynsrammeverk (og potensielt CTPP-utpeking) samtidig som de er underlagt CRA som produsenter av digitale produkter. Disse organisasjonene trenger en samlet tilnarming til etterlevelse som adresserer bade de operasjonelle kravene i DORA og produktsikkerhetskravene i CRA.

Bidragsytere til apen kildekode. CRA inneholder unntak for apen kildekode-programvare utviklet utenfor kommersiell aktivitet. Men kommersielle apen kildekode-forvaltere som tjener penger pa apen kildekode-produkter kan falle innenfor regelverkets virkeomrade. Finansielle enheter som i stor grad baserer seg pa apen kildekode-komponenter bor folge med pa hvordan CRAa bestemmelser om apen kildekode utvikler seg i praksis.


Tidslinje

Tidslinjesammenligning

A forsta nar hver forordnings forpliktelser trer i kraft er avgjorende for compliance-planlegging, sarlig for organisasjoner underlagt begge.

Milepel DORA CRA
Ikrafttredelse 16. januar 2023 10. desember 2024
Gjeldende dato 17. januar 2025 (full anvendelse) 11. desember 2027 (fulle forpliktelser)
Rapporteringsforpliktelser Aktiv siden januar 2025 Fra 11. september 2026 (utnyttede sarbarheter + alvorlige hendelser)
Samsvarsvurdering N/A (ikke en produktregulering) Krav til godkjente organer fra 11. juni 2026
Full handheving Januar 2025 (alle pilarer) 11. desember 2027 (grunnleggende krav + CE-merking)
Planleggingsnotat: DORA er allerede fullt gjeldende. CRAs fasebaserte tilnarming gir produsenter tid til a tilpasse seg, men rapporteringsforpliktelsene fra september 2026 krever tidlig forberedelse. Finansielle enheter bor allerede na engasjere seg med sine IKT-produktleverandorer om CRA-beredskap, ettersom sikkerhetsforbedringene drevet av CRA direkte stotter deres DORA-etterlevelse.

FAQ

Vanlige sporsmal

Ikke direkte i de fleste tilfeller. CRA gjelder for produsenter, importorer og distributorer av produkter med digitale elementer. Finansinstitusjoner som kun bruker slike produkter er sluttbrukere, ikke produsenter, og er ikke underlagt CRA-forpliktelser. Men dersom en finansiell enhet utvikler og distribuerer egne digitale produkter (f.eks. en bankplattform solgt til andre institusjoner), kan CRA gjelde for disse produktene i tillegg til DORA. De to forordningene er komplementare snarere enn overlappende: DORA styrer hvordan du forvalter din operasjonelle motstandsdyktighet, mens CRA styrer sikkerheten til eventuelle produkter du plasserer pa markedet.

Begge forordningene adresserer sarbarhetshandtering fra ulike vinkler. DORA krever at finansielle enheter identifiserer og utbedrer IKT-sarbarheter i sitt operasjonelle miljo (art. 7-8) og gjennom motstandsdyktighetstesting (art. 24-27). CRA krever at produktprodusenter handterer sarbarheter gjennom hele produktets stotteperiode, inkludert koordinert sarbarhetsoffentliggjoring, rettidige sikkerhetsoppdateringer og rapportering av aktivt utnyttede sarbarheter til ENISA innen 24 timer. I praksis hever CRA sikkerhetsnivat pa produkter som finansielle enheter er avhengige av, noe som direkte stotter deres DORA-forpliktelser for sarbarhetshandtering.

Ja. CRA krever at produsenter identifiserer og dokumenterer komponentene og avhengighetene i produktene sine, inkludert ved a utarbeide en SBOM. SBOM-en ma minimum dekke de overste avhengighetene og genereres i et vanlig brukt, maskinlesbart format. DORA krever ikke at finansielle enheter produserer SBOM-er, men de kan dra nytte av a ettersporre SBOM-er fra sine IKT-leverandorer som del av tredjepartsrisikostyring under DORA art. 28-30. Ettersom CRA-samsvar blir standard, vil SBOM-er bli et verdifullt innspill til DORA-risikovurderinger.

CRA (forordning (EU) 2024/2847) tradte i kraft 10. desember 2024. Den gjelder i faser: produsentenes rapporteringsforpliktelser (aktivt utnyttede sarbarheter og alvorlige hendelser) gjelder fra 11. september 2026; kravene til samsvarsvurderingsorganer gjelder fra 11. juni 2026; og hele settet med forpliktelser, inkludert grunnleggende cybersikkerhetskrav og CE-merking, gjelder fra 11. desember 2027. Produkter plassert pa markedet for 11. desember 2027 er kun underlagt CRA-krav dersom de gjennomgar en vesentlig endring etter den datoen.