Hurtig sammenligning
Før vi går i detalj, her er en sammenstilling av de to reguleringene på tvers av dimensjonene som betyr mest for samsvarsplanlegging.
| Dimensjon | DORA (EU 2022/2554) | NIS2 (EU 2022/2555) |
|---|---|---|
| Rettslig form | Forordning (direkte anvendelig) | Direktiv (gjennomføres av medlemsstater) |
| Sektorfokus | Kun finansielle tjenester | 18 sektorer inkludert energi, transport, helse, digital infrastruktur |
| Primære enheter | ~22 000 finansielle enheter i EU + kritiske IKT-leverandører | Vesentlige og viktige enheter på tvers av alle 18 sektorer |
| Ikrafttredelse | 17. januar 2025 | 18. oktober 2024 (frist for gjennomføring i medlemsstater) |
| Kjernefokus | Digital operasjonell motstandsdyktighet (IKT-risiko, testing, tredjeparter) | Bred cybersikkerhetsrisikostyring og hendelsesrapportering |
| Testkrav | Årlig grunnleggende testing + TLPT hvert 3. år for utpekte enheter | Generell plikt til hensiktsmessige tekniske tiltak; ingen TLPT |
| Tredjepartstilsyn | Detaljert: Register of Information, obligatoriske kontraktsklausuler, CTPP-tilsyn | Generell leverandørkjederisikostyring |
| Hendelsesrapportering | 4 t innledende / 72 t mellomrapport / 1 mnd sluttrapport til NCA | 24 t tidlig varsel / 72 t melding til CSIRT |
| Sanksjoner | Fastsettes av NCA-er under eksisterende myndighet; CTPP-bøter inntil 1 % daglig omsetning | Inntil 10 mill. EUR eller 2 % omsetning (vesentlige); 7 mill. EUR eller 1,4 % (viktige) |
| Tilsynsmodell | Finanstilsyn (ECB, EBA, ESMA, EIOPA) + ledende tilsynsmyndigheter for CTPP-er | Nasjonale cybersikkerhetsmyndigheter + CSIRT-er |
DORA: Formål og virkeområde
DORA er en EU-forordning (direkte anvendelig, ingen gjennomføring nødvendig) som fokuserer utelukkende på finanssektoren. Formålet er å sikre at finansielle enheter kan motstå, reagere på og gjenopprette seg etter IKT-relaterte forstyrrelser. Den adresserer den systemrisikoen som oppstår når finanssektoren er sterkt avhengig av et lite antall kritiske teknologileverandører.
DORA gjelder for rundt 22 000 finansielle enheter i EU, inkludert banker, forsikringsselskaper, verdipapirforetak, betalingsforetak, e-pengeforetak, kryptoaktiva-tjenesteleverandører, sentrale motparter og kredittvurderingsbyråer. Den bringer også kritiske IKT-tredjepartsleverandører (CTPP-er) under direkte EU-nivå tilsyn for første gang.
Forordningen er organisert rundt fem pilarer: IKT-risikostyring (art. 5-16), hendelseshåndtering og -rapportering (art. 17-23), testing av digital motstandsdyktighet (art. 24-27), tredjepartsrisikostyring for IKT (art. 28-44) og informasjonsdeling (art. 45). Hver pilar understøttes av regulatoriske tekniske standarder (RTS) og gjennomføringstekniske standarder (ITS) som gir detaljert veiledning. For en fullstendig oversikt, se vår DORA-samsvarsguide.
DORAs viktigste styrke er detaljgraden. I stedet for å sette brede cybersikkerhetsprinsipper, foreskriver den detaljerte krav: nøyaktig når hendelsesrapporter skal leveres, hva som må stå i et Register of Information, hvilke kontraktsklausuler som er obligatoriske for avtaler med kritiske leverandører, og hvordan TLPT skal gjennomføres. Denne presisjonen er en avgjørende forskjell fra NIS2.
NIS2: Formål og virkeområde
NIS2 (direktiv 2022/2555) er etterfølgeren til det opprinnelige NIS-direktivet og representerer EUs sektorovergripende tilnærming til cybersikkerhet. I motsetning til DORA er NIS2 et direktiv, noe som betyr at hver EU-medlemsstat må gjennomføre det i nasjonal rett. Dette medfører noe variasjon i hvordan kravene anvendes på tvers av EU.
NIS2 gjelder på tvers av 18 sektorer, delt inn i vesentlige enheter (energi, transport, bank, finansmarkedsinfrastrukturer, helse, drikkevann, avløpsvann, digital infrastruktur, IKT-tjenestestyring, offentlig forvaltning, romfart) og viktige enheter (posttjenester, avfallshåndtering, kjemikalier, mat, industriproduksjon, digitale tilbydere, forskning). Virkeområdet er betydelig bredere enn DORAs.
Direktivet krever at enheter vedtar hensiktsmessige og forholdsmessige tekniske, operasjonelle og organisatoriske tiltak for å håndtere cybersikkerhetsrisiko. Det pålegger hendelsesrapportering til CSIRT-er (Computer Security Incident Response Teams) med et tidlig varsel innen 24 timer og en fullstendig melding innen 72 timer. Det krever også leverandørkjederisikostyring og styringsansvar på ledelsesnivå.
NIS2 gir medlemsstatene fleksibilitet i gjennomføringen, noe som betyr at de detaljerte forpliktelsene kan variere. Noen medlemsstater har lagt til sektorspesifikke krav, registreringsplikter eller strengere sanksjoner utover direktivets minimumskrav. Enheter som opererer på tvers av flere EU-jurisdiksjoner kan møte ulike NIS2-gjennomføringer i hvert land.
Viktige forskjeller mellom DORA og NIS2
Selv om begge reguleringene har som mål å forbedre cybersikkerhet og operasjonell motstandsdyktighet, skiller de seg på flere viktige områder som påvirker hvordan organisasjoner tilnærmer seg samsvar.
Sektorspesifisitet vs bred dekning. DORA er utformet utelukkende for finansielle tjenester, med krav tilpasset sektorens spesifikke risikoer og driftsegenskaper. NIS2 dekker 18 sektorer med en bredere tilnærming. DORAs krav er tilsvarende mer detaljerte og preskriptive enn NIS2s prinsippbaserte tilnærming.
Testkrav. DORA pålegger et strukturert testprogram med spesifikke testmetoder (sårbarhetsvurderinger, nettverkssikkerhetsgjennomganger, scenariotesting, kildekodegjennomganger, ytelsestesting) og krever TLPT for utpekte enheter. NIS2 krever at enheter evaluerer effektiviteten av sine cybersikkerhetstiltak, men foreskriver ikke spesifikke testmetoder eller pålegger penetrasjonstesting. Dette er en av de mest vesentlige praktiske forskjellene mellom de to reguleringene.
Tredjepartstilsyn. DORAs behandling av tredjepartsrisiko er blant de mest detaljerte i noen regulering globalt. Den krever et Register of Information over alle IKT-avtaler, obligatoriske kontraktsklausuler for avtaler med kritiske leverandører, risikovurderinger før kontraktsinngåelse, overvåking av konsentrasjonsrisiko og exit-strategier. CTPP-er er underlagt direkte EU-nivå tilsyn av ledende tilsynsmyndigheter. NIS2 adresserer leverandørkjederisikostyring i mer generelle termer, og krever at enheter vurderer leverandørenes cybersikkerhetspraksis uten samme presisjonsnivå.
Tidsfrister for hendelsesrapportering. DORA krever en innledende varsling innen 4 timer etter klassifisering (og senest 24 timer etter oppdagelse), en mellomrapport innen 72 timer og en sluttrapport innen en måned. NIS2 krever et tidlig varsel innen 24 timer og en melding innen 72 timer. DORAs tidsfrist er kortere for den innledende rapporten, noe som gjenspeiler den systemiske betydningen av forstyrrelser i finansielle tjenester.
Rettslig form. DORA er en forordning, som betyr at den gjelder ensartet i alle EU-medlemsstater uten gjennomføring. NIS2 er et direktiv, som betyr at medlemsstatene har skjønn i hvordan de gjennomfører det. Dette skaper potensielle ulikheter i NIS2-krav på tvers av jurisdiksjoner, mens DORA-kravene er de samme overalt.
Sanksjoner. NIS2 fastsetter eksplisitte maksimumsgrenser for bøter på EU-nivå (inntil 10 millioner euro eller 2 % av global omsetning for vesentlige enheter). DORA overlater sanksjonsutmålingen til nasjonale tilsynsmyndigheter under deres eksisterende myndighet, som kan inkludere bøter, vedtak om driftsstans og personlig ansvar for ledelsesorganets medlemmer. For CTPP-er innfører DORA periodiske tvangsmulkter på inntil 1 % av gjennomsnittlig daglig verdensomsetning.
Hvor DORA og NIS2 overlapper
Til tross for ulike virkeområder deler DORA og NIS2 flere felles temaer. Organisasjoner som etterlever en av reguleringene vil finne betydelig overlapp med den andre.
Rammeverk for risikostyring
Begge reguleringene krever at enheter etablerer og opprettholder rammeverk for risikostyring som dekker identifikasjon, beskyttelse, deteksjon, respons og gjenoppretting. Den underliggende tilnærmingen er i tråd med etablerte rammeverk som ISO 27001 og NIST Cybersecurity Framework.
Hendelsesrapportering
Begge krever rettidig rapportering av vesentlige hendelser til kompetente myndigheter, selv om tidsfristene og rapporteringsformatene er ulike. En enhet som oppfyller DORAs strengere 4-timersfrist vil generelt også tilfredsstille NIS2s 24-timers tidlig varsel-krav.
Styringsansvar
Begge reguleringene plasserer ansvaret for cybersikkerhet og operasjonell motstandsdyktighet hos ledelsesorganet. Begge krever tilsyn på styrenivå, regelmessig rapportering og personlig ansvar for at risikostyringen er tilfredsstillende.
Leverandørkjederisiko
Begge krever at enheter styrer risiko fra tredjepartsleverandører. DORA er langt mer preskriptiv (Register of Information, obligatoriske kontraktsklausuler, CTPP-tilsyn), men det underliggende prinsippet om leverandørkjederisikostyring er felles for begge reguleringene.
Lex specialis: DORA går foran NIS2 for finansielle enheter
Forholdet mellom DORA og NIS2 løses av lex specialis-prinsippet, som er eksplisitt fastsatt i art. 1(2) i NIS2. Denne bestemmelsen slår fast at der sektorspesifikke EU-rettsakter krever at finansielle enheter vedtar IKT-risikostyringstiltak eller rapporterer hendelser, og der disse kravene er minst likeverdige med NIS2, skal de sektorspesifikke kravene gjelde i stedet.
Hva lex specialis betyr i praksis
Er du en finansiell enhet underlagt DORA, etterlever du DORAs krav til IKT-risikostyring, hendelsesrapportering og testing i stedet for de tilsvarende bestemmelsene i NIS2. Du trenger ikke sende doble hendelsesrapporter til både finanstilsynet og en CSIRT (med mindre medlemsstaten din har spesifisert noe annet i sin NIS2-gjennomføring). DORA er ditt primære samsvarsrammeverk, og NIS2 fyller eventuelle gap der DORA ikke stiller likeverdige krav.
Lex specialis-prinsippet betyr ikke at finansielle enheter kan ignorere NIS2 helt. NIS2 kan stille krav på områder som DORA ikke dekker eller ikke dekker like detaljert. For eksempel kan noen medlemsstater ha gjennomført NIS2 med bredere leverandørkjedekrav som strekker seg utover IKT-leverandører, eller med spesifikke plikter rundt CSIRT-samarbeid som ikke har en direkte DORA-ekvivalent. Finansielle enheter bør kartlegge begge regelsettene og identifisere eventuelle NIS2-bestemmelser som går utover DORA.
IKT-tredjepartsleverandører som betjener både finansielle og ikke-finansielle kunder kan være underlagt DORA (gjennom sine finansielle enhetskunder eller gjennom CTPP-utpeking) og NIS2 (som digital infrastruktur- eller IKT-tjenestestyringsenheter). For disse organisasjonene er et samlet samsvarsprogram som adresserer begge reguleringene den mest effektive tilnærmingen.
Praktiske implikasjoner for dobbeltregulerte enheter
Hvis organisasjonen din er underlagt både DORA og NIS2, vil følgende tilnærming hjelpe deg å håndtere samsvar effektivt uten å duplisere arbeid.
Bygg på DORA først. For finansielle enheter er DORA den mer preskriptive reguleringen. Et omfattende DORA-samsvarsprogram vil dekke størsteparten av NIS2-kravene. Start med DORA og bruk NIS2 som et gap-sjekk-overlegg. DORA GRC er designet rundt denne tilnærmingen og dekker alle fem DORA-pilarer med den dybden forordningen krever.
Kartlegg gapene. Gjennomgå medlemsstatens NIS2-gjennomføring for å identifisere eventuelle krav som går utover DORA. Vanlige områder der NIS2 kan legge til krav inkluderer bredere leverandørkjedeplikter, spesifikke CSIRT-rapporterings- eller samarbeidsplikter, registreringskrav og sektorovergripende informasjonsdelingsplikter. Dokumenter disse gapene og adresser dem innenfor ditt eksisterende rammeverk i stedet for å bygge et separat samsvarsprogram.
Konsolider hendelsesrapportering. Mens DORA krever rapportering til din finansielle NCA og NIS2 krever rapportering til din CSIRT, har noen medlemsstater etablert mekanismer for ett kontaktpunkt eller informasjonsdelingsavtaler mellom de to myndighetene. Sjekk med din NCA om en enkelt hendelsesrapport kan tilfredsstille begge forpliktelsene, eller om separate meldinger er nødvendig.
Samordne styringsrapportering. Begge reguleringene krever ledelsesorganets tilsyn. En enkelt styrerapport som dekker IKT-risikostyring, hendelsestrender, testresultater og tredjepartsrisiko kan tilfredsstille både DORA- og NIS2-krav til styring. Styrerapportmodulen i DORA GRC genererer denne rapporteringen fra de samme dataene som mater samsvarsprogrammet ditt.
Følg med på regulatorisk utvikling. Både DORA og NIS2 er relativt nye. ESA-veiledning, NCAs tilsynsforventninger og medlemsstatenes NIS2-gjennomføringer fortsetter å utvikle seg. Hold samsvarsprogrammet ditt fleksibelt for ny veiledning, og gjennomgå kartleggingen mellom DORA og NIS2 minst årlig. DORA gap-analyseverktøyet kan hjelpe deg med å identifisere områder som trenger oppmerksomhet.
Ofte stilte spørsmål
Ja, for områdene der DORA og NIS2 overlapper. Art. 1(2) i NIS2 fastslår DORA som lex specialis, som betyr at den har forrang over NIS2 for finansielle enheter der kravene er minst likeverdige. Finansielle enheter kan imidlertid fortsatt måtte oppfylle visse NIS2-krav som går utover DORAs virkeområde, avhengig av medlemsstatens gjennomføring. Den sikreste tilnærmingen er å etterleve DORA fullt ut og deretter gap-sjekke mot din nasjonale NIS2-gjennomføring.
På de fleste områder, ja. Begge reguleringene krever rammeverk for risikostyring, hendelsesrapportering, styringsansvar og leverandørkjederisikostyring. En finansiell enhet med et omfattende DORA-samsvarsprogram vil oppfylle de fleste NIS2-kravene. Noen medlemsstaters NIS2-gjennomføringer kan imidlertid legge til krav rundt bredere leverandørkjedesikkerhet, CSIRT-samarbeid eller registrering som DORA ikke adresserer. Vi anbefaler å kartlegge begge rammeverkene og bygge et samlet, enhetlig samsvarsprogram.
NIS2 definerer maksimale administrative bøter på EU-nivå: inntil 10 millioner euro eller 2 % av global årsomsetning for vesentlige enheter, og inntil 7 millioner euro eller 1,4 % av omsetning for viktige enheter. DORA fastsetter ikke spesifikke bøtebeløp på EU-nivå; sanksjoner bestemmes av nasjonale tilsynsmyndigheter under deres eksisterende tilsynsmyndighet, som kan inkludere bøter, offentlige irettesettelser, pålegg om å stanse virksomhet og personlig ansvar for ledelsesorganets medlemmer. For kritiske IKT-tredjepartsleverandører kan DORA ilegge periodiske tvangsmulkter på inntil 1 % av gjennomsnittlig daglig verdensomsetning.
DORA har forrang over NIS2 for finansielle enheter i henhold til lex specialis-prinsippet. Der begge reguleringene stiller overlappende krav, gjelder DORA-bestemmelsene. NIS2-krav gjelder bare for finansielle enheter på områder der DORA ikke gir likeverdige eller mer spesifikke regler. Finansielle enheter bør bygge samsvarsprogrammet sitt rundt DORA og bruke NIS2 som en supplerende referanse for eventuelle områder DORA ikke dekker.