DORA vs NIS2: De vigtigste forskelle og ligheder

Hvad er de vigtigste forskelle og ligheder mellem DORA-forordningen og NIS2-direktivet? Lær, hvordan de påvirker tredjepartsrisikostyring, overholdelseskrav og operationel modstandskraft i finansielle og kritiske sektorer.

Det lovgivningsmæssige landskab for cybersikkerhed og operationel robusthed ændrer sig hurtigt i hele EU. To store rammer står i spidsen for dette skift: Digital Operational Resilience Act (DORA) og NIS2-direktivet. Disse direktiver har til formål at styrke modstandskraften mod cyberangrev, styre tredjepartsrisici og beskytte kritisk infrastruktur. Men de to direktiver adskiller i omfang og tilgang.

I denne artikel kan du blive klogere på:

1. Forskellen på en EU-forordning og et direktiv
2. Hvem DORA og NIS2 henvender sig til
3. Hvordan de ligner hinanden
4. Og hvordan de er forskellige
5. Hvordan overholdelseskravene kan sammenlignes
6. Hvordan tredjepartsrisiko behandles under begge rammer
7. Hvordan software forenkler tredjepartsrisikostyring for DORA og NIS2

1. Hvad er forskellen mellem en EU-forordning og et direktiv?

De væsentlige forskelle mellem DORA og NIS2 er, at DORA er en EU-forordning, og NIS2 er et direktiv. Hvor ligger forskelligen i terminologien? 

Et direktiv er en lov, der sætter et mål, som alle EU-lande skal nå, men hvert land kan bestemme, hvordan det skal implementeres under deres nationale love. En forordning gælder derimod direkte i alle EU-lande og skal overholdes ens på tværs af landene uden ændringer.

Dermed implementeres DORA samtidigt på tværs af EU, den 17. januar 2025, med samme ordlyd. NIS2 vil blive implementeret i forskellige nationale love inden for en vis tidsramme.

2. Hvem henvender DORA og NIS2 sig til? 

DORA (Digital Operational Resilience Act) henvender sig først og fremmest til den finansielle sektor. DORA-krav gælder for banker, forsikringsselskaber, betalingsudbydere, investeringsselskaber og andre finansielle organisationer, der er reguleret af EU's finansielle love.

DORA dækker også kritiske tredjepartsudbydere, der understøtter finansielle institutioner, såsom risikostyringssoftwarevirksomheder og udbydere af penetrationstesttjenester.

NIS2 har et bredere anvendelsesområde og gælder derigennem for mange forskellige sektorer. Den er rettet mod kritiske infrastrukturudbydere som energi, transport, sundhedspleje og vandforsyning (kaldet væsentlige enheder). Det gælder også for vigtige enheder, såsom produktionsvirksomheder, udbydere af digital infrastruktur og cybersikkerhedsfirmaer.

I modsætning til DORA er NIS2 ikke begrænset til én sektor. I stedet dækker det over brancher, der er afgørende for samfundets daglige funktion.

3. Ligheder mellem DORA og NIS2

Selvom DORA og NIS2 henvender sig til forskellige sektorer, har forordningen og direktivtet samme mål:

• Modstandsdygtighed og risikostyring: Begge kræver, at organisationer styrker deres systemer og håndterer risici for at kunne modstå cybersikkerhedstrusler effektivt.
  
  
• Tredjepartsrisikostyring: Begge understreger behovet for at identificere og styre risici fra tredjepartsudbydere, der kan påvirke virksomhedernes drift.
  
  
• Hændelsesrapportering: Organisationer skal opsætte systemer til hurtigt at opdage og rapportere cyberhændelser.
  
  
• Styring og ansvarlighed: Den øverste ledelse er ansvarlig for at sikre overholdelse, udføre regelmæssige risikovurderinger og føre tilsyn med indsatsen for at opretholde operationel modstandskraft.

4. Hovedforskelle mellem DORA og NIS2

På trods af at der er mange ligheder mellem DORA og NIS2, er der også væsentlige forskellige at være opmærksom på:

• Omfang: DORA compliance fokuserer specifikt på den finansielle sektor og dens kritiske tredjepartsudbydere. I modsætning hertil gælder NIS2 for en meget bredere vifte af sektorer, herunder kritisk infrastruktur som energi, sundhedspleje, transport og vandforsyning.
  
  
• Fokus: DORAs primære fokus er digital operationel robusthed - at sikre, at finansielle enheder kan modstå og komme sig efter it-forstyrrelser. NIS2 adresserer imidlertid bredere cybersikkerhedsrisici og fokuserer på at opretholde driftskontinuitet på tværs af væsentlige industrier.
  
  
• Regulerende myndighed: DORA overvåges af finansielle tilsynsmyndigheder, mens NIS2 ligger under nationale cybersikkerhedsmyndigheder med vejledning ledet af ENISA (EU Agency for Cybersecurity).
  
  
• Specifikke værktøjer og krav: DORA kræver, at finansielle enheder implementerer penetrationstest og robuste IKT-risikostyringsrammer. NIS2 kræver på den anden side bredere sikkerhedsforanstaltninger og fokuserer stærkt på, at der er kapacitet til at melde og reagere på sikkerhedsbrudshændelser. 

5. Compliance: Sådan kan DORA og NIS2 sammenlignes

DORA kræver, at finansielle organisationer opfylder specifikke standarder for at sikre digital robusthed og modstandsdygtighed. Organisationer skal skabe rammer for at kunne identificere, styre og reducere risici relateret til digitale systemer. Regelmæssige tests, herunder penetrationstests, skal udføres for at afdække og adressere sårbarheder. DORA-overholdelse kræver også, at finansielle institutioner rapporterer væsentlige cyberhændelser til deres nationale tilsynsmyndighed inden for stramme tidsfrister.
NIS2 fokuserer på at beskytte kritisk infrastruktur mod cybertrusler.

Organisationer skal regelmæssigt evaluere cybersikkerhedsrisici og indføre passende sikkerhedsforanstaltninger. Hændelsesrapportering er også påkrævet, men NIS2 indeholder mere fleksibilitet, når det kommer til, hvordan organisationer reagerer. NIS2 fremhæver behovet for beredskabsplaner for at opretholde væsentlige tjenester under afbrydelser (business continuity).

Begge rammer inkluderer hændelsesrapportering, men DORAs krav er strengere på grund af dens fokus på den finansielle sektor og dens kritiske systemer.

6. Tredjepartsrisikostyring: DORA vs. NIS2

DORA og NIS2 fremhæver begge vigtigheden af ​​at styre tredjepartsrisici, men har forskellige tilgange.

Under DORA skal finansielle organisationer udføre detaljerede risikovurderinger af tredjepartsudbydere, såsom cloud-leverandører og IKT-tjenesteudbydere. Disse kritiske tredjeparter står over for direkte tilsyn, herunder løbende præstationsovervågning, regelmæssige audits og stresstests for at sikre deres modstandsdygtighed.

Under NIS2 er styring af tredjepartsrisici obligatorisk, men kravene er mindre strenge. NIS2 fokuserer på at sikre, at tredjeparter ikke skaber sikkerhedsrisici for kritisk infrastruktur. Organisationer er forpligtede til at vurdere tredjepartsrisici som en del af deres overordnede cybersikkerhedsstrategi, men de har mere fleksibilitet i, hvordan de implementerer disse foranstaltninger.

DORAs tilgang til tredjepartsrisiko er strengere og mere struktureret, mens NIS2 giver mulighed for mere skræddersyede løsninger.

7. Forenkling af DORA og NIS2 tredjepartsrisikostyring med softwareløsninger

Det er en større opgave at styre tredjepartsrisici under DORA og NIS2. Her kommer softwareløsninger ind i billedet, og de kan hjælpe dig med at klare arbejdet og sikre overholdelse af forordningen og direktivtet. 

Under DORA står finansielle institutioner over for at skulle overholde strenge krav, når det kommer til overvågning af IKT-tredjepartsudbydere. Sådan kan softwareløsninger hjælpe:

• Software kan automatisere risikovurderinger, hvilket sikrer, at leverandører evalueres konsekvent ved hjælp af foruddefinerede kriterier.
• Ved at centralisere leverandørdata såsom kontrakter, revisionsresultater og præstationsmålinger får virksomheder fuldstændig synlighed over deres forhold til tredjeparter.
• Realtidsovervågningsværktøjer hjælper med at spore leverandørens ydeevne og identificere risici, før de eskalerer, mens automatiseret rapportering forenkler overholdelse af DORAs strenge hændelsestidslinjer.
• Software understøtter også dokumentation af penetrationstest og modstandsdygtighedsvurderinger, hvilket hjælper organisationer med at sikre, at de overholder ​​løbende krav.

Selvom NIS2 stiller færre krav, sætter den stadig betydeligt fokus på tredjeparts modstandskraft, især for udbydere af kritisk infrastruktur:

• Softwareværktøjer forenkler dette ved at automatisere cybersikkerhedstjek for at identificere sårbarheder og prioritere, at sårbarhederne bliver rettet.
• Digitale platforme forbedrer samarbejdet med leverandører, hvilket gør det nemmere at indsamle sikkerhedsdokumentation og sikre, at indsatsen for at begrænse ricisi er opdateret.
• Kontinuerlig overvågning gennem integreret intelligens overfor trusler og leverandørers ydeevnedata giver løbende overvågning og hjælper organisationer med at opdage problemer tidligt.
• Samtidig styrker automatiserede arbejdsgange hændelsesrespons, hvilket sikrer effektiv håndtering af tredjepartsrelaterede forstyrrelser.

Softwareløsninger, der er byggede til at varetage ovenstående opgaver, gavner organisationer, der arbejder under både DORA og NIS2, ved at reducere manuelt arbejde, forbedre dokumentationen og standardisere tilsynet af tredjeparter. Automatisering af processer sparer tid i virksomhederne og sikrer konsistens på tværs af leverandørevalueringer, mens overvågning i realtid gør det muligt for virksomheder at identificere og løse risici, før de vokser til større problemer.

Ved at styrke risikostyringen over tredjeparter forenkler organisationer og forbedrer desuden den operationelle modstandskraft. Det giver sørger både for overholdelse af kravene og skaber mere tid til at fokusere på vækst og innovation.

Vil du have mere tid til vækst og innovation og samtidig sikre overholdelse af DORA og NIS2?

Skal din organisation overholde kravene fra DORA eller NIS2? Hos House of Control har vi udviklet softwareløsninger, der hjælper dig med at overholde begge dele effektivt. Vi vil glæde os til at introducere dig til løsningen.
Klik her for at booke et møde og se, hvordan vi kan hjælpe dig videre.