DORA vs NIS2: Likhetene og de viktigste forskjellene

Dette er de viktigste forskjellene og likhetene mellom DORA-forordningen og NIS2-direktivet. Lær hvordan de påvirker håndtering av tredjepartsrisiko, krav til etterlevelse (compliance) og operasjonell motstandsdyktighet i finans og andre kritiske sektorer.

Regelverket for cybersikkerhet og operasjonell motstandsdyktighet endrer seg raskt i hele EU. To store rammeverk står i spissen for denne utviklingen: Digital Operational Resilience Act (DORA) og NIS2-direktivet. Disse regelverkene har som mål å styrke motstandsdyktighet mot cyberangrep, håndtere tredjepartsrisiko og beskytte kritisk infrastruktur, men det er noen forskjeller mellom dem.

I denne artikkelen ser vi nærmere på:

• Forskjellen mellom en EU-forordning og et direktiv
• Hvem DORA og NIS2 gjelder for
• Hvor de er like
• Og hvor de skiller seg
• Hvordan compliance-kravene sammenlignes (samsvar)
• Hvordan tredjepartsrisiko behandles i begge rammeverk
• Hvordan programvare forenkler håndtering av tredjepartsrisiko for DORA og NIS2

1. Hva er forskjellen mellom en EU-forordning og et direktiv?

DORA er en forordning, mens NIS2 er et direktiv. Hva betyr denne terminologien?

Et direktiv er en lov som setter et mål alle EU-land må oppnå, men hvert land kan selv bestemme hvordan dette implementeres i nasjonal lovgivning. En forordning, derimot, gjelder direkte i alle EU-land uten endringer.

Dermed implementeres DORA samtidig i hele EU, fra 17. januar 2025, med identisk ordlyd. NIS2 vil derimot bli implementert i ulike nasjonale lover innenfor en gitt tidsramme.

2. Hvem gjelder DORA og NIS2 for?

DORA (Digital Operational Resilience Act) gjelder hovedsakelig for finanssektoren. Kravene i DORA gjelder banker, forsikringsselskaper, betalingsleverandører, investeringsselskaper og andre finansvirksomheter regulert av EUs finanslover.

DORA inkluderer også kritiske tredjepartsleverandører som støtter finansinstitusjoner, for eksempel selskaper som leverer programvare for risikostyring og tjenester for penetrasjonstesting.

NIS2 har et bredere omfang og gjelder for mange ulike sektorer. Det retter seg mot leverandører av kritisk infrastruktur som energi, transport, helsevesen og vannforsyning (kalt essensielle enheter). Det gjelder også viktige enheter, som produksjonsbedrifter, digitale infrastrukturselskaper og cybersikkerhetsfirmaer.

I motsetning til DORA er ikke NIS2 begrenset til én sektor, men dekker industrier som er avgjørende for samfunnets daglige funksjon.

3. Likheter mellom DORA og NIS2

Selv om DORA og NIS2 gjelder for forskjellige sektorer, har de samme hovedmål:

• Motstandsdyktighet og risikostyring: Begge krever at organisasjoner styrker sine systemer og håndterer risikoer for effektivt å håndtere cybersikkerhetstrusler.
• Tredjepartsrisikostyring: Begge legger vekt på behovet for å identifisere og håndtere risiko fra tredjepartsleverandører som kan påvirke driften.
• Hendelsesrapportering: Organisasjoner må sette opp systemer for raskt å oppdage og rapportere hendelser knyttet til cybersikkerhet.

Styring og ansvarlighet: Øverste ledelse er ansvarlig for å sikre compliance, utføre regelmessige risikovurderinger og overvåke arbeidet med å opprettholde operasjonell motstandsdyktighet.

4. Nøkkelforskjeller mellom DORA og NIS2

Til tross for likheter, har DORA og NIS2 viktige forskjeller:

• Omfang: DORA fokuserer spesifikt på finanssektoren og dens kritiske tredjepartsleverandører. NIS2 gjelder et mye bredere spekter av sektorer, inkludert kritisk infrastruktur som energi, helsevesen, transport og vannforsyning.
• Fokus: DORAs hovedfokus er digital operasjonell motstandsdyktighet – å sikre at finansielle enheter kan tåle og komme seg etter IT-avbrudd. NIS2 adresserer bredere cybersikkerhetsrisikoer og legger vekt på å opprettholde kontinuitet i essensielle industrier.
• Regulatorisk myndighet: DORA overvåkes av finansielle tilsynsmyndigheter, mens NIS2 faller under nasjonale cybersikkerhetsmyndigheter, med veiledning fra ENISA (EU Agency for Cybersecurity).
• Spesifikke verktøy og krav: DORA krever at finansinstitusjoner gjennomfører penetrasjonstester og implementerer robuste rammeverk for IKT-risikostyring. NIS2, derimot, pålegger bredere sikkerhetstiltak og legger stor vekt på evner til å håndtere hendelser.

5. Compliance: Hvordan sammenlignes DORA og NIS2?

DORA krever at finansielle organisasjoner møter spesifikke standarder for å sikre digital motstandsdyktighet. Organisasjoner må lage rammeverk for å identifisere, håndtere og redusere risikoer knyttet til digitale systemer. Regelmessige tester, inkludert penetrasjonstester, må utføres for å avdekke og adressere sårbarheter. DORA krever også at finansinstitusjoner rapporterer betydelige cybersikkerhetshendelser til sin nasjonale tilsynsmyndighet innen strenge tidsfrister.

NIS2 fokuserer på å beskytte kritisk infrastruktur mot cybertrusler. Organisasjoner må regelmessig evaluere cybersikkerhetsrisikoer og iverksette passende sikkerhetstiltak. Hendelsesrapportering er også nødvendig, men NIS2 gir mer fleksibilitet i hvordan organisasjoner reagerer. NIS2 understreker behovet for beredskapsplaner for å opprettholde essensielle tjenester under avbrudd (forretningskontinuitet).

Mens begge rammeverk inkluderer hendelsesrapportering, er DORAs krav strengere på grunn av dets fokus på finanssektoren og dens kritiske systemer.

6. Tredjepartsrisikostyring: DORA vs. NIS2

DORA og NIS2 fremhever begge viktigheten av å håndtere tredjepartsrisiko, men tilnærmingene er forskjellige:

• Under DORA må finansielle organisasjoner gjennomføre detaljerte risikovurderinger av tredjepartsleverandører, som skyleverandører og IKT-tjenesteleverandører. Disse kritiske tredjepartene er underlagt direkte tilsyn, inkludert kontinuerlig ytelsesovervåking, regelmessige revisjoner og stresstester for å sikre deres motstandsdyktighet.
• Under NIS2 er det obligatorisk å håndtere tredjepartsrisiko, men kravene er mindre strenge. NIS2 fokuserer på å sikre at tredjepartsleverandører ikke skaper sikkerhetsrisikoer for kritisk infrastruktur. Organisasjoner må vurdere tredjepartsrisiko som en del av sin samlede cybersikkerhetsstrategi, men har større fleksibilitet i hvordan de implementerer disse tiltakene.

Hovedpoeng: DORAs tilnærming til tredjepartsrisiko er strengere og mer strukturert, mens NIS2 tillater mer skreddersydde løsninger.

7. Forenkle DORA- og NIS2-tredjepartsrisikostyring med programvare

Håndtering av tredjepartsrisiko under DORA og NIS2 er komplekst, men programvareløsninger kan forenkle compliance og forbedre oversikten i organisasjoner.

For DORA:

• Programvare kan automatisere risikovurderinger, slik at leverandører vurderes konsekvent ved bruk av forhåndsdefinerte kriterier.
• Ved å sentralisere leverandørdata som kontrakter, revisjonsresultater og ytelsesindikatorer, får bedrifter full oversikt over tredjepartsforhold.
• Verktøy for sanntidsovervåking hjelper med å spore leverandørytelse og identifisere risikoer før de eskalerer, mens automatisert rapportering forenkler compliance med DORAs strenge tidsfrister for hendelser.

For NIS2:

• Programvareverktøy forenkler cybersikkerhetssjekker for å identifisere sårbarheter og prioritere tiltak.
• Digitale plattformer forbedrer samarbeid med leverandører, gjør det enklere å samle inn sikkerhetsdokumentasjon og sørger for at risikoreduserende tiltak er oppdatert.
• Kontinuerlig overvåking via integrert trusselinformasjon og leverandørytelsesdata gir løpende innsikt og hjelper organisasjoner med å oppdage problemer tidlig.

Programvareløsninger gir fordeler for organisasjoner som opererer under både DORA og NIS2 ved å redusere manuelt arbeid, forbedre dokumentasjon og standardisere tredjepartsovervåking. Ved å styrke risikostyringen sparer organisasjoner tid, sikrer compliance og øker operasjonell motstandsdyktighet – samtidig som de frigjør ressurser til vekst og innovasjon.