DORA vs NIS2: Förstå de viktigaste skillnaderna och likheterna

Upptäck de viktigaste skillnaderna och likheterna mellan DORA-förordningen och NIS2-direktivet. Lär dig hur de påverkar riskhantering från tredje part, efterlevnadskrav och operativ motståndskraft i finansiella och kritiska sektorer.

Regelverket för cybersäkerhet och operativ motståndskraft förändras snabbt i hela EU. Två stora ramverk står i förgrunden för detta skifte: Digital Operational Resilience Act (DORA) och NIS2-direktivet. Dessa förordningar syftar till att stärka cyberresiliensen, hantera tredjepartsrisker och skydda kritisk infrastruktur, men de skiljer sig åt i omfattning och tillvägagångssätt.

I den här artikeln kommer vi att utforska:

1. Skillnaden mellan en EU-rättsakt och ett direktiv
2. Vem gäller DORA och NIS2 för?
3. Var de liknar varandra 
4. Och var de skiljer sig åt
5. Så här jämförs efterlevnadskraven
6. Hur risk från tredje part behandlas enligt båda ramverken
7. Hur programvara förenklar riskhantering från tredje part för DORA och NIS2

1. Vad är skillnaden mellan en EU-rättsakt och ett direktiv?

DORA är alltså en lag, medan NIS2 är ett direktiv. Vad är skillnaden i terminologi? 

Ett direktiv är en lag som sätter upp ett mål som alla EU-länder måste uppnå, men varje land kan bestämma hur det ska implementeras i sin nationella lagstiftning. En lag gäller däremot direkt i alla EU-länder utan ändringar. 

DORA genomförs alltså samtidigt i hela EU, den 17 januari 2025, med samma ordalydelse. NIS2 kommer att implementeras i olika nationella lagar inom en viss tidsram.

2. Vem gäller DORA och NIS2 för?

DORA (Digital Operational Resilience Act) berör främst den finansiella sektorn. DORA-kraven gäller för banker, försäkringsbolag, betalningsleverantörer, värdepappersföretag och andra finansiella organisationer som regleras av EU:s finanslagar.

DORA omfattar även viktiga tredjepartsleverantörer som stöder finansinstitut, t.ex. programvaruföretag för riskhantering och tjänsteleverantörer för penetrationstestning.

NIS2 har ett bredare tillämpningsområde och gäller för många olika sektorer. Den riktar sig till leverantörer av kritisk infrastruktur som energi, transport, hälso- och sjukvård och vattenförsörjning (så kallade samhällsviktiga enheter). Den berör även viktiga enheter såsom tillverkningsföretag, leverantörer av digital infrastruktur och cybersäkerhetsföretag.

Till skillnad från DORA är NIS2 inte begränsad till en sektor. I stället omfattar den branscher som är avgörande för att samhället ska fungera i det dagliga arbetet.

3. Likheter mellan DORA och NIS2

DORA och NIS2 gäller för olika sektorer, men de har samma huvudmål:

• Motståndskraft och riskhantering: Båda kräver att organisationer stärker sina system och hanterar risker för att handskas med hot mot cybersäkerheten på ett effektivt sätt.
  
  
• Riskhantering från tredje part: Båda betonar behovet av att identifiera och hantera risker från tredjepartsleverantörer som kan påverka verksamheten.
  
  
• Incidentrapportering: Organisationer måste inrätta system för att snabbt upptäcka och rapportera cyberincidenter.
  
  
• Styrning och ansvarsskyldighet: Den högsta ledningen ansvarar för att säkerställa efterlevnad, utföra regelbundna riskbedömningar, samt övervaka insatser för att upprätthålla operativ motståndskraft.
  
  

4. Viktiga skillnader mellan DORA och NIS2

Även om DORA och NIS2 har likheter har de också viktiga skillnader:

• Omfattning: DORA-efterlevnad fokuserar specifikt på den finansiella sektorn och dess kritiska tredjepartsleverantörer. NIS2 gäller däremot för ett mycket bredare spektrum av sektorer, inklusive kritisk infrastruktur som energi, hälso- och sjukvård, transport och vattenförsörjning.
  
  
• Fokus: DORA:s primära fokus ligger på digital operativ motståndskraft – säkerställa att finansiella institutoner kan motstå och återhämta sig från IT-störningar. NIS2 tar emellertid itu med bredare cybersäkerhetsrisker och fokuserar på att upprätthålla operativ kontinuitet i viktiga branscher.
  
  
• Tillsynsmyndighet: DORA övervakas av finansiella tillsynsmyndigheter, medan NIS2 faller under nationella cybersäkerhetsmyndigheter, med vägledning av ENISA (EU:s cybersäkerhetsbyrå).
  
  
• Specifika verktyg och krav: DORA kräver att finansiella institutioner genomför penetrationstester och robusta ramverk för IKT-riskhantering. NIS2, å andra sidan, kräver bredare säkerhetsåtgärder och fokuserar starkt på förmågan att hantera incidenter.

5. Efterlevnad: Hur DORA och NIS2 jämförs 

DORA kräver att finansiella organisationer uppfyller specifika standarder för att säkerställa digital motståndskraft. Organisationer måste skapa ramverk för att identifiera, hantera och minska risker relaterade till digitala system. Regelbundna tester, inklusive penetrationstester, måste utföras för att avslöja och åtgärda sårbarheter. Efterlevnad av DORA kräver också att finansinstitut rapporterar betydande cyberincidenter till sin nationella tillsynsmyndighet inom strikta tidsfrister.

NIS2 fokuserar på att skydda kritisk infrastruktur från cyberhot. Organisationer måste regelbundet utvärdera risker mot cybersäkerheten och vidta lämpliga säkerhetsåtgärder. Incidentrapportering krävs också, men NIS2 ger mer flexibilitet i hur organisationer reagerar. NIS2 belyser behovet av beredskapsplaner för att upprätthålla viktiga tjänster även under störningar (affärskontinuitet).

Även om båda ramverken inkluderar incidentrapportering, är DORA:s krav strängare på grund av dess fokus på finanssektorn och dess kritiska system.

6. Riskhantering från tredje part: DORA vs. NIS2

DORA och NIS2 lyfter båda fram vikten av att hantera risker från tredje part, men har olika tillvägagångssätt.

Enligt DORA måste finansiella organisationer genomföra detaljerade riskbedömningar av tredjepartsleverantörer, som molnleverantörer och IKT-tjänsteleverantörer. Dessa kritiska tredje parter står inför direkt tillsyn, inklusive löpande prestandaövervakning, regelbundna revisioner och stresstester för att säkerställa deras motståndskraft.

Enligt NIS2 är det obligatoriskt att hantera risker från tredje part, men kraven är mindre stränga. NIS2 fokuserar på att se till att tredje part inte skapar säkerhetsrisker för kritisk infrastruktur. Organisationer är skyldiga att bedöma risker från tredje part som en del av sin övergripande cybersäkerhetsstrategi, men de har större flexibilitet i hur de genomför dessa åtgärder.

Viktigt att ta med sig: DORA:s tillvägagångssätt för risker från tredje part är striktare och mer strukturerad, medan NIS2 möjliggör mer skräddarsydda lösningar.

7. Förenkla DORA- och NIS2-riskhantering från tredje part med programvarulösningar

Att hantera risker från tredje part enligt DORA och NIS2 är komplext, men programvarulösningar kan förenkla efterlevnad och förbättra tillsynen i organisationer.

Enligt DORA står finansinstitut inför strikta krav för övervakning av IKT-tredjepartsleverantörer:

• Programvara kan automatisera riskbedömningar och se till att leverantörer utvärderas konsekvent med hjälp av fördefinierade kriterier. 
  
  
• Genom att centralisera leverantörsdata som kontrakt, revisionsresultat och prestationsmått får företag fullständig insyn i sina relationer med tredje part. 
  
  
• Verktyg för övervakning i realtid hjälper till att spåra leverantörers prestanda och identifiera risker innan de eskalerar, medan automatiserad rapportering förenklar efterlevnaden av DORA:s strikta tidslinjer för incidenter. 
  
  
• Programvaran stöder också dokumentation av penetrationstester och bedömningar av motståndskraft, vilket hjälper organisationer att hålla koll på pågående krav.
  
  

Även om NIS2 är mindre normativt, lägger det fortfarande stort fokus på motståndskraft från tredje part, särskilt för leverantörer av kritisk infrastruktur:

• Programvaruverktyg förenklar detta genom att automatisera cybersäkerhetskontroller för att identifiera sårbarheter och prioritera korrigeringar. 
  
  
• Digitala plattformar förbättrar samarbetet med leverantörer, vilket gör det lättare att samla in säkerhetsdokumentation och se till att riskreduceringsinsatserna uppdateras.
  
  
• Kontinuerlig övervakning, genom integrerad information angående hot och data om leverantörers prestanda, ger kontinuerlig tillsyn och hjälper organisationer att upptäcka problem tidigt. 
  
  
• Samtidigt stärker automatiserade arbetsflöden incidenthanteringen, vilket säkerställer effektiv hantering av tredjepartsrelaterade störningar.
  
  

Programvarulösningar gynnar organisationer som arbetar under både DORA och NIS2 genom att minska manuellt arbete, förbättra dokumentationen och standardisera tillsyn från tredje part. Automatisering av processer sparar tid och säkerställer konsekvens i leverantörsutvärderingar, medan övervakning i realtid gör det möjligt för företag att identifiera och hantera risker innan de växer till större problem.

Genom att förbättra riskhanteringen från tredje part förenklar organisationer inte bara efterlevnaden utan förbättrar också den operativa motståndskraften, vilket ger mer tid till att fokusera på tillväxt och innovation.

Behöver din organisation följa DORA? På House of Control har vi utvecklat lösningar som hjälper dig att följa båda effektivt.