Här kommer en jämförelse jag försökt göra mellan Nis2-direktivet och DORA-förordningen:

1. Syfte och tillämpningsområde:

  • Nis2 (Nätverk och informationssystem 2): Nis2 syftar till att höja cybersäkerheten inom hela EU genom att införa gemensamma standarder för hur organisationer inom kritiska sektorer ska skydda sig mot cyberhot. Det omfattar bredare sektorer, både offentliga och privata, och gäller även små och medelstora företag som tillhandahåller viktiga tjänster för samhället (t.ex. energi, hälsosektor, vattenförsörjning, transport).
  • DORA (Digital Operational Resilience Act): DORA (digital operativ motståndskraft på svenska) är specifikt riktad mot den finansiella sektorn och handlar om att stärka den operativa motståndskraften mot digitala störningar, särskilt cyberattacker. DORA fokuserar på att säkerställa att finansiella entiteter kan motstå, reagera på och återhämta sig från cyberincidenter. Det omfattar bland annat banker, försäkringsbolag, värdepappersföretag och leverantörer av molntjänster för finanssektorn.

2. Cybersäkerhetskrav:

  • Nis2: Nis2 ställer krav på att alla omfattade enheter ska genomföra riskhantering och implementera cybersäkerhetsåtgärder, inklusive incidentrapportering. Det fokuserar på att minska sårbarheter inom sektorer med samhällsviktiga funktioner.
  • DORA: DORA går djupare när det gäller den finansiella sektorns motståndskraft, genom att kräva att finansiella företag inför robusta system för att hantera IKT-risker (informations- och kommunikationsteknik). Det finns också specifika regler för IKT-tredjepartsleverantörer, såsom molntjänstleverantörer, som anses vara kritiska för finansiella företag.

3. Incidentrapportering:

  • Nis2: Krav på incidentrapportering är centralt i Nis2 och gäller alla sektorer som är kritiska för samhället. Organisationer måste rapportera allvarliga incidenter som påverkar deras verksamhet och cybersäkerhet.
  • DORA: DORA inför liknande rapporteringskrav men fokuserar specifikt på incidenter inom den finansiella sektorn. Incidenter relaterade till IKT-system som påverkar finansiella tjänster måste rapporteras till relevanta myndigheter inom en viss tidsram.

4. Sanktioner:

  • Nis2: Underlåtenhet att följa Nis2 kan leda till böter, och medlemsstaterna har ett stort ansvar att övervaka och genomdriva efterlevnad.
  • DORA: DORA inför också stränga sanktioner för finansiella företag och tredjepartsleverantörer som inte följer regelverket. Det kan innebära betydande ekonomiska påföljder och regleringsinsatser.

5. Leverantörshantering och tredjepartsrisk:

  • Nis2: Nis2 betonar vikten av att hantera risker i leverantörskedjan, särskilt för viktiga tjänster. Det finns dock ingen specifik reglering för tredjepartsleverantörer som i DORA.
  • DORA: Här går DORA mycket längre genom att kräva att finansiella enheter har avtal och riskhanteringsprocesser för sina tredjepartsleverantörer, inklusive molntjänstleverantörer. Det finns även särskilda tillsynsregler för leverantörer som anses kritiska för finansiella institutioner.

Slutsats:

Både Nis2 och DORA handlar om att stärka cybersäkerheten, men Nis2 har ett bredare tillämpningsområde över flera sektorer, medan DORA specifikt fokuserar på den finansiella sektorn och hanteringen av IKT-risker.

Mer läsning:

Sammanfattning om DORA, Digital Operational Resilience Act

Sammanfattning om DORA, Digital Operational Resilience Act

22 oktober 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.