e-Check.se – digital egenkontroll
NIS2, DORA6 minuters läsning

NIS2 och DORA – vad är skillnaden och vad betyder det i praktiken?

NIS2 och DORA nämns ofta i samma samtal, men de är inte samma sak. Båda handlar om att höja motståndskraften mot digitala störningar och incidenter, men de riktar sig till olika målgrupper och har olika tyngdpunkt i kraven. För organisationer som arbetar med egenkontroll, riskhantering och regelefterlevnad är det viktigt att förstå var regelverken överlappar – och var de skiljer sig åt.

NIS2 i korthet

NIS2 är EU:s cybersäkerhetsdirektiv för samhällsviktiga och andra särskilt viktiga verksamheter. Regelverket är brett och omfattar flera sektorer där störningar kan få stor påverkan på samhället, exempelvis energi, transport, digital infrastruktur, hälso- och sjukvård, vatten, avfall, offentlig förvaltning och vissa digitala tjänster.

I praktiken handlar NIS2 om att organisationer ska arbeta systematiskt med cybersäkerhet. Det innebär bland annat att identifiera risker, införa lämpliga skyddsåtgärder, kunna hantera incidenter och rapportera allvarliga händelser. En viktig del är också att ledningen får ett tydligare ansvar för att säkerhetsarbetet faktiskt fungerar.

I Sverige genomförs NIS2 genom cybersäkerhetslagen och tillhörande föreskrifter och vägledningar. Den exakta tillämpningen behöver därför alltid verifieras mot aktuell svensk reglering och berörd tillsynsmyndighet.

DORA i korthet

DORA är EU:s regelverk för digital operativ motståndskraft i finanssektorn. Till skillnad från NIS2, som är ett direktiv och genomförs nationellt, är DORA en EU-förordning. Den riktar sig till finansiella entiteter, exempelvis banker, försäkringsföretag, värdepappersbolag, betalningsinstitut och andra aktörer inom finansmarknaden.

Fokus i DORA ligger på organisationens förmåga att stå emot, hantera, återhämta sig från och lära av IKT-relaterade störningar. Kraven går därför ofta djupare i frågor som rör operativ motståndskraft, testning, incidenthantering och styrning av tredjepartsleverantörer.

För många verksamheter inom finanssektorn blir DORA därför inte bara ett cybersäkerhetsregelverk, utan också ett styrnings- och kontrollramverk för hur digitala beroenden ska hanteras över tid.

Den viktigaste skillnaden

Den enklaste sammanfattningen är denna:

  • NIS2 är bredare och sektorsövergripande
  • DORA är smalare i målgrupp men djupare för finanssektorn

NIS2 ska höja cybersäkerhetsnivån i ett stort antal samhällsviktiga och viktiga sektorer. DORA är däremot utformat specifikt för finanssektorns digitala operativa motståndskraft. Där NIS2 sätter en bred ram för säkerhetsarbete, går DORA längre in i hur finansiella verksamheter ska styra, testa och följa upp sin digitala motståndskraft.

Skillnader i omfattning

Vilka verksamheter omfattas?

NIS2 omfattar ett brett spektrum av verksamheter inom samhällsviktiga och viktiga sektorer. En organisation behöver därför bedöma om den omfattas utifrån sektor, storlek, funktion och roll i samhället.

DORA riktar sig i stället till finanssektorn. För verksamheter utanför finansmarknaden är DORA normalt inte det primära regelverket, även om liknande arbetssätt kan vara relevanta ur ett styrningsperspektiv.

Det betyder att två organisationer kan ha liknande tekniska risker men ändå omfattas av helt olika regelverk beroende på vilken sektor de verkar i.

Skillnader i fokus

NIS2 betonar cybersäkerhet och styrning

NIS2 fokuserar på att organisationer ska ha ett strukturerat säkerhetsarbete kring nätverk, informationssystem, riskhantering, incidentrapportering och ledningsansvar. Tyngdpunkten ligger på att säkerställa en rimlig och dokumenterad nivå av cybersäkerhet i verksamheter som är viktiga för samhället.

DORA betonar digital operativ motståndskraft

DORA fokuserar mer uttalat på verksamhetens förmåga att upprätthålla kritiska digitala funktioner även vid störningar. Det omfattar inte bara skydd mot cyberhot, utan också återhämtning, kontinuitet, testning och styrning av beroenden till IKT-leverantörer.

Skillnaden är viktig i praktiken. NIS2 driver fram ett robust cybersäkerhetsarbete. DORA driver dessutom fram ett mer detaljerat arbete med operativ uthållighet i digitala processer.

Ledningsansvar och dokumentation

Både NIS2 och DORA ställer högre krav på styrning än många organisationer historiskt har varit vana vid. Säkerhetsarbetet kan inte längre hanteras som en enskild teknisk fråga. Ledningen behöver förstå riskerna, fatta beslut, följa upp arbetet och kunna visa att verksamheten har kontroll.

Här blir dokumentation och spårbarhet centralt. Det räcker inte att säga att risker hanteras eller att processer finns. Organisationen behöver normalt kunna visa:

  • hur risker identifieras och bedöms
  • vilka kontroller och skyddsåtgärder som har införts
  • vem som ansvarar för vad
  • hur incidenter hanteras och följs upp
  • hur brister, åtgärder och förbättringar dokumenteras över tid

Detta är också en nyckelfråga i egenkontroller. Utan tydlig dokumentation blir det svårt att visa regelefterlevnad, genomföra uppföljning och skapa lärande i organisationen.

Incidenter och rapportering

Både NIS2 och DORA innehåller krav kopplade till incidenthantering och rapportering, men ansatsen skiljer sig något åt.

NIS2 utgår från behovet att rapportera betydande incidenter som påverkar samhällsviktiga eller viktiga verksamheter. Fokus ligger på att kunna upptäcka, bedöma, hantera och rapportera incidenter inom fastställda ramar.

DORA innehåller också krav på rapportering av IKT-relaterade incidenter, men inom finanssektorn sätts detta in i ett bredare ramverk för operativ motståndskraft. Det gör att incidenthantering ofta behöver kopplas tydligare till klassificering, eskalering, återhämtning och lärande.

För organisationer innebär detta att incidentprocesser inte bara behöver finnas på papper, utan fungera i praktiken under tidspress.

Tredjepartsrisker och leverantörsstyrning

En av de tydligaste praktiska skillnaderna gäller tredjepartsrisker.

NIS2 omfattar beroenden till leverantörer och behovet av att hantera risker i leveranskedjan. DORA går däremot längre i finanssektorn när det gäller styrning av IKT-tjänsteleverantörer. Här blir det särskilt viktigt att ha kontroll över avtal, ansvar, beroenden, informationsflöden och uppföljning av leverantörer som är kritiska för verksamheten.

För många organisationer är detta en av de mest resurskrävande delarna i arbetet. Det räcker inte att känna till sina leverantörer. Man behöver också förstå vilka verksamhetskritiska funktioner som är beroende av dem och hur risken ska följas upp.

Vad gäller om verksamheten berörs av båda?

För vissa finansiella verksamheter kan frågan uppstå hur NIS2 och DORA förhåller sig till varandra. I sådana situationer brukar DORA beskrivas som mer sektorsspecifik reglering för finanssektorn på områden där regelverken överlappar.

Samtidigt bör organisationer vara försiktiga med förenklade slutsatser. Det är viktigt att verifiera den rättsliga avgränsningen utifrån aktuell lagstiftning, myndighetsvägledning och den egna verksamhetens struktur. Det gäller särskilt i gränsytor mellan koncernfunktioner, delade IT-miljöer och outsourcing.

Vad betyder det för egenkontroll?

För den som arbetar praktiskt med regelefterlevnad är den viktigaste frågan inte vilket akronym som används, utan vilka kontroller som behöver fungera. Ett moget arbetssätt bygger därför ofta på en gemensam kontrollstruktur där organisationen mappar krav mot faktiska processer.

Det kan exempelvis handla om att skapa egenkontroller för:

  • riskbedömning och riskbehandling
  • incidenthantering och rapportering
  • roller, ansvar och ledningsuppföljning
  • kontinuitet och återhämtning
  • leverantörsstyrning och tredjepartsrisk
  • utbildning, uppföljning och förbättringsåtgärder

När kontrollerna är tydliga, återkommande och dokumenterade blir det enklare att både följa upp arbetet internt och visa spårbarhet vid granskning.

Slutsats

NIS2 och DORA har samma övergripande riktning: att stärka organisationers motståndskraft mot digitala hot och störningar. Men de gör det på olika sätt. NIS2 är det bredare cybersäkerhetsregelverket för flera samhällsviktiga och viktiga sektorer, medan DORA är det mer detaljerade regelverket för finanssektorns digitala operativa motståndskraft.

För verksamheter som omfattas handlar skillnaden därför inte bara om juridisk klassificering, utan om hur arbetet med risk, styrning, incidenter, leverantörer och dokumentation behöver organiseras i praktiken. Ett strukturerat arbetssätt med tydliga egenkontroller gör det enklare att omsätta krav till faktisk regelefterlevnad.

Att tänka på

  • Säkerställ först om verksamheten omfattas av NIS2, DORA eller båda.
  • Kartlägg vilka processer, system och leverantörer som är verksamhetskritiska.
  • Bygg egenkontroller som går att upprepa, följa upp och dokumentera.
  • Säkerställ att ledningen har tillräcklig insyn och ett tydligt ansvar.
  • Verifiera alltid krav mot aktuell lag, myndighetsvägledning och organisationens egen situation.

Den här texten är avsedd som generell information och är inte juridisk rådgivning.