e-Check.se – digital egenkontroll

NIS2 och DORA – samband för finanssektorn

DORA (Digital Operational Resilience Act) är en EU-förordning som ställer detaljerade krav på finansiella enheters it- och cybersäkerhet, inklusive hantering av tredjepartsrisk och incidentrapportering inom finanssektorns ekosystem. NIS2 är ett horisontellt direktiv för många samhällsviktiga och viktiga sektorer – där finans ingår.

För många svenska finansiella aktörer uppstår frågan: vilka krav gäller när, och hur undviker vi dubbelarbete? Den här sidan ger en orientering; slutlig tolkning för er juridiska enhet kräver alltid specialiststöd och dialog med Finansinspektionen.

Officiella källor: DORA i EUR-Lex, NIS2 i EUR-Lex, Finansinspektionen.

Varför både NIS2 och DORA kan beröra er

Finanssektorn är uttryckligen inom NIS2:s omfattning samtidigt som DORA ger ett fördjupat regelverk för operativ motståndskraft. EU har utformat DORA som mer specifik reglering för finans – vilket i praktiken kan innebära att vissa frågor i första hand hanteras enligt DORA, medan horisontella skyldigheter från NIS2 fortfarande kan finnas kvar beroende på verksamhet och nationellt genomförande.

I Sverige ska ni dessutom förhålla er till cybersäkerhetslagen och MCF:s processer där de är tillämpliga – se incidentrapportering enligt NIS2.

Vad DORA betonar

  • It-riskmanagement – integrerat i intern styrning och kontroll.
  • Incidentrapportering – inom finanssektorns rapporteringskedja.
  • Tredjepartsrisk – strukturerad hantering av kritiska it-tjänster.
  • Tester och resilience – inklusive genomförande av vissa tester enligt föreskriftsnivå.

Praktisk kartläggning i organisationen

Arbeta gärna i tre lager: (1) juridisk enhetslista och licensiering, (2) gemensamma kontroller och dataflöden, (3) rapporteringskanaler till olika myndigheter. Målet är en gemensam riskbild där DORA- och NIS2-relaterade krav matas av samma telemetri och samma styrdokument – även om rapporteringen sker till olika mottagare.

  1. Inventera vilka juridiska personer som omfattas av vilka ramverk.
  2. Mappa befintliga ISO- eller interna ramverk mot båda regelverkens teman.
  3. Definiera en ägare för "regulatorisk tolkning" som samordnar med juridik och risk.

Leverantörer och koncerninterna tjänster

Både NIS2 och DORA lyfter leverantörsberoenden. Koncerninterna it-bolag och molntjänster ska ofta behandlas med samma disciplin som externa avtal: tydliga SLA:er, exitstrategier och dokumenterad säkerhetsstatus.

Relaterade guider

NIS2-krav i översikt · NIS jämfört med NIS2 · NIS2 och ISO 27001

Gör cybersäkerhetstestet

Relaterat