IT Support & Operations
Rekrytering och konsulter inom IT-support, infrastruktur, systemadministration, molntjänster och IT-drift.
Den snabba digitaliseringen har lett till att cybersäkerhet och digital motståndskraft blivit centrala frågor för organisationer i Europa. Två viktiga regelverk inom detta område är Digital Operational Resilience Act (DORA) och NIS2-direktivet. Men vad skiljer dessa regelverk åt, och hur påverkar de olika branscher?
Vad är DORA?
DORA är ett EU-regelverk som riktar sig specifikt mot den finansiella sektorn och dess IT-leverantörer. Syftet är att säkerställa att finansiella aktörer har robusta system och processer för att hantera IT-relaterade risker och cyberhot. DORA fokuserar på fem nyckelområden:
- Riskhantering av IT
- Incidentrapportering
- Testning av digital motståndskraft
- Hantering av tredjepartsrisker
- Informationsdelning
DORA trädde i kraft i januari 2025.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är en uppdatering av det tidigare NIS-direktivet och riktar sig till en bredare grupp av samhällsviktiga och digitala tjänsteleverantörer inom olika branscher, exempelvis energi, transport, hälsa och digital infrastruktur. Syftet är att stärka cybersäkerheten och minska sårbarheter i samhällskritiska verksamheter. Fokus ligger på:
- Riskhantering och säkerhetsåtgärder
- Incidentrapportering
- Kontinuitetsplanering
- Leverantörshantering
NIS2 trädde i kraft oktober 2024.
DORA vs. NIS2: De stora skillnaderna
DORA riktar sig primärt till finansiella aktörer och deras IT-leverantörer inom EU, medan NIS2 omfattar en bredare grupp av samhällsviktiga och digitala tjänsteleverantörer, inklusive sektorer som energi, transport och hälsa.
Fokus för DORA ligger på att stärka den digitala operativa motståndskraften genom krav på riskhantering, incidentrapportering och testning av system. NIS2 fokuserar bredare på cybersäkerhet och riskhantering för att skydda kritisk infrastruktur och samhällsviktiga tjänster.
När det gäller implementering är DORA en direkt tillämplig EU-förordning, vilket innebär att den gäller direkt i medlemsländerna utan att behöva införas i nationell lagstiftning. NIS2 kräver däremot att medlemsländerna inför reglerna i sin nationella lagstiftning.
Båda regelverken innehåller strikta sanktioner vid bristande efterlevnad, inklusive höga administrativa böter.
Hur påverkas din organisation?
Om din organisation är verksam inom den finansiella sektorn behöver ni fokusera på att implementera DORA:s krav, särskilt inom områden som digital motståndskraft och hantering av tredjepartsrisker. Verksamheter inom samhällskritiska sektorer måste däremot förbereda sig för NIS2 genom att stärka cybersäkerheten och utveckla effektiva incidenthanteringsrutiner.
Både DORA och NIS2 syftar till att stärka Europas cybersäkerhet, men de riktar sig till olika sektorer och har olika fokus. Genom att förstå skillnaderna kan din organisation förbereda sig för att uppfylla kraven och samtidigt stärka sin digitala motståndskraft.