Derfor er DORA-forordningen ikke bare en “finanssektor-version” af NIS2

“Hvorfor kommer der endnu en forordning som DORA, når vi allerede har NIS2-direktivet?”
Det er et helt rimeligt spørgsmål – især fra virksomheder, der i forvejen oplever et stort regulatorisk pres. Men der er væsentlige forskelle mellem NIS2 og DORA. Selvom DORA er målrettet den finansielle sektor, rækker forskellene ud over det.

En forordning skrevet for – og af – den finansielle sektor

DORA-forordningen (Digital Operational Resilience Act) har sine rødder i Basel-komitéen for banktilsyn – ikke i EU eller medlemslandenes egne initiativer.

Det understreger, at ønsket om regulering kommer inde fra sektoren selv, og dermed bliver spekulationer om “de egentlige motiver” bag DORA overflødige. Man kan med rette sige, at det er en forordning skrevet af og for den finansielle sektor.

DORA og NIS2 – vigtige forskelle

Den største forskel ligger i retsgrundlaget:

• NIS2 er et direktiv, hvilket betyder, at hvert medlemsland selv skal omsætte det til national lovgivning – med mulighed for tilpasning.
• DORA er derimod en forordning, som gælder ens i alle EU-lande – uden nationale variationer.

Det betyder, at DORA vil blive implementeret ordret i samtlige medlemslande.

Denne grad af harmonisering viser, hvor vigtig og sårbar den finansielle sektor anses for at være. Erfaringerne fra finanskrisen i 2008 og den stigende digitalisering har kun gjort det mere presserende at sikre cybersikkerhed i sektoren. Risikoen for en ny krise udløst af cyberangreb tages meget alvorligt.

Hvad kræver DORA?

Ligesom NIS2 stiller DORA krav til:

• Organisatoriske tiltag (ledelsesstrukturer og governance)
• Operationelle tiltag (overvågning, hændelseshåndtering og rapportering)
• Tekniske tiltag (f.eks. penetrationstest)

Hvordan kan Orange Cyberdefense hjælpe?

Hvis du har brug for rådgivning om, hvordan din virksomhed skal forholde sig til NIS2-direktivet eller DORA-forordningen, så tag kontakt til en af vores eksperter eller udfyld formularen herunder.