Search

Varför DORA-förordningen inte bara är en "finanssektor"-version av NIS2

"Varför efter NIS2 även DORA-förordningen?" Det är en rimlig fråga för företag som redan hanterar en stor regelbörda. Men det finns betydande skillnader mellan NIS2 och DORA. Även om DORA är specifikt inriktad på finanssektorn, sträcker sig dessa skillnader utanför dess tillämpningsområde.

En förordning skriven för och av den finansiella sektorn

För det första kan ursprunget till DORA-förordningen - Digital Operations Resilience Act - spåras tillbaka till Baselkommittén för banktillsyn, snarare än till Europeiska unionen eller någon av dess medlemsstater.

Detta belyser det faktum att lagen har drivits fram inom finanssektorn, vilket gör diskussioner om de "verkliga" avsikterna bakom DORA överflödiga. Man skulle kunna säga att det är en förordning skriven för och av finanssektorn.

DORA-förordningen kontra NIS2-direktivet

För det andra finns det en anmärkningsvärd skillnad när det gäller harmoniseringen mellan EU:s medlemsstater. NIS2 är ett direktiv som tillåter länder att utveckla regler baserade på deras specifika nationella behov. DORA är däremot en förordning som inte lämnar något utrymme för skönsmässig bedömning på medlemsstatsnivå.

Detta innebär att vi kommer att se en exakt kopia av DORA i alla EU:s medlemsstater.

Denna nivå av rättslig harmonisering representerar inte bara den högsta standarden inom EU utan visar också att unionen erkänner finansmarknadens bräcklighet. Minnet av finanskrisen 2008 är fortfarande levande, och sammankopplingen i den digitala eran gör att cybersäkerhet prioriteras allt högre. Rädslan för en potentiell finanskris orsakad av cyberattacker som stör finansiella tjänster är förvisso mycket legitim.

Det är därför alla medlemsstater måste anta samma regler för sin finanssektor.

Vilka är de krav som beskrivs i DORA?

Vilka är då de krav som beskrivs i DORA? Det följer samma recept som NIS2 och betonar organisatoriska (ledningsramverk), operativa (daglig övervakning och incidentrapportering) och tekniska åtgärder (penetrationstestning).

Hur kan Orange Cyberdefense hjälpa till?

Med vår omfattande erfarenhet av cybersäkerhet kan Orange Cyberdefense vara er pålitliga partner för att uppnå den nödvändiga skyddsnivån och stödja ditt arbete med att följa DORA-förordningen.

Om ni vill veta mer om de specifika skyldigheterna och rekommendationerna för ert företag enligt DORA-förordningen kan ni kontakta Jan De Bondt, vår Director Audit & Business Consultancy. Han ger er gärna råd om detta ämne.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.