EU har infört två nya regleringar, DORA (Digital Operational Resilience Act) och NIS2 (Network and Information System Directive 2), som ställer mycket höga krav på företag inom kritiska sektorer, inklusive den finansiella sektorn. Men vad är egentligen skillnaden mellan dessa två regelverk, och vad behöver du som är verksam inom den finansiella sektorn tänka på?
DORA: Hur finansiella sektorn ska skydda mot IT-störningar och cyberattacker
DORA, som trädde i kraft 16 januari 2023 med full tillämpning från den 17 januari 2025, är specifikt utformad för att stärka den operativa motståndskraften hos företag inom den finansiella sektorn, t.ex. banker, försäkringsbolag och fintech-bolag. Regleringen har som mål att säkerställa att företagen kan motstå och snabbt återhämta sig från IT-relaterade störningar. Det ställer krav på robusta och säkra IT-system, regelbundna stresstester, och omgående rapportering av incidenter till tillsynsmyndigheter.
DORA kräver att företag inom den finansiella sektorn:
- Genomför regelbundna IT-stresstester för att identifiera sårbarheter.
- Implementerar kontinuitetsplanering och effektiv incidenthantering med tillgängliga åtgärdsplaner för snabb återhämtning.
- Rapporterar incidenter som kan påverka den finansiella stabiliteten.
- Samarbetar med tredjepartsleverantörer och säkerställer att dessa också uppfyller kraven.
Ladda ner checklistan för NIS2 och DORA för att säkerställa att din organisation uppfyller kraven.
NIS2: Informationssäkerhetslag som ska skydda kritisk infrastruktur inom 18 sektorer.
NIS2 trädde i kraft samtidigt som DORA men kommer att börja tillämpas fullt ut i januari 2025. Detta regelverk är en uppdatering av det tidigare NIS-direktivet och utökar cybersäkerhetskraven till 18 sektorer, bl.a. energi, transport, digital infrastruktur och offentlig sektor. Den finansiella sektorn omfattas av NIS2 om verksamheten är samhällsviktig eller om den erbjuder digitala tjänster.
NIS2 ställer krav på:
- Hantering av cybersäkerhet inklusive riskhantering, informationssäkerhet och incidenthantering samt rapportering.
- Gränsöverskridande samarbete mellan länder och sektorer för att hantera gemensamma hot.
- Striktare sanktioner och ett större ansvar för ledningen vid överträdelser.
Vad behöver du göra annorlunda?
Som aktör inom finanssektorn är det viktigt att förstå att DORA ställer högre och mer specifika krav än NIS2. Här är några åtgärder att överväga:
- Stärk operativ motståndskraft: Implementera robusta system för IT-stresstester och kontinuitetsplanering. Dessa är avgörande enligt DORA och minskar risken för att IT-störningar påverkar verksamheten negativt.
- Granska tredjepartsleverantörer: Under DORA måste du säkerställa att inte bara den egna organisationen, utan även tredjepartsleverantörer, uppfyller kraven på säkerhet och operativ motståndskraft.
- Integrera NIS2-krav i cybersäkerhetsstrategin: Trots att DORA är mer relevant för finanssektorn bör NIS2 krav på cybersäkerhet inte förbises, särskilt om din verksamhet påverkar kritisk infrastruktur. En stark cybersäkerhetsstrategi som möter NIS2-standarden är avgörande.
Använd Cosafe för effektiv incidenthantering
För att möta kraven i både DORA och NIS2 krävs pålitliga lösningar för kritisk kommunikation och incidenthantering inom er organisation. Cosafe hjälper er att agera snabbt, hålla ledningen informerad och rapportera i rätt tid – allt för att skydda verksamheten, minimera konsekvenserna av en incident samt undvika kostsamma böter.
Cosafe är certifierat i enlighet med ISO 27001 (informationssäkerhet) och ger er en redundant lösning som säkerställer er kontinuitetsplanering och incidenthantering.
Sammanfattning
Genom att följa riktlinjerna i både DORA och NIS2 stärker ni er operativa motståndskraft. Plattformar som Cosafe spelar en nyckelroll genom att erbjuda de verktyg som krävs för effektiv kommunikation och incidenthantering enligt de nya regleringarna.