Läser in
Sajten sätter bara cookies som krävs för plattformens drift. Ingen besöksstatistik samlas in idag. Integritetspolicy ·
Läser in
För svenska banker innebär detta dubbelt regelefterlevnad. DORA tillämpas på ICT-risk, tredjepartsrisk och operationella tester. NIS2 fyller luckorna kring incidentrapportering, leverantörskedja och styrelseutbildning som DORA inte täcker fullt ut. Finansinspektionen är samordnande tillsynsmyndighet i båda spåren, vilket minskar friktionen.
CERT-SE tar emot NIS2-incidentrapporter, medan DORA-rapporter går via Finansinspektionens egen kanal. CyberKlar kan generera båda utkasten parallellt från samma incident-record.
DORA kapitel II styr ICT-riskhantering. NIS2 4 kap. kompletterar med krav på övergripande leverantörskedjebedömning som inte är begränsad till ICT.
Större banker omfattas av Threat-Led Penetration Testing enligt DORA. NIS2 kräver dessutom regelbundna övningar av incidentrespons.
Allvarlig ICT-incident: rapporteras till FI enligt DORA. Betydande NIS2-incident: rapporteras till CERT-SE inom 24 timmar och till FI som sektorsmyndighet.
Finansinspektionen kan påföra sanktionsavgift enligt cybersäkerhetslagen upp till 2 procent av global omsättning eller 10 miljoner euro. DORA-överträdelser sanktioneras enligt särskild ordning. Sanktioner kumuleras inte automatiskt men kan kombineras vid olika faktiska brister.
CyberKlar håller DORA och NIS2 som separata regelspår i samma kontrollbibliotek. Incidentmodulen genererar två parallella utkast: ett för FI enligt DORA och ett för CERT-SE enligt cybersäkerhetslagen. Always-On uppdaterar kontrollerna när Finansinspektionen publicerar ny föreskrift.