NIS2 for finanssektoren: DORA og NIS2 for norsk finans
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2 for finanssektoren: DORA og NIS2 for norsk finans
Norsk finanssektor står i en unik posisjon: to omfattende EU-regelverk for cybersikkerhet treffer sektoren samtidig. NIS2 dekker finanssektoren som en kritisk sektor, mens DORA (Digital Operational Resilience Act) er skreddersydd for nettopp finans. Forholdet mellom de to regelverkene er avklart i teorien, men i praksis skaper det utfordringer.
DORA ble vedtatt i desember 2022 og trådte i kraft for EU-land 17. januar 2025. Forordningen gjelder over 22 000 finansinstitusjoner og IKT-leverandører i EØS (EU-kommisjonen, 2024). For norsk finanssektor betyr dette at to regelverk, med delvis overlappende og delvis ulike krav, skal etterleves parallelt.
Nøkkelpunkter
- DORA gjelder over 22 000 finansinstitusjoner og IKT-leverandører i EØS (EU-kommisjonen, 2024)
- NIS2 artikkel 4 gir DORA forrang som lex specialis for finanssektoren
- NIS2 fyller hull som DORA ikke dekker, særlig leverandørkjedesikkerhet utover IKT
- Finanstilsynet koordinerer begge regelverk for norsk finanssektor
Hva er forskjellen mellom NIS2 og DORA?
NIS2 artikkel 4 fastslår at der et sektorspesifikt regelverk stiller minst like strenge krav som NIS2, skal det sektorspesifikke regelverket ha forrang. DORA er anerkjent som et slikt lex specialis for finanssektoren (EU-kommisjonen, 2023). Men dette betyr ikke at NIS2 er irrelevant for finans.
DORA: Skreddersydd for finans
DORA er en forordning, ikke et direktiv. Det betyr at den gjelder direkte i EU-land uten nasjonal implementering. I EØS kreves innlemmelse i EØS-avtalen. DORA stiller detaljerte krav til IKT-risikostyring, hendelsesrapportering, testing av digital motstandsdyktighet, tredjepartsrisikostyring og informasjonsdeling.
NIS2: Bredere sikkerhetskrav
NIS2 stiller bredere krav som kan gå utover det DORA dekker. Eksempler inkluderer leverandørkjedesikkerhet utover rene IKT-leverandører, fysisk sikkerhet (gjennom CER-integrering i norsk lov), krav til opplæring og cyberhygiene for alle ansatte, og krav til kryptografi som ikke er spesifikt adressert i DORA.
Citatkapsel: NIS2 artikkel 4 gir DORA forrang som lex specialis for finanssektoren, men NIS2 fyller hull som DORA ikke dekker, og norske finansinstitusjoner må forholde seg til begge regelverk parallelt (EU-kommisjonen, 2023).
Hvilke finansvirksomheter er omfattet?
DOKAs virkeområde er bredt: banker, forsikringsselskaper, verdipapirforetak, betalingsinstitusjoner, fondsforvaltere og kryptotjenesteleverandører er alle omfattet. I tillegg omfatter DORA kritiske IKT-tredjepartsleverandører til finanssektoren. Finanstilsynet i Norge fører tilsyn med over 700 finansforetak (Finanstilsynet, 2024).
Banker og kredittinstitusjoner
Alle norske banker, fra DNB til lokale sparebanker, er omfattet av DORA. For de største bankene er kravene allerede langt på vei dekket gjennom IKT-forskriften. For mindre banker kan tilpasningen være mer krevende.
Forsikring
Forsikringsselskaper og pensjonskasser er omfattet. Sektoren er stadig mer digitalisert, med økende bruk av skytjenester og automatisert skadebehandling. NIS2 og DORA stiller krav til sikring av disse systemene.
Betalingsinstitusjoner og fintech
Betalingsinstitusjoner, e-pengeforetak og fintech-selskaper er omfattet av DORA. Mange av disse er relativt unge selskaper som kan mangle modne sikkerhetsprosesser. For dem kan NIS2/DORA-etterlevelse kreve betydelig investering.
IKT-tredjepartsleverandører
DORA har en unik bestemmelse om kritiske IKT-tredjepartsleverandører. Skytjenesteleverandører, datasentre og andre IKT-leverandører som er utpekt som kritiske for finanssektoren, kan bli underlagt direkte tilsyn fra EU-myndigheter (ESA-ene). For norske skyleverandører som betjener finanssektoren er dette en viktig utvikling.
Trenger dere eksperthjelp med nis2 for finanssektoren: dora og nis2 for norsk finans?
Våre skyarkitekter hjelper dere med nis2 for finanssektoren: dora og nis2 for norsk finans — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvordan håndterer man dobbelt rapporteringsplikt?
En av de mest praktiske utfordringene er hendelsesrapportering. DORA krever rapportering til Finanstilsynet, mens NIS2 krever rapportering til sektormyndigheten (som også er Finanstilsynet for finanssektoren). Tidsfristene er noe forskjellige. DORA krever initial rapport innen 4 timer og detaljert rapport innen 72 timer (DORA artikkel 19, 2022).
Samordning av rapporteringsfrister
DORA: 4 timer for initial notifikasjon, 72 timer for mellomrapport, 1 måned for sluttrapport.
NIS2: 24 timer for tidlig varsel, 72 timer for oppdatering, 1 måned for sluttrapport.
I praksis betyr DOKAs strengere 4-timersfrist at finanssektoren allerede vil oppfylle NIS2s 24-timersfrist. Men rapporteringsinnholdet kan variere.
Én rapport eller to?
[UNIQUE INSIGHT] Selv om Finanstilsynet er mottaker for begge regelverk, kan rapporteringsformatene og kriteriene avvike. DORA har spesifikke klassifiseringskriterier for IKT-hendelser, mens NIS2 har bredere kriterier som også inkluderer fysiske hendelser og hendelser uten direkte IKT-påvirkning. Anbefalingen er å etablere én hendelsesrapporteringsprosess som dekker begge regelverk, med tydelige prosedyrer for hvilke tilleggskrav hvert regelverk stiller.
Hva betyr DORA for IKT-tredjepartsleverandører?
DORA innfører et helt nytt regime for tilsyn med kritiske IKT-tredjepartsleverandører. En rapport fra McKinsey estimerer at europeiske finansinstitusjoner i gjennomsnitt bruker 40-50 sentrale IKT-leverandører, der de fem største utgjør over 70 % av IKT-utgiftene (McKinsey, 2024).
Direkte tilsyn med kritiske leverandører
ESA-ene (EBA, EIOPA, ESMA) kan utpeke IKT-tredjepartsleverandører som kritiske og underlegge dem direkte tilsyn. For norske skyleverandører og datasentre som betjener finanssektoren, kan dette bety krav som går utover det NIS2 stiller.
Kontraktskrav
DORA stiller detaljerte krav til kontraktene mellom finansinstitusjoner og IKT-leverandører. Disse inkluderer servicenivåavtaler, revisjonsrettigheter, exit-strategier og krav til datalokalitet. For leverandører som allerede betjener norsk finanssektor, vil disse kravene bli en del av kontraktsforhandlingene.
[PERSONAL EXPERIENCE] Fra vårt arbeid med skyleverandører som betjener finanssektoren i Norden, ser vi at DORA-kontraktskravene er vesentlig mer detaljerte enn det de fleste leverandører er vant til. Revisjonrettigheter og exit-planer er de to mest diskuterte punktene i forhandlinger.
Hvordan bør norske finansinstitusjoner prioritere?
Ifølge en undersøkelse fra EY har 58 % av europeiske finansinstitusjoner startet DORA-implementering, men bare 23 % anser seg som «godt forberedt» (EY, 2025). Gitt at DORA allerede er gjeldende i EU, bør norske finansinstitusjoner prioritere dette høyt.
Steg 1: Kartlegg overlapp og gap
Identifiser hvilke krav som er felles for DORA og NIS2, og hvilke som er unike for hvert regelverk. Fokuser implementeringsinnsatsen på fellesnevnerne først, og fyll deretter gapene for hvert regelverk.
Steg 2: IKT-risikostyring
DORA stiller svært detaljerte krav til IKT-risikostyring. Etabler et rammeverk som oppfyller DOKAs krav. Det vil i stor grad også dekke NIS2-kravene.
Steg 3: Tredjepartsvurdering
Kartlegg alle IKT-tredjepartsleverandører. Vurder hvilke som er kritiske og oppdater kontrakter i tråd med DOKAs krav. Husk at NIS2 stiller bredere leverandørkjekrav som også dekker ikke-IKT-leverandører.
Steg 4: Testing
DORA krever testing av digital motstandsdyktighet, inkludert trusselbasert penetrasjonstesting (TLPT) for store finansinstitusjoner. Start planleggingen av testprogrammet tidlig.
Citatkapsel: Bare 23 % av europeiske finansinstitusjoner anser seg som godt forberedt på DORA ifølge EY, mens DORA allerede gjelder i EU og vil tre i kraft i EØS, noe som gjør rask implementering til en prioritet for norsk finans (EY, 2025).
Ofte stilte spørsmål
Trenger vi å etterleve både DORA og NIS2?
Ja, men der DORA stiller like strenge eller strengere krav, har DORA forrang. I praksis betyr det at etterlevelse av DORA dekker mye av NIS2, men det finnes NIS2-krav som ikke finnes i DORA, særlig rundt leverandørkjede utover IKT og fysisk sikkerhet.
Gjelder DORA for norske banker allerede?
DORA trådte i kraft i EU 17. januar 2025. For Norge kreves EØS-innlemmelse. Norske finansinstitusjoner bør forberede seg som om DORA er gjeldende, ettersom forsinkelsen trolig er kort og Finanstilsynet allerede stiller mange av de samme kravene gjennom IKT-forskriften.
Hva med kryptovaluta og fintech?
Kryptotjenesteleverandører som er autorisert under MiCA er eksplisitt omfattet av DORA. Fintech-selskaper som har konsesjon fra Finanstilsynet, er også omfattet. For ikke-regulerte fintech-selskaper gjelder NIS2-kravene dersom de oppfyller størrelseskriteriene.
Må vi gjennomføre penetrasjonstesting?
DORA krever trusselbasert penetrasjonstesting (TLPT) for store og systemviktige finansinstitusjoner. For andre finansinstitusjoner kreves regelmessig testing, men ikke nødvendigvis TLPT. NIS2 krever generelt at virksomheter vurderer effektiviteten av sikkerhetstiltak, som kan inkludere penetrasjonstesting.
Hvem er tilsynsmyndighet for DORA i Norge?
Finanstilsynet er tilsynsmyndighet for DORA i Norge, i tråd med sin rolle som finanstilsynsmyndighet. Finanstilsynet er også sektormyndigheten for finanssektoren under NIS2. Én myndighet for begge regelverk er en fordel for norsk finanssektor.
Viktige punkter om NIS2 finanssektoren DORA NIS2 norsk
Norsk finanssektor står overfor en krevende, men overkommelig, implementeringsoppgave. DORA og NIS2 overlapper betydelig, og Finanstilsynets rolle som tilsynsmyndighet for begge regelverk gir en naturlig samordning. Start med DOKAs krav (som er mer detaljerte for finans), og fyll deretter gapene der NIS2 stiller tilleggskrav.
Prioriter IKT-risikostyring, tredjepartsvurdering og hendelsesrapportering. Disse områdene er sentrale i begge regelverk og gir størst verdi per investert krone.
Meta description: DORA gjelder 22 000+ finansinstitusjoner i EØS. Lær hvordan NIS2 og DORA overlapper og hva norske banker og forsikringsselskaper må gjøre.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.