NIS2 vs DORA: Dobbelt regelverk for norsk finanssektor
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2 vs DORA: Dobbelt regelverk for norsk finanssektor
Norsk finanssektor møter to EU-regelverk for cybersikkerhet som trådte i kraft nesten samtidig. NIS2 og DORA (Digital Operational Resilience Act) har overlappende krav, men også vesentlige forskjeller. For banker, forsikringsselskaper og finansielle infrastrukturoperatører er det avgjørende å forstå forholdet mellom de to.
DORA er teknisk sett lex specialis for finanssektoren, noe som betyr at DOKAs krav har forrang der de er like strenge eller strengere enn NIS2 (EU-kommisjonen, 2023). Men NIS2 dekker områder som DORA ikke adresserer. En undersøkelse fra EY viser at 67 % av europeiske finansinstitusjoner synes forholdet mellom NIS2 og DORA er «uklart» i praksis (EY, 2025).
Nøkkelpunkter
- DORA er lex specialis: der kravene overlapper, har DORA forrang (EU-kommisjonen, 2023)
- 67 % av finansinstitusjoner finner forholdet NIS2/DORA uklart i praksis (EY, 2025)
- NIS2 fyller gap i DORA for leverandørkjede (utover IKT), fysisk sikkerhet og cyberhygiene
- Finanstilsynet er tilsynsmyndighet for begge regelverk i Norge
Hva er lex specialis-prinsippet?
NIS2 artikkel 4 etablerer at sektorspesifikke EU-rettsakter som stiller krav til cybersikkerhet som er «minst like strenge» som NIS2, skal ha forrang for den aktuelle sektoren. EU-kommisjonen har formelt anerkjent DORA som lex specialis for finanssektoren (EU-kommisjonen, 2023).
I praksis betyr dette at finansinstitusjoner primært forholder seg til DORA for cybersikkerhet. Men der DORA ikke dekker et NIS2-krav, gjelder NIS2 som supplement. Det er altså ikke enten-eller; det er DORA først, NIS2 som utfylling.
Utfordringen er å identifisere nøyaktig hvilke NIS2-krav som ikke dekkes av DORA. Denne vurderingen krever en detaljert sammenligning av de to regelverkene.
Citatkapsel: DORA har formell forrang som lex specialis for finanssektoren ifølge NIS2 artikkel 4, men 67 % av europeiske finansinstitusjoner finner forholdet uklart i praksis, og NIS2 gjelder som supplement der DORA har hull (EY, 2025).
Hvor overlapper NIS2 og DORA?
En detaljert mapping fra ENISA viser at omtrent 80 % av NIS2-kravene dekkes av DORA for finanssektoren (ENISA, 2024). De viktigste overlappområdene er IKT-risikostyring, hendelseshåndtering, testing og tredjepartsrisikostyring.
Risikostyring
Begge krever systematisk risikostyring. DORA (artikkel 5-16) er mer detaljert enn NIS2 (artikkel 21) for finanssektoren. DORA spesifiserer krav til IKT-risikorammeverk, styringsstrukturer og rapportering som går utover NIS2.
Hendelsesrapportering
DORA (artikkel 17-23) krever rapportering av vesentlige IKT-hendelser. NIS2 (artikkel 23) har tilsvarende krav. Tidsfristene er noe forskjellige: DORA krever initial rapport innen 4 timer, NIS2 innen 24 timer. DOKAs strengere frist har forrang.
Testing
DORA (artikkel 24-27) krever testing av digital motstandsdyktighet, inkludert TLPT (Threat-Led Penetration Testing) for store institusjoner. NIS2 krever generelt vurdering av sikkerhetstiltakenes effektivitet, men er mindre spesifikk om testmetodikk.
Tredjepartsrisikostyring
DORA (artikkel 28-44) har svært detaljerte krav til IKT-tredjepartsrisikostyring, inkludert krav til kontrakter, exit-strategier og direkte tilsyn med kritiske IKT-leverandører. NIS2 har bredere leverandørkjekrav som dekker mer enn bare IKT.
Trenger dere eksperthjelp med nis2 vs dora: dobbelt regelverk for norsk finanssektor?
Våre skyarkitekter hjelper dere med nis2 vs dora: dobbelt regelverk for norsk finanssektor — fra strategi til implementering. Book et gratis 30-minutters rådgivningssamtale uten forpliktelse.
Hvor har NIS2 krav som DORA ikke dekker?
De 20 % av NIS2-kravene som ikke dekkes av DORA, er områder der NIS2 fyller hull. Disse gapene er viktige for finansinstitusjoner som tror at DORA alene er tilstrekkelig.
Leverandørkjede utover IKT
DORA fokuserer på IKT-tredjepartsleverandører. NIS2 krever vurdering av hele leverandørkjeden, inkludert ikke-IKT-leverandører som fysiske sikkerhetstjenesteleverandører, energileverandører, byggvedlikeholdsselskaper og andre støttetjenester.
Fysisk sikkerhet
NIS2, særlig gjennom den norske digitalsikkerhetsloven som integrerer CER, stiller krav til fysisk motstandsdyktighet. DORA har begrenset fokus på fysisk sikkerhet. For norske finansinstitusjoner som faller under digitalsikkerhetsloven, kan dette bety tilleggskrav.
Cyberhygiene og generell opplæring
NIS2 artikkel 21(2)(g) krever grunnleggende cyberhygienepraksis og opplæring for alle ansatte. DORA fokuserer mer på opplæring av ledelse og nøkkelpersonell innen IKT-risiko, men er mindre spesifikk om generell cyberhygiene.
Registreringsplikt
NIS2 innfører registreringsplikt hos kompetent myndighet. DORA har ingen tilsvarende registreringsmekanisme (finansinstitusjoner er allerede registrert hos Finanstilsynet gjennom eksisterende konsesjonskrav).
[UNIQUE INSIGHT] Den mest undervurderte forskjellen er leverandørkjede utover IKT. En bank som har perfekt IKT-tredjepartsrisikostyring under DORA, men som ignorerer sikkerheten til sin kontorbygningsleverandør eller sin strømleverandør, kan ha et NIS2-gap. Fysisk tilgang til bankens lokaler, strømforsyning til datasentre, og vedlikehold av klimaanlegg er alle leverandørkjedeforhold som NIS2 adresserer men DORA ikke.
Hvordan bør norsk finanssektor prioritere?
Ifølge en rapport fra McKinsey bruker europeiske finansinstitusjoner i snitt 250-500 000 euro på DORA-implementering, mens NIS2-tilleggskostnaden typisk utgjør 10-15 % utover DORA (McKinsey, 2025). Start med DORA som hovedrammeverk, og supplerer med NIS2-gap.
Steg 1: Implementer DORA fullt ut
DORA er det mest detaljerte regelverket for finanssektoren. Full DORA-etterlevelse dekker 80 % av NIS2. Start her.
Steg 2: Gap-analyse mot NIS2
Identifiser NIS2-krav som DORA ikke dekker: leverandørkjede utover IKT, fysisk sikkerhet, cyberhygiene, registrering. Prioriter basert på risiko.
Steg 3: Integrert compliance-rammeverk
Bygg et felles rammeverk som dekker begge regelverk. Unngå to separate compliance-programmer; det gir unødvendig dobbeltarbeid og risiko for inkonsistens.
[PERSONAL EXPERIENCE] I vårt arbeid med skandinaviske finansinstitusjoner ser vi at de som behandler NIS2 og DORA som ett integrert prosjekt, bruker 25-30 % mindre ressurser enn de som kjører to parallelle programmer. Nøkkelen er et felles styringsrammeverk med én ansvarlig.
Ofte stilte spørsmål
Må vi rapportere hendelser til to myndigheter?
Under DORA rapporterer finansinstitusjoner til Finanstilsynet. Under NIS2 rapporterer de til sektormyndigheten, som for finans også er Finanstilsynet. I praksis betyr dette at rapporteringen går til samme myndighet, men rapporteringsformatene og kriteriene kan variere.
Gjelder DORA for alle ansatte i en bank?
DORA fokuserer primært på IKT-risikostyring og involverer ledelse, IKT-personell og nøkkelpersoner. NIS2 krever opplæring for alle ansatte. En bank som oppfyller DORA men ikke NIS2s opplæringskrav, har et gap.
Hva med kryptovaluta og fintech?
Kryptotjenesteleverandører under MiCA er omfattet av DORA. Fintech-selskaper med konsesjon er også DORA-virksomheter. For ikke-regulerte fintech-selskaper gjelder NIS2 dersom de oppfyller størrelseskriteriene.
Er IKT-forskriften fortsatt relevant?
Finanstilsynets IKT-forskrift vil trolig tilpasses for å reflektere DORA og NIS2-kravene. I overgangsperioden gjelder eksisterende forskrift. Følg med på Finanstilsynets kommunikasjon.
Kan vi bruke DORA-compliance som bevis for NIS2-etterlevelse?
I stor grad, ja. DORA-etterlevelse dokumenterer at finansinstitusjonen oppfyller krav som er minst like strenge som NIS2 innenfor DOKAs virkeområde. Men for NIS2-krav som DORA ikke dekker, trengs separat dokumentasjon.
Viktige punkter om NIS2 vs DORA Dobbelt regelverk
NIS2 og DORA er komplementære, ikke konkurrerende, for norsk finanssektor. DORA er hovedrammeverket, NIS2 er supplementet. Med Finanstilsynet som tilsynsmyndighet for begge, og 80 % overlapp i kravene, er et integrert compliance-program den mest effektive tilnærmingen. Identifiser de 20 % NIS2-gapene, og lukk dem som del av DORA-implementeringen.
Meta description: DORA dekker 80 % av NIS2 for finans. 67 % finner forholdet uklart. Lær lex specialis-prinsippet og de 20 % gapene du må lukke.
Om forfatteren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.