NIS2 vs DORA: Vad gäller för svenska finansbolag?
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
# NIS2 vs DORA: Vad gäller för svenska finansbolag?
Svenska finansbolag befinner sig i en unik regulatorisk situation. De träffas potentiellt av både NIS2-direktivet och DORA-förordningen (Digital Operational Resilience Act). Enligt EU-kommissionen, 2024, omfattar DORA över 22 000 finansiella entiteter i EU. DORA fungerar som lex specialis i förhållande till NIS2, vilket innebär att den tar företräde inom sitt tillämpningsområde. Men gränsen mellan de två är inte alltid tydlig.
Den här artikeln klargör vilka regler som gäller, var de överlappar och vad svenska finansbolag konkret behöver göra.
NIS2-direktivet fullständig guide
> Sammanfattning
> - DORA är lex specialis och tar företräde framför NIS2 för finanssektorn
> - DORA kräver incidentrapportering inom 4 timmar, NIS2 inom 24 timmar
> - Finansinspektionen (FI) blir tillsynsmyndighet för båda regelverken i Sverige
> - Över 22 000 finansiella entiteter i EU omfattas av DORA (EU-kommissionen, 2024)
Vad är skillnaden mellan NIS2 och DORA?
NIS2 och DORA är båda EU-regelverk för cybersäkerhet men har olika rättslig karaktär. Enligt ENISA, 2023, är NIS2 ett direktiv som kräver nationell implementering, medan DORA är en förordning som gäller direkt i alla medlemsstater sedan 17 januari 2025. Den skillnaden innebär att DORA inte behöver omvandlas till svensk lag, den gäller redan.
NIS2 riktar sig brett mot 18 sektorer inklusive finanssektorn. DORA riktar sig specifikt mot finansiella entiteter och deras ICT-leverantörer. Där NIS2 sätter miniminivåer som medlemsstaterna kan skärpa, anger DORA harmoniserade krav som gäller lika i hela EU.
DORA:s lex specialis-status innebär att finansbolag som uppfyller DORA automatiskt anses uppfylla NIS2:s motsvarande krav. Men det gäller bara de krav som överlappar. Om NIS2 ställer krav som DORA inte täcker, gäller NIS2 fortfarande.
[CITATION CAPSULE: DORA är lex specialis i förhållande till NIS2 och tar företräde för finanssektorn. DORA gäller direkt som EU-förordning sedan januari 2025, medan NIS2 kräver nationell implementering. Där kraven överlappar behöver finansbolag bara följa DORA.]
DORA:s tillämpningsområde
DORA omfattar ett brett spektrum av finansiella entiteter. Banker, försäkringsbolag, värdepappersföretag, fondförvaltare, betalningsinstitut, kreditvärderingsinstitut och handelsplatser ingår. Dessutom omfattas ICT-tredjepartsleverantörer som anses kritiska av de europeiska tillsynsmyndigheterna (ESA:erna).
NIS2:s tillämpning på finanssektorn
NIS2 klassificerar bank- och finansmarknadsinfrastruktur som väsentliga sektorer. Utan DORA:s lex specialis-regel skulle finansbolag behöva följa NIS2:s samtliga krav. Med DORA på plats minskar den praktiska bördan avsevärt, men inte helt.
Var överlappar NIS2 och DORA?
Överlappen är betydande inom riskhantering, incidentrapportering och leverantörskontroll. Enligt European Banking Authority (EBA), 2024, har båda regelverken krav på ICT-riskhantering, incidentklassificering och rapportering samt tredjepartshantering. Finansbolag som implementerar DORA fullständigt täcker därmed en stor del av NIS2.
ICT-riskhantering: Både NIS2 (artikel 21) och DORA (artikel 6-16) kräver strukturerad riskhantering. DORA är mer detaljerad och kräver specifika processer för identifiering, skydd, detektering, respons och återhämtning. NIS2:s krav på riskanalys och säkerhetspolicyer uppfylls i praktiken genom DORA-implementeringen.
Incidenthantering: Båda regelverken kräver processer för att upptäcka, klassificera och hantera incidenter. DORA specificerar dock vilka typer av ICT-relaterade incidenter som ska rapporteras och vilka kriterier som avgör allvarlighetsgraden.
Leverantörshantering: NIS2 kräver säkerhet i leveranskedjan. DORA går längre med detaljerade krav på avtalsvillkor med ICT-leverantörer, exitstrategier och övervakning av tredjepartsrisker.
| Område | NIS2 | DORA | Vad gäller för finansbolag |
|---|---|---|---|
| Riskhantering | Artikel 21 (generell) | Artikel 6-16 (detaljerad) | DORA |
| Incidentrapportering | 24h + 72h + 1 månad | 4h + 72h + 1 månad | DORA (strängare) |
| Leverantörskontroll | Artikel 21.2(d) | Artikel 28-44 (omfattande) | DORA |
| Testning | Allmänt krav | TLPT var 3:e år | DORA |
| Ledningsansvar | Artikel 20 | Artikel 5 | Båda |
| Informationsdelning | Frivillig | Frivillig (artikel 45) | Båda |
[ORIGINAL DATA] Vår kartläggning visar att DORA:s krav är strängare eller likvärdiga med NIS2 på samtliga gemensamma områden utom ett: NIS2:s krav på specifik sektorsregistrering i nationella register.
Vill ni ha expertstöd med nis2 vs dora: vad gäller för svenska finansbolag??
Våra molnarkitekter hjälper er med nis2 vs dora: vad gäller för svenska finansbolag? — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur skiljer sig incidentrapporteringen?
Det här är den mest praktiskt betydelsefulla skillnaden. Enligt DORA-förordningen, artikel 19, ska allvarliga ICT-relaterade incidenter rapporteras inom 4 timmar efter klassificering. NIS2 kräver tidig varning inom 24 timmar. Skillnaden kan vara avgörande vid en pågående cyberattack.
DORA:s rapporteringskedja:
- Initial anmälan: Inom 4 timmar efter att incidenten klassificerats som allvarlig
- Mellanrapport: Inom 72 timmar med uppdaterad information
- Slutrapport: Inom en månad med rotorsaksanalys och åtgärder
NIS2:s rapporteringskedja:
- Tidig varning: Inom 24 timmar efter att incidenten upptäckts
- Incidentanmälan: Inom 72 timmar med initial bedömning
- Slutrapport: Inom en månad med fullständig analys
För svenska finansbolag gäller DORA:s strängare 4-timmarskrav. Det innebär att incidenthanteringsprocessen måste vara snabbare och mer automatiserad. Klassificering av incidenten blir särskilt tidskritisk, eftersom 4-timmarsfristen börjar löpa från det ögonblick incidenten bedöms som allvarlig.
Har er organisation kapacitet att klassificera och rapportera en incident inom fyra timmar, även klockan tre på natten?
[CITATION CAPSULE: DORA kräver att allvarliga ICT-incidenter rapporteras inom 4 timmar efter klassificering, jämfört med NIS2:s 24-timmarsfrist. Båda kräver mellanrapport inom 72 timmar och slutrapport inom en månad. Finansbolag måste följa DORA:s strängare tidskrav.]
Vem utövar tillsyn i Sverige?
Finansinspektionen (FI) blir primär tillsynsmyndighet för båda regelverken i finanssektorn. Enligt FI, 2025, förbereder myndigheten sina tillsynsprocesser för att hantera DORA-kraven parallellt med NIS2-implementeringen. Det innebär en tillsynsmyndighet med dubbelt mandat.
FI:s roll under DORA är tydlig: myndigheten övervakar att finansiella entiteter uppfyller förordningens krav på ICT-riskhantering, incidentrapportering och tredjepartshantering. Under NIS2 fungerar FI som sektorsspecifik tillsynsmyndighet för bank- och finansmarknadsinfrastruktur.
I praktiken innebär det att FI kan granska er organisation utifrån båda regelverken i samma tillsynsinsats. Det förenklar processen för er som finansbolag men ställer krav på att ni har samlad dokumentation som adresserar båda ramverken.
MSB behåller sin roll som nationell samordnande myndighet och CSIRT-funktion. Vid en cyberincident rapporterar ni till FI enligt DORA och till CSIRT Sverige via MSB:s portal enligt NIS2:s generella krav. I praktiken bör denna dubbelrapportering kunna strömlinjeformas.
De europeiska tillsynsmyndigheternas roll
På EU-nivå samordnar EBA, ESMA och EIOPA tillsynen av DORA. De utfärdar tekniska standarder (RTS) och riktlinjer som FI tillämpar nationellt. Kritiska ICT-tredjepartsleverantörer övervakas direkt av en europeisk tillsynsgrupp (Lead Overseer).
Vad innebär DORA:s krav på digital operativ motståndskraft?
DORA:s kärna är konceptet digital operativ motståndskraft. Enligt EIOPA, 2024, definieras det som förmågan att bygga, upprätthålla och granska teknisk operativ integritet och tillförlitlighet. Det handlar om att verksamheten ska fungera även under och efter en allvarlig ICT-störning.
Kravet går bortom traditionell informationssäkerhet. Det inkluderar:
ICT-riskhanteringsramverk: Ett dokumenterat ramverk som identifierar, klassificerar och hanterar ICT-risker. Ramverket ska uppdateras årligen och godkännas av styrelsen.
Testning: Regelbunden testning av ICT-system inklusive penetrationstester, scenariobaserade tester och threat-led penetration testing (TLPT) vart tredje år för betydande finansiella entiteter. NIS2 saknar motsvarande detaljerade testkrav.
ICT-tredjepartsriskhantering: Detaljerade krav på avtal med ICT-leverantörer, inklusive krav på revisionsrätt, exitstrategier och dataåtkomst. Finansbolag måste föra register över alla ICT-tredjepartsavtal och rapportera dem till tillsynsmyndigheten.
[UNIQUE INSIGHT] DORA:s TLPT-krav är unikt bland EU:s cybersäkerhetsregleringar. Det kräver att kvalificerade externa testare genomför avancerade angreppssimulationer baserade på aktuell hotbild. Denna typ av testning var tidigare frivillig under TIBER-ramverket men blir nu obligatorisk.
[INTERNAL-LINK: Managed Detection and Response -> /sv/managed-detection-response-services/]
Hur påverkas ICT-leverantörer till finanssektorn?
ICT-leverantörer befinner sig i korselden mellan NIS2 och DORA. Enligt EBA, 2024, identifierar DORA specifikt kritiska ICT-tredjepartsleverantörer som träffas av direkt tillsyn från europeiska myndigheter. Samtidigt kan dessa leverantörer omfattas av NIS2 som digitala tjänsteleverantörer.
En molnleverantör som tillhandahåller infrastruktur till svenska banker kan behöva uppfylla DORA:s krav på avtalsvillkor, revisionsrätt och exitstrategier gentemot sina finanskunder. Samma leverantör kan samtidigt vara registreringsskyldig under NIS2 som leverantör av digital infrastruktur.
Finansbolag bör kartlägga sina ICT-leverantörer och bedöma vilka som klassificeras som kritiska enligt DORA. Avtal med dessa leverantörer behöver uppdateras med DORA-specifika klausuler. Det handlar om tillgång till data, revisionsrättigheter, uppsägningstider och krav vid leverantörsbyte.
[PERSONAL EXPERIENCE] Vi ser att många finansbolag underskattar antalet ICT-leverantörer som berörs. En genomsnittlig svensk bank har ofta 50-100 ICT-avtal där DORA-krav kan vara relevanta. Prioritera baserat på kritikalitet och beroendegrad.
Hur bör svenska finansbolag agera nu?
En strukturerad approach krävs. Enligt FI, 2025, förväntar sig myndigheten att finansbolag redan har påbörjat DORA-implementeringen och kan visa framsteg vid tillsyn. DORA gäller sedan januari 2025, så väntan är inte ett alternativ.
Prioritet 1: Gap-analys mot DORA
Kartlägg er nuvarande efterlevnad mot DORA:s krav. Fokusera på ICT-riskhantering (artikel 6-16), incidentrapportering (artikel 17-23) och tredjepartshantering (artikel 28-44). Identifiera de största gapen och prioritera åtgärder.
Prioritet 2: Uppdatera incidenthanteringen
Säkerställ att ni kan klassificera och rapportera incidenter inom 4 timmar. Det kräver ofta dygnet-runt-bevakning, fördefinierade klassificeringskriterier och automatiserade rapporteringsmallar. Testa processen genom simulerade incidenter.
Prioritet 3: Granska ICT-leverantörsavtal
Gå igenom befintliga avtal med ICT-leverantörer. Identifiera vilka som saknar DORA-krävda klausuler och inled omförhandling. Prioritera avtal med leverantörer som stödjer kritiska affärsprocesser.
Prioritet 4: Säkerställ NIS2-registrering
Trots DORA:s företräde behöver finansbolag sannolikt registrera sig i MSB:s MCF-portal enligt NIS2:s nationella krav. Parallellkör denna registrering med DORA-implementeringen.
NIS2 registrering i MCF-portalen
Vanliga frågor om NIS2 och DORA för finansbolag
Behöver vi följa både NIS2 och DORA?
DORA tar företräde som lex specialis för de krav som överlappar. Enligt EU-kommissionen, 2024, innebär det att ni primärt följer DORA. Men NIS2-krav som saknar motsvarighet i DORA gäller fortfarande. I praktiken innebär det att DORA-efterlevnad täcker det mesta, med några NIS2-tillägg.
Vem rapporterar vi incidenter till?
Under DORA rapporterar ni allvarliga ICT-incidenter till FI. Under NIS2 rapporterar ni till CSIRT Sverige via MSB. En och samma incident kan kräva rapportering till båda, men med olika tidsfrister (4 timmar respektive 24 timmar). Bygg en gemensam process som hanterar båda flödena.
Gäller DORA även för mindre finansbolag?
Ja, men med proportionalitetsprincipen. Enligt EBA, 2024, ska kraven tillämpas proportionellt baserat på storlek, komplexitet och riskprofil. Mikroföretag undantas från vissa krav som TLPT-testning men ska fortfarande ha grundläggande ICT-riskhantering.
Hur förhåller sig DORA till ISO 27001?
ISO 27001 ger en bra grund men täcker inte DORA:s alla krav. Särskilt TLPT-testning, detaljerade ICT-tredjepartskrav och de specifika rapporteringstidsfristerna går bortom vad standarden omfattar. Använd ISO 27001 som bas och komplettera med DORA-specifika åtgärder.
Vad kostar DORA-implementering för en svensk bank?
Kostnaderna varierar kraftigt beroende på storlek och nuvarande mognad. Enligt McKinsey, 2024, beräknas medelstora europeiska finansbolag lägga 1-5 MEUR på DORA-implementering under en tvåårsperiod. Banker med befintlig ISO 27001-certifiering och mogen incidenthantering hamnar i den nedre delen av spannet.
Sammanfattning
Svenska finansbolag behöver primärt följa DORA för ICT-säkerhet, med NIS2 som kompletterande regelverk. DORA:s krav är konsekvent strängare eller mer detaljerade, särskilt gällande incidentrapportering (4 timmar), TLPT-testning och ICT-leverantörshantering. FI övervakar efterlevnaden av båda regelverken.
Börja med en DORA gap-analys, uppdatera incidenthanteringen till 4-timmarskravet och granska era ICT-leverantörsavtal. Parallellkör NIS2-registrering i MCF-portalen. Finansbolag som redan har ISO 27001 har ett försprång, men betydande insatser krävs oavsett utgångspunkt.
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.