norppa.io
Oppaat

NIS2-opas · 8 min

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

NIS2 ja DORA ovat kaksi EU:n kyberturvasäädöstä, jotka päätyvät vuonna 2026 todennäköisimmin samalle työpöydälle — ja ne sekoitetaan jatkuvasti. Niillä on yhteinen tavoite (toiminnan ja kyberin häiriönsietokyky) ja paljon samoja kontrolleja, mutta ne kohdistuvat eri organisaatioihin, ja toinen menee finanssialalla toisen edelle. Tämä opas selittää eron, päällekkäisyyden ja sen, kumpi koskee sinua — selkeällä vastauksella toimitusketju- ja kolmannen osapuolen tiimeille, jotka palvelevat kummankin alaisia asiakkaita.

Mitä kumpikin on

Molemmat tulivat samasta vuoden 2022 EU:n resilienssipaketista, mutta ne ovat eri säädöksiä, jotka kohdistuvat eri joukkoihin.

NIS2 — laaja, toimialarajat ylittävä

Direktiivi (saatetaan kansalliseen lakiin, määräaika 17.10.2024), joka kattaa keskeiset ja tärkeät toimijat energiassa, liikenteessä, terveydessä, vedessä, digitaalisessa infrastruktuurissa, julkishallinnossa, valmistuksessa ja muualla. Asettaa perustason riskienhallintatoimenpiteet (Art. 21) ja häiriöiden raportoinnin (Art. 23).

DORA — finanssiala, ICT-painotteinen

Asetus (suoraan sovellettava, sovelletaan 17.1.2025 alkaen) EU:n finanssialalle — pankit, vakuuttajat, sijoituspalveluyritykset, kryptovarapalvelut ja muut — sekä niiden kriittisten ICT-kolmansien osapuolten valvonta. Asettaa yksityiskohtaiset ICT-riskienhallinta-, testaus- ja kolmannen osapuolen säännöt.

Missä ne menevät päällekkäin

Jos olet toteuttanut toisen hyvin, paljon toisesta tuntuu tutulta. Molemmat vaativat:

  • Johdon vastuuvelvollisuus — johdon on omistettava ja valvottava kyber-/ICT-riskiä, ja se voidaan saattaa vastuuseen.
  • Riskienhallintatoimenpiteet — dokumentoidut, suhteutetut kontrollit koko tietoturvan elinkaaren ajan.
  • Häiriöiden raportointi — jäsennelty ilmoitus viranomaisille määritellyillä aikatauluilla.
  • Kolmannen osapuolen ja toimitusketjun riski — vastaat kyberriskistä, jonka palveluntarjoajasi tuovat.
  • Testaus ja jatkuva parantaminen — häiriönsietoa arvioidaan ajan kuluessa, ei sertifioida kerran.

Keskeinen sääntö: DORA on lex specialis finanssitoimijoille

Säädökset on suunniteltu niin, ettei synny kaksinkertaista sääntelyä. Finanssitoimijoille DORA on lex specialis — yksityiskohtaisempi laki, joka menee edelle. Kun DORA ja NIS2 kattaisivat saman ICT-riskienhallinnan tai häiriöraportoinnin alueen finanssitoimijalla, sovelletaan DORAn vaatimuksia, eivätkä vastaavat NIS2-säännökset kasaudu päälle.

Käytännössä pankki ei pyöritä kahta rinnakkaista kyberohjelmaa. Se noudattaa DORAa ICT-riskissä, testauksessa, häiriöraportoinnissa ja kolmannen osapuolen valvonnassa. NIS2 on edelleen merkityksellinen sitä ympäröivälle ekosysteemille — mukaan lukien monet sen toimittajat — mutta itse finanssitoimijaa ohjaa päällekkäisissä aiheissa DORA.

Lex specialis soveltuu, kun toimialakohtainen säädös asettaa vähintään NIS2:ta vastaavat vaatimukset. Raja voi olla vivahteikas sekamuotoisille konserneille; varmista asemasi toimivaltaiselta viranomaiselta.

Kumpi koskee sinua?

Nopea päätösapu. Rehellinen vastaus monelle organisaatiolle on 'toinen suoraan, toinen asiakkaidesi kautta'.

Finanssitoimija (pankki, vakuuttaja, sijoituspalveluyritys, kryptovarapalvelu…)

DORA soveltuu lex specialiksena ICT-riskiisi; vastaavat NIS2-säännökset eivät tule päälle.

Finanssialan ulkopuolinen kriittisen toimialan toimija (energia, terveys, liikenne, vesi, digitaalinen infra, julkishallinto…)

NIS2 soveltuu. Tarkista liitteen I/II toimialat ja kokorajat vahvistaaksesi luokkasi.

ICT-palveluntarjoaja finanssitoimijoille

Kohtaat DORAn kolmannen osapuolen säännöt asiakkaidesi sopimusten kautta; suurimmat voidaan nimetä kriittisiksi ja Euroopan valvontaviranomaiset (ESA:t) valvovat niitä suoraan. Jos olet myös liitteen I ICT-/hallinnoitujen palvelujen tarjoaja, voit kuulua myös NIS2:n piiriin.

NIS2-toimijan toimittaja

NIS2:n toimitusketjuvelvoite (Art. 21(2)(d)) tavoittaa sinut asiakkaidesi due diligencen kautta — kyselyt, näyttöpyynnöt ja jatkuva seuranta — vaikka sinua ei olisi suoraan nimetty.

Lopputulema toimitusketjutiimeille

Olipa asiakkaasi DORAn tai NIS2:n alainen, vaatimus sinua kohtaan lähenee: molemmat tekevät organisaatioista vastuullisia palveluntarjoajiensa kyberriskistä, ja molemmat kohtelevat häiriönsietoa jatkuvasti arvioitavana, ei kerran vuodessa todistettavana. Toimittajan kysymys on siis harvoin 'NIS2 vai DORA?' — se on 'pystynkö osoittamaan pyynnöstä, että tietoturvani pitää?'

Siksi kolmannen osapuolen varmistuksesta tulee jatkuvaa rajan molemmin puolin. Pankin DORA-kolmansien rekisteri ja valmistajan NIS2-toimittajaohjelma pyytävät toimittajilta samaa: ajantasaista, näyttöperusteista todistetta tietoturvatasosta, ei vanhentunutta taulukkoa.

Lähteet: Asetus (EU) 2022/2554 (DORA) sekä direktiivi (EU) 2022/2555 (NIS2). Vahvista päällekkäisyyden raja kansalliselta toimivaltaiselta viranomaiselta ja asianomaiselta ESA-ohjeistukselta.

Miten norppa.io auttaa?

norppa.io antaa jatkuvan, näyttöperusteisen varmuuden toimittajistasi ja ICT-palveluntarjoajistasi — juuri sen, mitä sekä NIS2 että DORA nyt odottavat. Jokainen seurattava domain tarkistetaan 100+ tarkistuspisteessä päivittäin, kriittiset tapahtumat kuuden tunnin välein, ja löydökset ovat vietävissä DORA-tietorekisteriisi tai NIS2-toimittajakansioosi.

Itsearviointikyselyt (SAQ) tallentavat prosessi- ja sopimuskontrollit, ja jokainen vastaus ristiinvalidoidaan reaaliaikaista teknistä profiilia vastaan — joten viittaapa asiakkaasi tilintarkastaja DORAan tai NIS2:een, voit näyttää ajantasaista, vahvistettua näyttöä vakuutusten sijaan.

Yksi lähde jatkuvalle kolmannen osapuolen näytölle

Katso esimerkkiraportti toimittajasta — löydökset, artiklakartoitus ja näyttö — kahdessa minuutissa.

Katso esimerkkiraportti

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.