norppa.io
Guider

NIS2-guide · 8 min

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

NIS2 och DORA är de två EU-regelverk för cybersäkerhet som troligast hamnar på samma skrivbord 2026 — och de blandas regelbundet ihop. De delar ett mål (operativ och cyberresiliens) och många kontroller, men riktar sig till olika organisationer, och för finanssektorn går det ena före det andra. Den här guiden förklarar skillnaden, överlappet och hur du avgör vilket som gäller dig — med ett tydligt svar för leveranskedje- och tredjepartsteam som betjänar kunder under endera.

Vad var och en är

Båda kom ur samma EU-resilienspaket från 2022, men de är olika instrument riktade till olika populationer.

NIS2 — bred, sektorsövergripande

Ett direktiv (införlivat i nationell rätt, frist 17 okt 2024) som omfattar väsentliga och viktiga aktörer inom energi, transport, hälsa, vatten, digital infrastruktur, offentlig förvaltning, tillverkning med mera. Fastställer grundläggande riskhanteringsåtgärder (art. 21) och incidentrapportering (art. 23).

DORA — finanssektorn, IKT-fokuserad

En förordning (direkt tillämplig, gäller från 17 jan 2025) för EU:s finanssektor — banker, försäkringsbolag, värdepappersföretag, kryptotillgångsleverantörer med flera — plus tillsyn över deras kritiska IKT-tredjepartsleverantörer. Fastställer detaljerade regler för IKT-riskhantering, resilienstestning och tredje part.

Var de överlappar

Om du har infört det ena väl känns mycket av det andra bekant. Båda kräver:

  • Ledningens ansvar — ledningen måste äga och utöva tillsyn över cyber-/IKT-risk och kan hållas ansvarig.
  • Riskhanteringsåtgärder — dokumenterade, proportionerliga kontroller över hela säkerhetslivscykeln.
  • Incidentrapportering — strukturerad anmälan till myndigheter inom definierade tidsfrister.
  • Tredjeparts- och leveranskedjerisk — du ansvarar för cyberrisken som dina leverantörer för in.
  • Testning och ständig förbättring — resiliens bedöms över tid, den certifieras inte en gång.

Nyckelregeln: DORA är lex specialis för finansiella enheter

De två regelverken är utformade för att inte dubbelreglera. För finansiella enheter är DORA lex specialis — den mer specifika lagen som har företräde. Där DORA och NIS2 skulle täcka samma mark för IKT-riskhantering eller incidentrapportering för en finansiell enhet gäller DORA:s krav, och motsvarande NIS2-bestämmelser staplas inte ovanpå.

I praktiken driver en bank inte två parallella cyberprogram. Den följer DORA för IKT-risk, testning, incidentrapportering och tredjepartstillsyn. NIS2 är fortsatt relevant för det omgivande ekosystemet — inklusive många av dess leverantörer — men den finansiella enheten själv styrs av DORA på de överlappande ämnena.

Lex specialis gäller när den sektorsspecifika rättsakten ställer krav som är minst likvärdiga med NIS2. Gränsen kan vara nyanserad för blandade koncerner; bekräfta din status hos din behöriga myndighet.

Vilken gäller dig?

En snabb beslutshjälp. Det ärliga svaret för många organisationer är 'det ena direkt, det andra via dina kunder'.

En finansiell enhet (bank, försäkringsbolag, värdepappersföretag, kryptotillgångsleverantör…)

DORA gäller som lex specialis för din IKT-risk; motsvarande NIS2-bestämmelser tillkommer inte.

En kritisk aktör utanför finans (energi, hälsa, transport, vatten, digital infrastruktur, offentlig förvaltning…)

NIS2 gäller. Kontrollera sektorerna i bilaga I/II och storlekströsklarna för att bekräfta din nivå.

En IKT-leverantör till finansiella enheter

Du omfattas av DORA:s tredjepartsregim via dina kunders avtal; de största leverantörerna kan utpekas som kritiska och stå under direkt tillsyn av ESA. Om du också är en IKT-/managed service-leverantör enligt bilaga I kan du även omfattas av NIS2.

En leverantör till en NIS2-aktör

NIS2:s leveranskedjekrav (art. 21.2 d) når dig via dina kunders due diligence — enkäter, bevisförfrågningar och löpande övervakning — även utan direkt utpekning.

Slutsatsen för leveranskedjeteam

Oavsett om din kund styrs av DORA eller NIS2 konvergerar kravet på dig: båda regelverken gör organisationer ansvariga för cyberrisken hos sina leverantörer, och båda behandlar resiliens som något som bedöms löpande snarare än intygas en gång om året. För en leverantör är frågan därför sällan 'NIS2 eller DORA?' — den är 'kan jag på begäran visa att min säkerhet håller?'

Därför blir tredjepartssäkring löpande på båda sidor av linjen. En banks DORA-tredjepartsregister och en tillverkares NIS2-leverantörsprogram ber leverantörer om samma sak: aktuellt, bevisbaserat underlag för säkerhetsnivån — inte ett föråldrat kalkylblad.

Källor: Förordning (EU) 2022/2554 (DORA) samt direktiv (EU) 2022/2555 (NIS2). Bekräfta överlappsgränsen med din nationella behöriga myndighet och relevant ESA-vägledning.

Hur norppa.io hjälper

norppa.io ger dig löpande, bevisbaserad säkring över dina leverantörer och IKT-leverantörer — precis det som både NIS2 och DORA nu förväntar sig. Varje övervakad domän kontrolleras mot 100+ kontrollpunkter dagligen, kritiska händelser var sjätte timme, med fynd exporterbara till ditt DORA-informationsregister eller din NIS2-leverantörsakt.

Självskattningsformulär (SAQ) fångar process- och avtalskontroller, och varje svar korsvalideras mot den aktuella tekniska profilen — så oavsett om din kunds revisor hänvisar till DORA eller NIS2 kan du visa aktuella, bekräftade bevis i stället för påståenden.

En källa för löpande tredjepartsbevis

Se en exempelrapport om en leverantör — fynd, artikelmappning och bevis — på två minuter.

Visa exempelrapport

Relaterade guider

NIS2 och leveranskedjekravet — vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.