Digitaliseringen av verksamhetens informationshantering skapar utmaningar och gap som kräver komplexa åtgärder för att systematiskt jobba med organisationens verksamhetsinformation och informationssäkerhet för att skapa motståndskraft och uppfylla regulatoriska krav. I många organisationer pågår just nu ett intensivt arbete för att säkerställa efterlevnad av NIS2-direktivet och DORA-förordningen. ArkivIT:s konsult Cecilia Borg har sammanfattat sina tankar om de nya regelverken i denna artikel.

NIS2-Direktivet och DORA-förordningen har utformats för att skydda EU:s digitala information och infrastruktur, stärka cybersäkerhetshanteringen och säkerställa operativ motståndskraft inom kritiska sektorer. För företag och organisationer innebär det att genomföra en proaktiv översyn av sina strategier för digital motståndskraft och se till att deras IKT-riskramverk, och hanteringen av kontinuitets- och incidenthanteringsplaner och tredjepartskontrakt överensstämmer med kraven och är en integrerad del av de berörda verksamheternas allmänna riskhanteringsprocess.

Strategin för digital motståndskraft behöver beakta alla typer av risker, t.ex. mänskliga misstag, systemfel, illasinnade aktörer, naturkatastrofer samt systemens fysiska och miljömässiga säkerhet för att skydda informationstillgångar och IKT- tillgångar. 

Organisationer som arbetar systematiskt och riskbaserat med sin informationshantering och informationssäkerhet har bättre nytta av sin information, säkerställer samtidigt avtals- och regelverksuppfyllnad, effektiv digitalisering med kvalitet, får ett holistiskt risk- och säkerhetsarbete och undviker kostnader för onödigt skydd. Samtidigt minimeras risker för oönskade händelser med negativa konsekvenser som kan påverka informationshanteringen.

Systematiskt informationssäkerhetsarbete innebär en förutbestämd ordning som säkerställer att organisationen tar de steg som behövs för att identifiera vilken information som är viktig, identifierar oönskade händelser med negativa konsekvenser som kan påverka informationshanteringen och sedan införa säkerhetsåtgärder och kontinuitetslösningar för att skydda den och upprätthålla kritisk verksamhet.

	NIS2-Direktiv	DORA-Förordning
Typ	Direktiv – NIS2 kräver att medlemsländerna inför reglerna i sin nationella lagstiftning.	Förordning – DORA är en direkt tillämplig EU-förordning, vilket innebär att den gäller direkt i medlemsländerna utan att behöva införas i nationell lagstiftning.
Antagen	14 december 2022	16 januari 2023
Implementerad	17 oktober 2024	17 januari 2025
Gäller för	Kritiska sektorer, tex energi, transport, hälso- och sjukvård och digital infrastruktur.	Speciellt anpassad för finansiella sektorn, såsom banker, försäkringsbolag och värdepappersföretag
Tillsyn	För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn.	Finansinspektionen

I både NIS2 och DORA är företagets riskhantering och hanteringen av cybersäkerhetsrisker ett huvudtema och förutsätter en effektiv styrning av organisationens informationshantering och informationssäkerhet. Båda regelverken innehåller strikta sanktioner vid bristande efterlevnad, inklusive höga administrativa böter.

NIS2 riktar sig i första hand till ett brett spektrum av sektorer som anses vara avgörande för samhälleligt och ekonomiskt välbefinnande. Vi pratar om energi, transport, hälso- och sjukvård och digital infrastruktur samt dess leverantörer. DORA är speciellt anpassat för finanssektorn och reglerar finansiella enheter, såsom banker, försäkringsbolag och värdepappersföretag samt dess leverantörer.

När det gäller implementeringen är DORA en direkt tillämplig EU-förordning, vilket innebär att den gäller direkt i medlemsländerna utan att behöva införas i nationell lagstiftning. NIS2 kräver däremot att medlemsländerna inför reglerna i sin nationella lagstiftning.

För företag innebär efterlevnad av NIS2 eller DORA inte bara att uppfylla lagstadgade krav utan också att bidra till ett säkrare och mer motståndskraftigt digitalt och finansiellt ekosystem i Europa. Tillsammans utgör de ett ramverk som tillgodoser både breda och sektorsspecifika behov, vilket säkerställer att företagen är väl förberedda för att navigera i komplexiteten i dagens operativa utmaningar gällande cybersäkerhet och digitalisering.

Artikel publicerad 2025-05-05.