Implementeringen af NIS2 er sektorspecifik. På det finansielle område blev direktivet implementeret i Danmark den 2. maj 2024 via lovændringen L 122 til Lov om finansiel virksomhed (NIS2-implementeringen). Det betyder, at operatører af digitale finansielle infrastrukturer (operatører) fremadrettet skal leve op til de nye krav. Operatørerne skal blandt andet have et governance- og kontrol rammeværk til styring af it- og cyberrisici, inklusive risici for sikkerheden i net- og informationssystemer.
Hvilke aktører er omfattet af NIS2?
De skærpede krav i NIS2-implementering er rettet mod operatører af finansielle digitale infrastrukturer, herunder fælles datacentraler og it-operatører af detailbetalingssystemer. Finanstilsynet kan udpege operatører, der leverer kritiske tjenester til driften af finansielle virksomheder. Finanstilsynet kan udpege en operatør, hvis følgende to kriterier er opfyldt:
- Virksomheden udbyder digital infrastruktur eller forvaltning af IKT-tjenester (business-to-business)
- Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er kritiske og vigtige for finansielle virksomheder.
Finanstilsynet offentliggør hvilke virksomheder, der er udpeget som operatører på tilsynets hjemmeside.
Bliver alle operatører udpeget af Finanstilsynet?
Det er endnu uklart i hvilket omfang Finanstilsynet vil udpege operatører af finansielle digitale infrastrukturer, og i hvor høj grad virksomhederne selv skal oplyse til Finanstilsynet, at de driver virksomhed som operatør. Det kan derfor være en god idé, at virksomheden selvstændigt foretager en vurdering af, om den kan betragtes som en operatør, og kortlægger hvilke krav den skal leve op til, hvis den er omfattet af NIS2-implementeringen.
Sådan implementerer du DORA-kravene
Hent vores tjekliste
Samspillet mellem NIS2-implementering og DORA
NIS2-implementeringen styrker kravene til operatørerne på linje med standarderne i EU-forordningen, Digital Operational Resilience Act (DORA). Finansielle virksomheder skal fremadrettet leve op til en række nye krav i DORA forordningen for at udbygge, forbedre og monitorere den digitale operationelle modstandsdygtighed i den finansielle sektor. DORA stiller imidlertid alene krav til de finansielle virksomheder og visse krav til udbydere af IKT-tjenesteudbydere. Operatørerne, som er omfattet af NIS2-implementeringen, er altså ikke omfattet af DORA.
Aktør / Regulering |
NIS2 |
DORA |
|---|---|---|
| Finansiel virksomhed | X |
|
| Operatør af finansiel digital infrastruktur | X |
|
| Hvornår vil reglerne træde i kraft? | 18. oktober 2024 Visse krav gælder først fra tidspunktet for DORA’s ikrafttræden. |
17. januar 2025 |
For at sikre ensrettet regulering på det finansielle område er kravene i NIS2 blevet implementeret således, at reglerne tager hensyn til DORA. Det betyder, at NIS2-implementeringen i høj grad afspejler DORA, og dermed går kravene til operatørerne videre end de minimumskrav, som er fastsat i NIS2. De nye regelsæt vil erstatte de nuværende regler for it-sikkerhed, herunder i ledelsesbekendtgørelserne og outsourcingbekendtgørelsen.
Overblik over kravene til finansielle virksomheder og operatører på tværs af NIS2 og DORA
| Område | NIS2 | DORA | Kort beskrivelse af NIS2-kravet | Overordnet om forholdet mellem NIS2-kravet og DORA-kravet. |
| Governance- og kontrol rammeværk for risikostyring | ✓ | ✓ |
|
DORA opstiller skærpede krav til rammens indhold ift. NIS2. |
| Krav til ledelsen | ✓ | ✓ |
|
DORA oplister flere krav til ledelsen end NIS2. |
| Foranstaltninger til it- og cybersikkerhed | ✓ | ✓ |
|
DORA stiller flere og mere specificerede krav til foranstaltninger. |
| Overvågning, styring og hændelsesrapportering |
✓ | ✓ |
|
DORA stiller skærpede krav til proces for styring af hændelser. ESA’erne har udarbejdet tekniske standarder for klassificering af væsentlighedstærsklerne. |
| Trusselsbaseret penetrationstest (TLPT) | ✓ | ✓ |
|
DORA har skærpede krav til TLPT. Visse operatører vil være underlagt samme krav for TLPT som i DORA. |
| Styring af tredjepartsrisici | ✓ | ✓ |
|
DORA stiller skærpede krav til tredjepartsrisikostyring ESA’erne har udarbejdet tekniske standarder til indholdet af strategien for tredjepartsrisikostyring. ESA’erne har udarbejdet tekniske standarder til udformning registeret. |
| Kontraktsbestemmelser | ✓ | ✓ |
|
DORA stiller ét øvrigt krav til kontraktsbestemmelser for ordninger, der ikke understøtter kritiske eller vigtige funktioner. DORA specificerer indholdet af kontraktsbestemmelsen om løbende overvågning af præstationsniveau hos tredjepartsudbyderen for ordninger, der understøtter kritiske og vigtige funktioner. |
| Frivillig informationsudveksling og oplysningspligt | ✓ | ✓ |
|
Frivillig ordning for informationsudveksling efter reglerne i DORA. |
Hvordan påvirker NIS2-implementeringen og DORA leverandørforholdene i den finansielle sektor?
1. Finansielle virksomheder og operatører af finansielle digitale infrastrukturer
Finansielle virksomheder er omfattet af DORA, der blandt andet fastsætter krav til virksomhedens IKT-governance, -risikostyring, og -kontroller. Tilsvarende regler gælder for operatører. NIS2-implementeringen stiller krav til operatørernes risikostyring af it- og cyberrisici, it- og cyberrelateret hændelsesrapportering, trusselsbaseret penetrationstest (TLPT), risikostyring af tredjeparter og kontrakter.
NIS2-implementeringen betyder også, at operatører pålægges en række krav, der skal sikre at deres kunder kan leve op til kravene i DORA. Operatøren skal blandt andet kunne dokumentere sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske eller vigtige funktioner hos kunder, der er omfattet af DORA. Det indebærer, at operatøren skal identificere forretningsfunktioner, der er kritiske eller vigtige for operatørens kunder.
NIS2 regulering
- IT-rammeværk
- Ledelse
- IT-foranstaltninger
- Oplysningspligt
- Tredjepartsrisici
- Kontrakter
- Kontrol og indberetning
- Informationsudveksling
IT-rammeværk
Operatøren skal have en forvaltnings- og kontrolramme til styring af it- og cybersikkerhedsrisici, der som minimum omfatter strategier, politikker, procedurer og foranstaltninger. Rammen skal dokumenteres og revideres mindst en gang om året.
Ledelse
Det øverste ledelsesorgan skal føre tilsyn med og har ansvaret for gennemførelse af forvaltnings- og kontrolrammen og foranstaltninger til styring af it- og cyberrisici. Medlemmer af ledelsen skal aktivt opretholde en tilstrækkelig faglig kompetence og viden, som er nødvenlig for at kunne vurdere it- og cyberrisici.
IT-foranstaltninger
Operatøren skal sikre, at it-aktiver er pålidelige og har tilstrækkelig kapacitet samt løbende identificere alle kritiske forretningsfunktioner, indføre nødvendige politikker og procedurer, herunder om it-driftsstabilitet, beredskabsplaner, ordninger, krisestyringstiltag m.v., indfører overvågningsmekanismer, sikre dokumentation, samt placere et tilsyn i uafhængige kontrolfunktioner.
Oplysningspligt
Operatøren har en oplysningspligt over for Finanstilsynet, som herunder inkluderer oplysninger om den relevante sektor og delsektor samt typen af enhed og ændring af disse.
Tredjepartsrisici
Operatøren skal styre it-tredjepartsrisici, som en integreret del af it-rammeværket, herunder ved at indføre politikker og kontroller til styring af it- og cyberrisici. Operatøren skal føre et register over alle it-kontrakter med tredjepartsudbyderen.
Kontrakter
Kontrakter mellem operatøren og tredjepartsudbyderen skal leve op til en række nærmere specificerede krav. Der skelnes mellem kontraktslige ordninger, der understøtter kritiske eller vigtige forretningsfunktioner og dem, der ikke gør.
Kontrol og indberetning
Operatøren skal fastlægge en proces for overvågning, styring og indberetning, samt registrere alle it- og cyberhændelser og væsentlige cybertrusler. Ved væsentlige hændelser skal operatøren indsende en hændelsesunderretning samt en endelig rapport til Finanstilsynet. Operatøren skal løbende teste effektiviteten af sine foranstaltninger. Finanstilsynet kan pålægge operatøren, at gennemgå testen i overensstemmelse med de regler, der gælder efter DORA.
Informationsudveksling
Operatøren kan frivilligt indgå i en ordning om udveksling af oplysninger og efterretning af cybertrusler i overensstemmelse med reglerne i DORA.
Der er et overlap mellem kravene til it- og cybersikkerhed i henhold til NIS2-implementeringen og DORA. Operatøren er i stort omfang underlagt DORA-tilsvarende regler, dog med visse undtagelser. Det skal understøtte en lettere adgang til relevante og nødvendige oplysninger mellem den finansielle virksomhed og operatøren. Samtidig skaber det bedre vilkår for, at den finansielle virksomhed kan leve op til de krav, som den selv er underlagt i DORA.
2. Finansielle virksomheder og IKT-tredjepartsudbydere
DORA definerer virksomheder, der leverer IKT-tjenester til de finansielle virksomheder, som ‘IKT-tredjepartsudbydere’.
Finansielle virksomheder, der indgår i kontraktlige ordninger med IKT-tredjepartsudbydere, har ansvaret for at virksomheden overholder DORA-forordningen. Derfor skal virksomhedens IKT-tredjepartsrisikostyring være en integreret del af dens rammeværk for IKT-risikostyring. Foruden et governance- og kontrol rammeværk samt nødvendige foranstaltninger, medfører ansvaret for IKT-tredjepartsrisici, at den finansielle virksomhed skal vurdere deres aftaler med alle relevante tredjepartsudbydere. De kontraktlige ordninger mellem den finansielle virksomhed og tredjepartsudbydere skal leve op til en række specifikke krav, hvor der skelnes mellem kontrakter, der understøtter kritiske eller vigtige forretningsfunktioner og øvrige kontrakter, der ikke gør.
Alle kontraktlige ordninger vedrørende den finansielle virksomheds brug af IKT-tjenester skal indføres i et register, som skal indberettes til Finanstilsynet. Virksomheden skal som minimum en gang årligt opdatere tilsynet om nye IKT-ordninger. Registeret skal i øvrigt stilles til rådighed for Finanstilsynet, hvis myndigheden anmoder om adgang. ESA’erne har udarbejdet tekniske standarder med henblik på at fastlægge en standardmodel for registerordningen (ITS findes her).
3. Operatører af finansielle digitale infrastrukturer og tredjeparter
NIS2-implementeringen vil også få betydning for tredjeparter, der leverer it-tjenester til operatører af finansielle digitale infrastrukturer. Det er operatørens opgave at sikre, at aftaler med tredjeparter lever op til de nye skærpede krav, der blandt andet indebærer koncentrationsrisici og en række specifikke krav til kontraktsbestemmelser samt opretholdelse af register over alle it-ordninger med tredjepartsudbydere. Operatøren har det fulde ansvar for overholdelse af forpligtelserne i henhold til NIS2, og det er derfor en god idé at revidere og genforhandle aftaler med tredjepartsudbydere, der ikke lever op til de centrale kontraktbestemmelser inden reglerne finder anvendelse. Alle ordninger, der understøtter kritiske eller vigtige funktioner skal indberettes til Finanstilsynet.
Overblik over krav til kontraktsbestemmelser efter NIS2 |
Type |
|---|---|
| Alle it-kontrakter skal indeholde: | |
| Fuldstændig klar fastlæggelse af rettigheder og forpligtelser mellem operatøren og tredjepartsudbyderen på skrift. | alle |
| Den samlede aftale skal dokumenteres i ét samlet dokument. | alle |
| Fuldstændig beskrivelse af alle funktioner og it-tjenester. | alle |
| Angivelse af hvorvidt leverancen understøtter en kritisk eller vigtig funktion. | alle |
| Geografisk angivelse af leveringssted, databehandlingssted og lagringssted. | alle |
| Bestemmelser om databeskyttelse. | alle |
| Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data. | alle |
| Beskrivelser af serviceniveau, ajourføringer og revisioner. | alle |
| Bestemmelser om tredjepartsudbyderens bistandsforpligtelser i forbindelse med it-hændelser. | alle |
| Bestemmelser om tredjepartsudbyderens samarbejdsforpligtelse overfor Finanstilsynet. | alle |
| Opsigelsesrettigheder. | alle |
| It-kontrakter, der understøtter kritiske eller vigtige funktioner, skal i øvrigt indeholde: | |
| En fuldstændig beskrivelse af serviceniveauet med præcise kvantitative og kvalitative præstationsmål. | Kritisk eller vigtig |
| Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbydere. | Kritisk eller vigtig |
| Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker. | Kritisk eller vigtig |
| En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest. | Kritisk eller vigtig |
| En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring. | Kritisk eller vigtig |
| Bestemmelser om exitstrategier. | Kritisk eller vigtig |
4. Finansielle virksomheder, operatører af finansielle digitale infrastrukturer og tredjeparter.
NIS2-implementeringen og DORA skaber tilsammen ensrettethed i regelanvendelsen inden for IT- og cybersikkerhedsområdet, hvilket underlægger henholdsvis finansielle virksomheder og operatører overensstemmende regulatoriske krav og forbedrer muligheden for at al nødvendig information fra underleverandøren kan nå frem til den finansielle virksomhed gennem operatøren. Det er derfor vigtigt at iagttage hvilke krav ens organisation er underlagt, og hvordan opfyldelsen af disse hænger sammen med den øvrige regulering. Reglerne bør efterleves så effektivt og hensigtsmæssigt som muligt. Da både finansielle virksomheder og operatører skal have et register over IT-kontrakter, kan det være en fordel, at operatørerne fører registreret efter standarderne i DORA, så de finansielle virksomheder får overblik over fjerdeparter.
Konkret kan vi hjælpe med
- At finde ud af, om I er omfattet af direktivet.
- At finde mangler i forhold til direktivets krav.
- At implementere både organisatoriske og tekniske krav i jeres organisation.
- At opbygge de nødvendige kompetencer og ressourcer til at håndtere de nye krav i ledelsen.
Sådan implementerer du NIS2-kravene
Hent vores trin-for-trin-guide
