1. Abion
  2. /
  3. Insights & News
  4. /
  5. NIS2/DORA: Därför har cybersäkerhet blivit ett ledningsansvar

NIS2/DORA: Därför har cybersäkerhet blivit ett ledningsansvar

  • Domains
  • Firstpage
  • Strategy
  • Websecurity
NIS2 and DORA

Införandet av NIS2-direktivet och DORA-förordningen innebär ett skifte i hur cybersäkerhet regleras i Europa. Cyberrisk ses inte längre som en teknisk fråga som kan lämnas helt till IT. Den behandlas nu som operativ risk, där ansvaret ligger hos ledning och styrelse.

För organisationer i reglerade eller samhällsviktiga sektorer höjs ribban för förebyggande arbete, tillgänglighet och styrning som går att visa upp. Tillsynsmyndigheter tittar inte bara på vilka säkerhetsverktyg som finns. De bedömer om ni har riskbaserade åtgärder på plats, om de följs upp, och om ni kan visa hur ni upptäcker, hanterar och rapporterar incidenter.

E-post, domäner och DNS är alla centrala för ett företags säkerhetsarbete. De är både affärskritiska och bland de mest utnyttjade angreppsytorna.

Organisationer som bygger på ett grundskydd och en reaktiv modell, dvs att man främst agerar när något redan hänt, får ofta svårt att nå upp till de nya kraven.

I den här artikeln går vi igenom varför NIS2 och DORA har införts, vad de betyder i praktiken och hur ni kan möta kraven på ett pragmatiskt och hållbart sätt.

Därför införs NIS2 och DORA

EU tog fram NIS2 och DORA som svar på en förändrad hotbild och den faktiska påverkan cyberincidenter har på ekonomi, samhälle och kritiska tjänster.

  • NIS2 stärker och breddar det tidigare NIS-ramverket och utökar vilka organisationer som omfattas. Syftet är att höja den gemensamma nivån av cybersäkerhet i EU, särskilt hos verksamheter som är viktiga för samhälle, ekonomi och förtroende.
  • DORA är en sektorsspecifik förordning för finansmarknaden. Den innehåller enhetliga krav på att finansföretag och deras digitala leverantörer ska kunna stå emot, hantera och återhämta sig från så kallade IKT-relaterade incidenter (som cyberattacker och systemfel).

Tillsammans speglar NIS2 och DORA vår digitala värld. Cyberattacker är sällan isolerade IT-problem, de slår mot samhällsviktiga tjänster, påverkar leverantörskedjor och urholkar tillit.

Angreppsmetoderna har utvecklats snabbt, inte minst med hjälp av AI.
Phishing och identitetskapning, domänmissbruk och störningar via DNS är vanliga startpunkter för allvarliga incidenter och de tar sig ofta förbi standardskydd.

Regelverken flyttar därför fokus från:

  •  Från enskilda verktyg → strukturerad riskhantering och motståndskraft
  •  Från IT-ansvar → till ansvar på ledningsnivå
  •  Från reaktiv incidenthantering → till förebyggande arbete och kontroll som går att belägga

Frågan är vilka risker ni har minimerat, vilka incidenter ni har stoppat och hur ni kan rapportera om det.

Vad den nya lagen innebär i praktiken

En av de största förändringarna i NIS2 är hur ansvar tydliggörs. Cybersäkerheten ska inte ses som en fråga enbart för de som ansvarar för IT-driften.

Det finns nu ett uttalat ansvar för ledningen att godkänna riskhanteringsåtgärder för cybersäkerhet, följa upp genomförandet samt ställas till svars vid överträdelser.

Det betyder förstås inte att styrelse och ledning ska kunna allt tekniskt. Men de behöver förstå hur cyberrisk påverkar verksamheten, vilka förebyggande åtgärder som finns, och hur incidenter skulle rapporteras, hanteras och förklaras.

DORA förstärker samma tanke inom finansbranschen. Här är säkerheten en förutsättning för driftskontinuitet, det räcker inte att kunna svara på incidenter. Man förväntas utforma processer och system som tål störningar.

Vilka påverkas mest av NIS2 och DORA?

NIS2 och DORA breddar EU:s cybersäkerhetskrav rejält. De omfattar inte bara “kritiska” verksamheter och finans. De omfattar också digitala och infrastrukturella leverantörer som stödjer dem.

  • NIS2 berör bland annat väsentliga och viktiga entiteter inom energi, transport, hälso- och sjukvård, bank och finansmarknadsinfrastruktur, offentlig förvaltning samt digital infrastruktur.
  • DORA riktar sig i stort sett till alla företag inom finanssektorn när det gäller IKT-risker. Förordningen innebär bland annat högre krav på företagen att hantera och rapportera risker inom informations- och kommunikationsteknologi (IKT), testa den digitala operativa motståndskraften och hantera IKT-relaterade tredjepartsrisker. 

Många organisationer berörs av båda, särskilt de som levererar digital infrastruktur eller säkerhetstjänster till finans eller samhällsviktiga aktörer. Oavsett, ansvar ska vara tydligt, leverantörskedjan räknas in och tillsynsmyndigheten vill se bevis på kontroll.

Vad tillsynsmyndigheter förväntar sig

Hur NIS2 införs i lagen varierar mellan olika länder och kraven kan variera mellan olika branscher. Men kärnan är ofta densamma:

Företag förväntas kunna visa upp

1. Riskhantering och förebyggande arbete

  •  Identifiering av centrala angreppsytor (t.ex. e-post, domäner, DNS, infrastruktur)
  •  Förebyggande kontroller, inte bara incidentberedskap
  • Löpande övervakning, inte punktinsatser

NIS2 beskriver riskhanteringsåtgärder som både tekniska, driftsrelaterade och organisatoriska. Och lyfter bland annat incidenthantering, driftskontinuitet, leverantörskedjesäkerhet, sårbarhetshantering och utbildning.

2. Upptäckt, rapportering och spårbarhet

  •  Förmåga att upptäcka incidenter tidigt
  •  Rapportering inom givna tidsfrister (beroende på regelverk och nationell implementering)
  •  Underlag som visar vad som stoppades, upptäcktes och åtgärdades

3. Tillgänglighet och motståndskraft

  •  Skydd mot avbrott och överbelastningsattacker
  • Arkitektur som minskar “single points of failure”
  •  Infrastruktur som klarar tillväxt och ökande komplexitet

4. Styrning och ansvar

  • Tydligt ägarskap för cyberrisk
  •  Dokumentation som håller vid revision och tillsyn
  •  Insyn och uppföljning på ledningsnivå

Konsekvenserna av bristande efterlevnad

Följderna handlar inte bara om eventuella sanktionsavgifter. Organisationer som drabbas av incidenter utan att kunna visa att de haft rimliga kontroller riskerar tillsyn, krav på åtgärdsplaner och tydliga förtroendeskador.

Det finns också en ledningsdimension. När incidenter inträffar stannar ansvaret inte vid teknikteamet. Ledning och styrelse förväntas kunna stå för beslut, prioriteringar, beredskap och uppföljning.

Möt kraven utan att bygga mer komplexitet

Att nå upp till NIS2 och DORA kräver sällan en total omställning. Ofta handlar det om att stärka förebyggande skydd och synlighet där ni redan är mest sårbara.

E-post är ett tydligt exempel. Det är en av de vanligaste ingångarna för angrepp. Kontroller som stoppar riktade attacker innan de når användaren minskar både operativ risk och regelefterlevnadsrisk.

Domänhantering är ett annat område som ofta underskattas. Med tiden samlar många organisationer på sig äldre och närliggande domäner som fortfarande kan missbrukas. Central överblick och kontinuerlig bevakning minskar risken för imitation och bedrägerier, och gör ansvar enklare att visa.

DNS-skydd är lika viktigt, eftersom problem med DNS kan omedelbart slå ut digitala tjänster. Därför blir tillgänglighet och kontinuitet en reell tillsynsfråga.

Efterlevnad handlar om kontroll, skydd och rapportering

Ett genomgående tema i både NIS2 och DORA är att organisationen ska kunna visa:

  •  vilka risker som identifierats
  •  vilka incidenter som förebyggts
  •  hur tillgänglighet och motståndskraft säkras
  •  vem som är ansvarig

Nästa steg: en nulägesanalys

För många är bästa första steget att få en tydlig, faktabaserad bild av nuläget inom e-post, domäner och DNS, utan att direkt dra igång ett stort förändringsprogram.

En avgränsad genomlysning eller en proof-of-concept ger svar på:

  •  Vilka hot missar vi i dag?
  •  Var finns de största glappen mot kraven?
  •  Vilket underlag kan vi lägga fram vid tillsyn eller incidentgenomgång?

Det gör det lättare att fatta beslut, både tekniskt och på ledningsnivå och flyttar diskussionen från teori till praktik.

Så kan vi hjälpa er

Hör av er om ni vill stärka skyddet där angreppen oftast börjar, via e-post, domäner och DNS. Vi visar snabbt vad som slinker igenom i dag och vilka kontroller som ger bäst effekt.

Börja med en kostnadsfri proof-of-concept på Avanan, en av våra tekniska lösningar som stärker ert skydd för inkommande e-post.

Kontakta oss för rådgivning

TJÄNSTER

Utforska våra e-postsäkerhetslösningar

Här är en snabb överblick över våra huvudsakliga lösningar:

Email Compromise Protection (ECP)

Förhindrar obehörig åtkomst och personifieringsattacker, vilket håller er kommunikation säker.

Verified Mark Certificate (VMC)

Ökar varumärkesförtroendet genom att visa er logotyp i inkorgar, samtidigt som det säkerställer efterlevnad av autentiseringsstandarder.

Avanan

En molnbaserad lösning som skyddar mot nätfiske, utpressningsprogram och andra avancerade hot med molnbaserad, AI-driven säkerhet.

SPF Flattening

Förenklar avsändarautentisering och minskar risken för e-postförfalskning.

Uppfyller ni kraven för NIS2?

Vi hjälper er förstå kraven för NIS2/DORA, prioritera rätt och stärka ert e-postskydd.

Relaterade artiklar

E-postsäkerhetstjänster
Därför är e-post en stor säkerhetsrisk – och så förebygger ni den
Firstpage
Websecurity
E-post är ett av företagens mest använda verktyg och samtidigt ett av de mest sårbara. För att skydda organisation...
Läs mer
Thumbnail-Guide-dotBrand w BG
dotBrand gTLDs: Framtiden för varumärkesidentitet online
Domänhantering
Detta whitepaper visar hur dotBrand gTLD:er ger företag större kontroll, säkerhet och förtroende online.
Läs mer

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Abion AB, orgnr. 556633-6169 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata