Cybersäkerhet i Europa har gått in i en ny fas. Med NIS2-direktivet och DORA-förordningen flyttas ansvaret tydligt bort från att vara en ren IT-fråga till att bli en operativ och affärskritisk risk, med ägarskap hos ledning och styrelse.

För organisationer inom reglerade, finansiella eller samhällsviktiga verksamheter innebär detta skärpta krav på både förebyggande åtgärder, tillgänglighet och styrning. Det räcker inte längre att peka på vilka säkerhetsverktyg som finns installerade. Myndigheter och tillsynsorgan bedömer i stället om risker identifieras systematiskt, om åtgärder följs upp och om organisationen kan visa hur incidenter upptäcks, hanteras och rapporteras.

E-post, domäner och DNS är centrala delar av denna helhet. De är affärskritiska funktioner – och samtidigt några av de mest frekventa angreppspunkterna.

Varför införs NIS2 och DORA?

Bakgrunden till NIS2 och DORA är en förändrad hotbild och en ökad insikt om vilka konsekvenser cyberincidenter faktiskt får. Avbrott, intrång och manipulation påverkar inte bara enskilda system, utan kan slå mot samhällsfunktioner, leverantörskedjor och förtroende.

NIS2 är en vidareutveckling av det tidigare NIS-regelverket och omfattar betydligt fler organisationer. Målet är att höja den gemensamma cybersäkerhetsnivån inom EU, särskilt inom verksamheter som är viktiga för samhälle, ekonomi och stabilitet.

DORA är ett kompletterande regelverk riktat specifikt mot finanssektorn. Fokus ligger på digital operativ motståndskraft – förmågan att förebygga, hantera och återhämta sig från IKT-relaterade incidenter såsom cyberangrepp, driftstörningar och leverantörsproblem.

Gemensamt för båda regelverken är synsättet att cyberrisk inte är isolerad till IT-miljön. Den påverkar hela verksamheten.

Från verktyg till styrning och motståndskraft

Samtidigt som regelverken skärps har angreppsmetoderna utvecklats snabbt, inte minst genom ökad automatisering och AI-baserade attacker. Phishing, identitetskapning, domänmissbruk och DNS-relaterade störningar är ofta startpunkten för större incidenter – och de tar sig ofta förbi traditionella standardskydd.

Därför flyttas fokus tydligt:

• från enskilda säkerhetsprodukter till riskbaserad styrning
  
  

• från IT-ansvar till ansvar på ledningsnivå
  
  

• från reaktiv incidenthantering till förebyggande arbete som går att visa upp
  
  

Frågan blir inte bara vad ni har installerat, utan vilka risker som minimerats, vilka incidenter som stoppats och hur detta kan redovisas.

Vad innebär NIS2 och DORA i praktiken?

En av de största förändringarna i NIS2 är att ansvaret tydliggörs. Ledningen ska godkänna riskhanteringsåtgärder, följa upp genomförandet och kan hållas ansvarig vid brister.

Det betyder inte att styrelse eller ledning måste bli tekniska experter. Däremot behöver de förstå:

• hur cyberrisk påverkar verksamheten
  
  

• vilka förebyggande kontroller som finns
  
  

• hur incidenter skulle hanteras, rapporteras och förklaras
  
  

DORA förstärker samma princip inom finanssektorn. Här räcker det inte att kunna reagera på incidenter – systemen och processerna ska vara byggda för att tåla störningar.

Vilka organisationer omfattas?

NIS2 omfattar bland annat verksamheter inom energi, transport, hälso- och sjukvård, bank, offentlig sektor samt digital infrastruktur. Även leverantörer till dessa aktörer påverkas, eftersom leverantörskedjan ingår i riskbedömningen.

DORA omfattar i praktiken hela finanssektorn och ställer krav på hantering av IKT-risker, tester av operativ motståndskraft samt kontroll över tredjepartsleverantörer.

För många organisationer innebär detta att både det egna ansvaret och kraven från kunder och partners skärps samtidigt.

Vad tillsynsmyndigheter tittar på

Även om implementeringen varierar mellan länder och branscher är förväntningarna ofta likartade. Organisationer behöver kunna visa:

1. Riskhantering och förebyggande arbete

Identifierade angreppsytor (t.ex. e-post, domäner, DNS), förebyggande kontroller och löpande övervakning.

2. Upptäckt och rapportering

Förmåga att upptäcka incidenter tidigt, rapportera inom givna tidsramar och visa vad som stoppats eller åtgärdats.

3. Tillgänglighet och motståndskraft

Skydd mot avbrott, minimering av single points of failure och arkitektur som klarar tillväxt och komplexitet.

4. Styrning och ansvar

Tydligt ägarskap, dokumentation som håller vid revision samt insyn på ledningsnivå.

Konsekvenser av bristande efterlevnad

Konsekvenserna handlar inte bara om sanktionsavgifter. Organisationer som drabbas av incidenter utan att kunna visa rimliga kontroller riskerar tillsyn, krav på åtgärdsplaner och betydande förtroendeskador.

När incidenter inträffar förväntas dessutom ledning och styrelse kunna stå för beslut, prioriteringar och uppföljning – inte bara hänvisa till teknikteamet.

Uppfyll kraven utan att bygga mer komplexitet

Att möta NIS2 och DORA kräver sällan en total ombyggnad. Ofta handlar det om att stärka skydd och synlighet där riskerna redan är störst.

E-post är ett tydligt exempel, liksom domänhantering och DNS. Bristande kontroll här kan snabbt leda till både säkerhetsincidenter och tillgänglighetsproblem – vilket gör dem till faktiska tillsynsfrågor.

Nästa steg: skapa en tydlig nulägesbild

För många organisationer är ett pragmatiskt första steg att genomföra en avgränsad nulägesanalys, snarare än att direkt dra igång ett omfattande förändringsprogram.

En sådan genomlysning ger svar på:

• vilka hot som missas i dag
  
  

• var de största glappen mot regelverken finns
  
  

• vilket underlag som kan visas vid tillsyn eller incident
  
  

Det flyttar diskussionen från teori till praktik – och gör det enklare att fatta beslut, både tekniskt och på ledningsnivå.