NIS 2-direktivet har implementerats i svensk rätt genom cybersäkerhetslagen och har infört nya krav för verksamheter som bedriver samhällsviktig verksamhet. Regleringen har även betydelse för vissa finansiella företag, trots att dessa i stor utsträckning omfattas av DORA-förordningen. En central fråga är därför om finansiella företag också omfattas av anmälningsskyldigheten enligt cybersäkerhetslagen.
Vad är NIS 2-direktivet och DORA-förordningen?
NIS 2-direktivet är ett EU-direktiv som syftar till att stärka cybersäkerheten i samhällsviktig och digital infrastruktur inom unionen. Direktivet omfattar ett antal sektorer, bland annat bankverksamhet och finansmarknadsinfrastruktur, och har i Sverige genomförts genom cybersäkerhetslagen.
DORA-förordningen (Digital Operational Resilience Act) är ett EU-regelverk som specifikt reglerar digital operativ motståndskraft i finanssektorn. Förordningen innehåller bland annat krav på IKT-riskhantering, incidentrapportering, testning av digital motståndskraft och hantering av tredjepartsrisker kopplade till IKT-leverantörer.
Rättslig innebörd
Finansiella företag kan i vissa fall omfattas både av NIS 2-direktivet och av DORA-förordningen. I dessa situationer gäller dock en särskild reglering i cybersäkerhetslagen.
Enligt 11 § cybersäkerhetslagen gäller inte skyldigheterna i 2 kap. 3–10 §§ cybersäkerhetslagen för verksamhetsutövare som omfattas av DORA-förordningen. Bestämmelsen innebär att de krav på bland annat skydd av IT-system och incidentrapportering som annars följer av cybersäkerhetslagen i stället ska uppfyllas enligt DORA-förordningen. DORA fungerar därmed som ett sektorsspecifikt regelverk i förhållande till NIS 2-direktivet för finansiella företag.
Undantaget gäller dock inte för anmälningsskyldigheten enligt 2 § cybersäkerhetslagen. Enligt bestämmelsen ska verksamhetsutövare så snart det kan ske anmäla sig till den myndighet som regeringen bestämmer. Om uppgifter som har lämnats i anmälan förändras ska ändringen anmälas så snart det kan ske, dock senast inom 14 dagar från det att förändringen ägde rum.
Praktiska konsekvenser
Regleringen innebär att finansiella företag som omfattas av DORA-förordningen och därmed undantas från delar av NIS 2-direktivet och cybersäkerhetslagen fortfarande har en skyldighet att anmäla sin verksamhet till den ansvariga myndigheten i enlighet med reglerna i cybersäkerhetslagen.
I praktiken innebär detta att finansiella företag behöver identifiera om deras verksamhet omfattas av cybersäkerhetslagen och säkerställa att anmälan görs till den myndighet som regeringen har utsett. Om uppgifter om verksamheten förändras behöver organisationen även säkerställa att förändringen anmäls inom den tidsfrist som anges i lagen.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör finansiell reglering och digital motståndskraft, inklusive DORA-förordningen och cybersäkerhetsregelverk. Läs mer om vår expertis inom finansiell reglering.
Har ni frågor om hur regelverken påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Direktiv (EU) 2022/2555; Förordning (EU) 2022/2554; Cybersäkerhetslag (2025:1506).