DORA, NIS2, CER ja CRA

Keskeiset erot regulaatioiden välillä

Turvallisuutta koskevat EU-tason säädökset vaikuttavat monen yrityksen ja organisaation arkeen. Sekä DORA,NIS2, CER että CRA ovat tulleet jäädäkseen. Tältä sivulta löydät näiden neljän keskeisen regulaation vertailutaulukon, josta selviää yhtäläisyyksiä ja eroavaisuuksia. Ne  kaikki vahvistavat relisienssiä ja tukevat digitaalisten ja fyysisten palveluiden säilymistä toimintakykyisinä myös haastavissa tilanteissa. 

Klikkaa myös aihetta koskevaan blogiin. 

DORA

Asetus.
Voimassa 2023, sovelletaan 17.1.2025 alkaen. Sovelletaan suoraan kaikissa EU-maissa.

NIS2

Kyber­turvallisuuslaki.
Hyväksytty 2022. Laki voimaan 1.4.2025.

CER

Direktiivi.
Hyväksytty 2022. Laki voimaan 1.7.2025.

CRA

Asetus.
Hyväksytty 2024. Vaatimuksia sovelletaan 36 kuukauden siirtymällä. 11.12.2027 lähtien sovelletaan suoraan kaikissa EU-maissa.

Dora: Rahoitusalan toimijat ja ICT palveluntarjoajat.

NIS2: Laaja joukko yhteiskunnan kannalta kriittisiä toimijoita.

CER: Fyysisen kriittisen infrastruktuurin toimijat useilla sektoreilla. Viranomainen määrittelee.

CRA: Digitaalisia tuotteita valmistavat, maahantuovat ja jakelevat yritykset.

Dora: Vahvistaa rahoitusalan digitaalista toimintavarmuutta ja häiriönsietoa.

NIS2: Parantaa EU-tason kyberturvaa ja yhtenäistää minimitasoa.

CER: Varmistaa fyysisen infrastruktuurin ja palvelujen resilienssin

CRA: Varmistaa tuotteiden elinkaarenaikaisen kyberturvallisuuden.

Dora: ICT-riskien hallinta, testaus, ulkoistusten valvonta, jatkuvuuden hallinta.

NIS2: Riskienhallinta. Poikkeamien hallinta. Toimitusketju. Hallinnon vastuut.

CER: Fyysisen turvallisuuden riskien arviointi. Jatkuvuussuunnittelu. Häiriönhallinta.

CRA: Turvallinen suunnittelu. Haavoittuvuuksien hallinta. Dokumentointi.

Dora: Merkittävien ICT-häiriöiden raportointi vaiheittain.

NIS2: Poikkeamien raportointi 24 h alustava, 72 h jatko.

CER: Merkittävien häiriöiden raportointi kansallisille viranomaisille.

CRA: Haavoittuvuuksien ilmoitusvelvollisuus ENISA:lle ja markkinavalvonnalle.

Dora: Hallinnolliset seuraamukset, määräykset, rajoitukset ja taloudelliset sanktiot. Mahdollisuus rajoittaa kriittisen ICT-toimittajan toimintaa

NIS2: Merkittävät hallinnolliset sakot. Keskeinen toimija: jopa 10 milj. euroa tai 2 % liikevaihdosta. Tärkeä toimija 7milj. euroa tai 1,4 % liikevaihdosta.

CER: Sakkoja ja hallinnollisia seuraamuksia kansallisesta lainsäädännöstä riippuen. Velvoitteiden laiminlyönti voi johtaa sitoviin määräyksiin.

CRA: Sakot voivat olla jopa 15 milj. euroa tai 2,5 % vuoden globaalista liikevaihdosta. Lisäksi tuotteiden markkinoilta poistaminen on mahdollista.

Dora: Sektorikohtainen ja hyvin yksityiskohtainen. Vaikuttaa voimakkaasti myös ulkoistettuihin ICT-palveluihin.

NIS2: Soveltamisala laajenee huomattavasti aiemmasta NIS1-direktiivistä.

CER: Korvaa ECI- direktiivin ja painottaa fyysisen ja digitaalisen turvallisuuden yhdistämistä.

CRA: Haavoittuvuuksien ilmoitusvelvollisuus ENISA:lle ja markkinavalvonnalle.