DORA ist lex specialis für Finanzunternehmen in der EU — sie verdrängt für den betroffenen Sektor die meisten Pflichten aus Artikel 21 der NIS2-Richtlinie. Cybsis 2.0 liefert DORA mit dem IKT-Risikomanagementrahmen, der Klassifizierung und Meldung von Vorfällen, dem Drittparteienregister und dem Umfang für bedrohungsorientierte Penetrationstests.
CTPSPs (Critical Third-Party Service Providers, z. B. Cloud-Anbieter) unterliegen der direkten ESA-Aufsicht — eine Kategorie, die im Dienstleisterregister abgebildet ist.