Nowy adres siedziby spółki: Przemysłowa 30, 00-450 Warszawa

GoNextStage Blog NIS2 a DORA. Kluczowe podobieństwa i różnice

BLOG

Warto się dzielić wiedzą

WSZYSTKIE WPISY

4 min

NIS2 a DORA. Kluczowe podobieństwa i różnice

W świecie regulacji IT łatwo poczuć się jak w labiryncie akronimów. Jeśli jednak zarządzasz procesami biznesowymi lub infrastrukturą IT, rozróżnienie między NIS2 a DORA to nie tylko kwestia semantyki. To fundament Twojego bezpieczeństwa operacyjnego i ciągłości biznesu. Poznaj główne różnice i wymagania nakładane przez te dwie unijne regulacje.

Spis treści

  1. Co łączy regulacje NIS2 i DORA?
  2. NIS2 a DORA: kluczowe różnice
    1. DORA
    2. NIS2
    3. Tabela porównawcza
  3. Podsumowanie

Co łączy regulacje NIS2 i DORA?

Obie regulacje stanowią filary strategii Unii Europejskiej, mającej na celu radykalne podniesienie poziomu cyberbezpieczeństwa i odporności cyfrowej Wspólnoty. Obie nakładają na organizacje bardzo podobne obowiązki:

  • wymagają wdrożenia kompleksowych ram zarządzania ryzykiem związanym z systemami informatycznymi;
  • narzucają rygorystyczne terminy zgłaszania poważnych incydentów do organów nadzorczych;
  • kładą ogromny nacisk na nadzór nad zewnętrznymi dostawcami usług informatycznych;
  • wymuszają regularne audyty, testy i oceny skuteczności zabezpieczeń (np. testy penetracyjne).

Zarówno NIS, jak i DORA, nakładają na członków zarządów bezpośrednią odpowiedzialność za cyberbezpieczeństwo firmy. Pod rządami obu regulacji członkowie organów zarządzających:

  • są osobiście odpowiedzialni za nadzór nad wdrażaniem środków ochrony,
  • mają obowiązek zatwierdzać plany zarządzania ryzykiem,
  • muszą odbywać szkolenia z zakresu cyberbezpieczeństwa, aby świadomie podejmować decyzje dotyczące ochrony organizacji.

Wspólnym mianownikiem jest również drastyczne zaostrzenie kar za brak zgodności. Zarówno w przypadku DORA, jak i NIS2, kary finansowe mogą sięgać milionów euro lub procentowego udziału w rocznym światowym obrocie firmy.

Sprawdź też: NIS2 a ISO27001

NIS2 a DORA: kluczowe różnice

Główna różnica między tymi aktami prawnymi sprowadza się do ich zakresu oraz hierarchii stosowania. Podczas gdy NIS2 buduje szeroki fundament bezpieczeństwa dla całej gospodarki, DORA wprowadza rygorystyczne, specjalistyczne standardy dla sektora finansowego.

DORA

Rozporządzenie DORA dotyczy wyłącznie sektora finansowego. Skupia się na operacyjnej odporności cyfrowej, aby zapewnić, że podmioty finansowe będą w stanie wytrzymać incydenty naruszeń ich cyberbezpieczeństwa, reagować na nie i odzyskiwać sprawność po zakłóceniach.

DORA wprowadza bardzo szczegółowe wymogi dotyczące m.in. testowania odporności. Co najmniej raz na 3 lata firma musi przeprowadzić testy penetracyjne sterowane zagrożeniami, TLPT (ang. Threat Led Penetration Testing). Symulują one realne ataki hakerskie przy użyciu technik, taktyk i procedur stosowanych przez rzeczywiste grupy przestępcze. Testy muszą obejmować krytyczne funkcje biznesowe działające w realnym środowisku, co wymaga precyzyjnego zarządzania ryzykiem, aby nie zakłócić ciągłości usług. Po zakończeniu testu, organ nadzorczy (w Polsce: KNF) wystawia certyfikat potwierdzający przeprowadzenie badania zgodnie z wymogami.

Rozporządzenie ustanawia także unijne ramy nadzoru nad krytycznymi zewnętrznymi dostawcami usług ICT, aby redukować ryzyko systemowe wynikające z uzależnienia sektora finansowego od ograniczonej liczby dostawców technologicznych. Jeśli setki banków w UE korzystają z usług tego samego dostawcy chmury, awaria u tego dostawcy mogłaby zagrozić stabilności całego systemu finansowego. Dlatego banki muszą posiadać i regularnie testować plany przeniesienia procesów do innego dostawcy lub z powrotem do własnej infrastruktury (on-premise). Sektor finansowy ma również obowiązek włączyć w testy TLPT dostawców.

Co ważne, dla podmiotów finansowych DORA konsumuje wymagania NIS2 – spełnienie wymogów rozporządzenia zazwyczaj oznacza automatyczną zgodność z dyrektywą w tych samych obszarach.

NIS2

NIS2 obejmuje 18 sektorów krytycznych dla gospodarki i społeczeństwa, takich jak energia, transport, opieka zdrowotna, infrastruktura cyfrowa, bankowość (w zakresie niepokrytym przez DORA) oraz administracja publiczna. W przeciwieństwie do DORA, która może objąć nawet małe instytucje finansowe, NIS2 wprowadza generalną zasadę, że podlegają jej średnie i duże przedsiębiorstwa (od 50 pracowników lub osiągające minimalny dochód 10 mln EUR).

Skupia się na trzech kluczowych obszarach: umiejętności zarządzaniu ryzykiem, raportowania incydentów oraz obowiązkach administracyjnych. Wymagania NIS2 to m.in. obowiązek samodzielnego sprawdzania odporności swojej firmy. Oznacza to, że organizacje muszą raz na 2 lata móc udowodnić, że ich system zarządzania bezpieczeństwem działa poprawnie. Najlepszą metodą weryfikacji działania polityk i zabezpieczeń jest niezależny audyt bezpieczeństwa IT. Wyniki takiego audytu muszą zostać przesłane do właściwego organu ds. cyberbezpieczeństwa (CSiRT) w celu weryfikacji zgodności.

Tabela porównawcza DORA i NIS2

Cecha DORA NIS 2
Główny cel Odporność operacyjna systemów finansowych. Podniesienie ogólnego poziomu cyberbezpieczeństwa UE.
Dostawcy zewnętrzni Bezpośredni nadzór unijny nad kluczowymi dostawcami ICT. Obowiązek weryfikacji łańcucha dostaw przez same firmy.
Testowanie Obowiązkowe zaawansowane testy TLPT co 3 lata, nadzorowane przez KNF. Ogólny wymóg regularnej oceny skuteczności zabezpieczeń
(w Polsce minimum raz na 2 lata).
Zarządzanie ryzykiem Bardzo szczegółowe (standardy techniczne RTS/ITS). Wysoki poziom ogólności.
Raportowanie 4 godziny – powiadomienie wstępne od momentu określenia incydentu jako poważny;
72 godziny – raport przejściowy;
1 miesiąc – raport końcowy zawierający szczegółową analizę przyczyn oraz poniesione straty.		 24 godziny – wstępne zgłoszenie, które ostrzega o incydencie;
72 godziny – pełny raport operacyjny z oceną sytuacji i jej skutków;
1 miesiąc – raport końcowy podsumowujący działania i wnioski.
Kary finansowe Dla sektora finansowego: do 10% całkowitego rocznego obrotu netto.

Dla dostawców technologicznych: do 1% średniego dziennego światowego obrotu
za każdy dzień zwłoki w stosowaniu się do zaleceń (naliczane do 6 miesięcy).

 Do 10 mln EUR lub 2% światowego obrotu organizacji
(w zależności od tego, która kwota jest wyższa).
Kary finansowe dla zarządu Brak wskazania konkretnej kwoty kary dla osoby fizycznej. Jednakże rozporządzenie tworzy mechanizmy, które pozwalają lokalnym organom nadzoru (np. polskiemu KNF) na nakładanie takich sankcji. Do kilkuset procent miesięcznego wynagrodzenia za uchybienia

 

Podsumowanie

NIS2 podnosi ogólny poziom bezpieczeństwa w 18 kluczowych sektorach gospodarki, a DORA wprowadza bardzo precyzyjne, techniczne wymogi dla sektora finansowego. Oba akty wymagają od zarządów realnej odpowiedzialności i zaangażowania w budowanie cyberbezpieczeństwa organizacji. Różnią się jednak zakresem, poziomem szczegółowości, częstotliwością audytów, a także wysokością i konstrukcją kar. Jednak najważniejsze w regulacjach takich jak NIS2 i DORA nie jest zapamiętanie skrótów, tylko wdrożenie praktycznych kroków, które wzmacniają bezpieczeństwo firmy. Dobry punkt startowy to niezależny audyt zgodności z NIS2 — dzięki niemu zobaczysz, gdzie dokładnie jesteś i jakie działania przyniosą najszybszy wzrost odporności organizacji.

Jak realizujemy projekty?

ZOBACZ WIĘCEJ

CASE STUDY

Poznaj historie naszych Klientów

VINCI Construction Polska
Canal+

SKONTAKTUJ SIĘ Z NAMI

Przejdź na wyższy poziom biznesu