DORA i NIS2 - Kluczowe regulacje cyberbezpieczeństwa, które zmienią działanie Twojej firmy w 2025 roku

8 kwietnia 2025

DORA NIS2

W najbliższym czasie firmy działające w Unii Europejskiej staną przed wyzwaniem dostosowania się do dwóch kluczowych regulacji w zakresie cyberbezpieczeństwa: DORA (Digital Operational Resilience Act) oraz NIS2 (dyrektywa w sprawie bezpieczeństwa sieci i informacji). Oba akty prawne wprowadzają istotne zmiany w sposobie zarządzania ryzykiem cyfrowym. Dla wielu organizacji oznacza to konieczność znaczącego przebudowania strategii bezpieczeństwa IT w ciągu najbliższych miesięcy. W tym artykule przedstawiamy najważniejsze aspekty obu regulacji, które mają kluczowe znaczenie dla firm przygotowujących się do ich wdrożenia.

Czym są DORA i NIS2 - podstawowe różnice

DORA (Akt o Cyfrowej Odporności Operacyjnej) to rozporządzenie UE skupiające się na zwiększeniu odporności operacyjnej podmiotów finansowych na incydenty cyfrowe. Jego głównym celem jest zapewnienie, że instytucje finansowe są w stanie skutecznie radzić sobie z zakłóceniami i zagrożeniami IT, wykraczając przy tym poza prostą zgodność regulacyjną.

NIS2 natomiast stanowi ulepszoną wersję wcześniejszej Dyrektywy w sprawie bezpieczeństwa sieci i informacji. Ma szerszy zakres zastosowania i dąży do poprawy cyberbezpieczeństwa w różnych kluczowych sektorach gospodarki i społeczeństwa UE.

Najważniejsza różnica między tymi regulacjami tkwi w ich statusie prawnym. DORA jako rozporządzenie będzie miało bezpośrednie zastosowanie we wszystkich państwach członkowskich UE bez potrzeby adaptacji do prawa krajowego. Zapewnia to jednolite wdrożenie w całej Unii. NIS2, będąc dyrektywą, wymaga implementacji do prawa krajowego przez każde państwo członkowskie, co daje pewną elastyczność we wdrażaniu i może prowadzić do niewielkich różnic między krajami.

Terminy wdrożenia - na co musisz być gotowy i kiedy

Harmonogramy wdrożenia obu regulacji są różne i mają kluczowe znaczenie dla planowania działań dostosowawczych w organizacjach.

DORA wchodzi w życie 17 stycznia 2025 roku, co daje podmiotom finansowym konkretny termin na dostosowanie swoich systemów i procedur do nowych wymagań. Jest to data, którą firmy z sektora finansowego powinny oznaczyć w swoich kalendarzach jako krytyczną.

W przypadku NIS2 sytuacja jest nieco bardziej skomplikowana. W Polsce proces implementacji dyrektywy nie został jeszcze zakończony. Obecnie przewiduje się, że odpowiednie przepisy wejdą w życie w pierwszej połowie 2025 roku. Opóźnienia te wynikają ze złożoności nowych regulacji oraz konieczności dostosowania krajowych przepisów do wymogów dyrektywy.

Co istotne, mimo opóźnień w implementacji na poziomie krajowym, organizacje działające w sektorach objętych dyrektywą NIS2 powinny już teraz rozpocząć działania przygotowawcze.

Kogo dotyczą nowe regulacje?

Zakres podmiotowy DORA

DORA obejmuje szerokie spektrum instytucji finansowych, takich jak:

  • Banki
  • Firmy ubezpieczeniowe
  • Giełdy papierów wartościowych
  • Instytucje płatnicze
  • Firmy technologiczne świadczące usługi dla sektora finansowego (np. dostawcy chmury)

Co ważne, DORA wykracza poza tradycyjne instytucje finansowe i obejmuje również podmioty technologiczne wspierające sektor finansowy, co jest istotną zmianą w porównaniu do wcześniejszych regulacji.

Zakres podmiotowy NIS2

NIS2 ma znacznie szerszy zakres i dotyczy przede wszystkim podmiotów:

  • Zatrudniających powyżej 50 osób
  • Posiadających roczny obrót lub roczną sumę bilansową przekraczającą 10 mln euro

Należy jednak zaznaczyć, że istnieje wiele wyjątków od tej zasady. Na przykład, dyrektywie NIS2 podlegają wszystkie podmioty publiczne niezależnie od ich wielkości. Ponadto, nawet mikroprzedsiębiorstwa i małe przedsiębiorstwa mogą być objęte regulacją, jeśli spełnią kryteria wskazujące na ich kluczową rolę dla państwa, społeczeństwa lub gospodarki.

Kluczowe obowiązki wynikające z DORA

DORA nakłada na podmioty finansowe szereg istotnych obowiązków:

Zapewnienie odporności operacyjnej

Podmioty finansowe muszą zapewnić zdolność do ciągłego działania, pomimo incydentów związanych z technologią informacyjną (cyberataków, awarii systemów itp.). Wymaga to wdrożenia odpowiednich procesów, zasobów i technologii do monitorowania, wykrywania i reagowania na takie incydenty.

Kompleksowe zarządzanie ryzykiem ICT

Organizacje muszą skutecznie zarządzać ryzykiem związanym z technologiami informacyjno-komunikacyjnymi, w tym posiadać odpowiednie systemy do identyfikowania i oceny ryzyk oraz wdrażania planów reagowania i naprawy.

Zarządzanie relacjami z dostawcami ICT

Podmioty finansowe muszą szczegółowo zarządzać ryzykami związanymi z usługami świadczonymi przez zewnętrznych dostawców technologii, takich jak usługi chmurowe czy inne rozwiązania ICT. DORA wprowadza szczegółowe wymogi dotyczące umów z dostawcami oraz ich monitorowania.

Raportowanie incydentów

DORA zobowiązuje podmioty finansowe do raportowania znaczących incydentów związanych z technologią informacyjną do odpowiednich organów nadzorczych i określa szczegółowe wymogi co do sposobu i terminów raportowania.

Regularne testy odporności cyfrowej

Regulacja wymaga od podmiotów finansowych regularnego przeprowadzania testów odporności cyfrowej, takich jak testy penetracyjne, symulacje ataków oraz inne testy związane z bezpieczeństwem ICT.

Kluczowe obowiązki wynikające z NIS2

Dyrektywa NIS2 nakłada na przedsiębiorstwa i organizacje następujące obowiązki:

Wdrożenie odpowiednich środków technicznych i organizacyjnych

Podmioty objęte dyrektywą muszą wdrożyć odpowiednie środki techniczne i organizacyjne mające na celu zabezpieczenie ich systemów przed ryzykiem cybernetycznym.

Zgłaszanie incydentów bezpieczeństwa

Podobnie jak w przypadku DORA, NIS2 wymaga od objętych nią podmiotów zgłaszania istotnych incydentów bezpieczeństwa do krajowych organów nadzorczych.

Zintegrowane zarządzanie ryzykiem

NIS2 kładzie nacisk na zintegrowane zarządzanie ryzykiem, co oznacza nie tylko identyfikację i analizę potencjalnych ryzyk, ale również integrację procesów zarządzania ryzykiem z innymi obszarami działalności zgodnie z wymogami różnych dyrektyw i norm.

Praktyczne kroki przygotowawcze dla firm

Mimo że termin wdrożenia obu regulacji przypada na 2025 rok, firmy powinny już teraz podjąć konkretne działania przygotowawcze:

  1. Ocena klasyfikacji organizacji

Pierwszym krokiem powinno być określenie, czy i w jakim zakresie Twoja organizacja podlega regulacjom DORA lub NIS2. Wymaga to dogłębnej analizy działalności firmy, jej wielkości oraz roli w gospodarce.

  1. Audyt gotowości operacyjnej i analiza ryzyka

Przeprowadzenie szczegółowego audytu gotowości operacyjnej oraz analizy ryzyka pozwoli zidentyfikować kluczowe obszary wymagające natychmiastowej uwagi.

  1. Opracowanie planu działania (Road Map)

Na podstawie przeprowadzonych analiz warto opracować spersonalizowany plan działania, który pokieruje organizację przez niezbędne kroki dostosowawcze.

  1. Przygotowanie, weryfikacja i aktualizacja dokumentacji

Regulacje wymagają posiadania odpowiedniej dokumentacji dotyczącej zarządzania ryzykiem, procedur bezpieczeństwa i planów reakcji na incydenty.

  1. Wdrożenie procesów nadzoru nad wprowadzanymi zmianami

Istotne jest ustanowienie mechanizmów nadzoru nad wprowadzanymi zmianami, co zapewni ich skuteczność i zgodność z wymogami regulacyjnymi.

Korzyści z wczesnego przygotowania

Wczesne przygotowanie do wdrożenia DORA i NIS2 przynosi firmom wymierne korzyści:

  • Minimalizacja ryzyka niezgodności i związanych z tym kar finansowych
  • Budowanie zaufania klientów i partnerów biznesowych, którzy wymagają stosowania odpowiednich standardów bezpieczeństwa cyfrowego
  • Optymalizacja kosztów wdrożenia poprzez rozłożenie ich w czasie
  • Możliwość stopniowego dostosowywania systemów i procesów bez presji czasowej
  • Wykorzystanie procesu dostosowawczego jako okazji do ogólnej poprawy cyberbezpieczeństwa w organizacji

Podsumowanie

DORA i NIS2 stanowią fundamentalną zmianę w podejściu do cyberbezpieczeństwa w firmach działających na terenie UE. DORA jako rozporządzenie skupiające się na sektorze finansowym, weszło w życie 17 stycznia 2025 roku, natomiast NIS2, jako dyrektywa o szerszym zakresie, oczekuje na implementację w polskim prawie, prawdopodobnie w pierwszej połowie 2025 roku.

Mimo że terminy te mogą wydawać się odległe, złożoność wymagań oraz zakres zmian, które trzeba będzie wprowadzić, sugerują, że firmy powinny rozpocząć przygotowania już teraz. Kluczowym pierwszym krokiem jest określenie, czy i w jakim zakresie organizacja podlega tym regulacjom, a następnie przeprowadzenie dokładnej analizy obecnego stanu bezpieczeństwa i odporności operacyjnej.

Case Studies
Wdrożenie rozwiązania Solaris eSConnect w chmurze Amazon Web Services
Wdrożenie infrastruktury AWS na potrzeby aplikacji Solaris eSConnect
Wsparcie startupu technologicznego w obszarze Azure AKS
Wsparcie startupu technologicznego w obszarze Azure AKS
Referencje

Firmę Hostersi rekomendujemy jako rzetelnego i wysoce profesjonalnego partnera. Dzięki zaangażowaniu Hostersi Sp. z o.o., wydajność platformy AleRabat.com wzrosła aż 8-krotnie!

Rafal Kopyto
CEO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.