NIS2 vs DORA

Zmieniło się prawo. Musisz zadbać o bezpieczeństwo danych, czyli „zamek w drzwiach i alarm” (żeby złodziej nie wszedł) i ciągłość pracy czyli „polisa ubezpieczeniowa i plan naprawczy” (żebyś mógł dalej funkcjonować, gdyby jednak doszło do włamania lub pożaru) w Twojej firmie. Przede wszystkim przeprowadzić analizę ryzyka ale nie na zasadzie kopiuj wklej, tylko samemu stworzyć metodologię oceny skrojoną pod Twoją firmę, a wszystkie kroki dokładnie dokumentować - nie tylko dokumentacją normatywną (która jest bo jest), ale i operacyjną, która regularnie pokazuje na ile realne wykonujesz tą pierwszą.

Kogo dotyczy NIS2?

NIS2 to znaczące rozszerzenie dotychczasowych przepisów o cyberbezpieczeństwie. Dyrektywa obejmuje podmioty, które są istotne dla funkcjonowania gospodarki i społeczeństwa. Zasadniczo NIS2 dotyczy firm średnich i dużych (zatrudniających powyżej 50 osób lub z obrotem powyżej 10 mln EUR), działających w następujących sektorach:

Sektory Kluczowe: Energetyka (prąd, gaz, wodór, ciepło). Transport (lotniczy, kolejowy, wodny, drogowy). Bankowość i infrastruktura rynków finansowych. Ochrona zdrowia (szpitale, producenci leków). Woda pitna i ścieki. Infrastruktura cyfrowa (dostawcy usług chmurowych, centra danych, DNS). Zarządzanie usługami ICT (B2B). Administracja publiczna i przestrzeń kosmiczna.

Sektory Ważne: Usługi pocztowe i kurierskie. Gospodarowanie odpadami. Produkcja, wytwarzanie i dystrybucja chemikaliów. Produkcja i przetwórstwo żywności. Produkcja wyrobów (m.in. medycznych, komputerowych, elektronicznych, pojazdów). Dostawcy usług cyfrowych (wyszukiwarki, platformy społecznościowe, sklepy online)
W szczególnych przypadkach NIS2 może objąć także mikro i małe przedsiębiorstwa, jeśli są one jedynym dostawcą usługi kluczowej w danym regionie.

Kogo dotyczy DORA?

DORA to przepisy dedykowane stricte sektorowi finansowemu. Ich celem jest zapewnienie, że instytucje finansowe przetrwają poważne incydenty teleinformatyczne.

Regulacja dotyczy ponad 20 rodzajów podmiotów, w tym: Banków i SKOK-ów, instytucji płatniczych i pieniądza elektronicznego, firm inwestycyjnych i giełd, towarzystw ubezpieczeniowych i reasekuracyjnych, dostawców usług w zakresie kryptoaktywów, platform finansowania społecznościowego (crowdfunding).

Kluczowa zmiana: DORA dotyczy również zewnętrznych dostawców usług ICT (Critical Third-Party Providers). Jeśli Twoja firma świadczy usługi IT (np. chmura, analiza danych, wsparcie systemów) dla sektora finansowego, również musisz dostosować się do wymogów DORA.

Szczegółowe porównanie

	NIS2	DORA
Rodzaj aktu prawnego	Dyrektywa UE. Wymaga wdrożenia do prawa krajowego (w Polsce: nowelizacja ustawy o KSC). Przepisy mogą się różnić w detalach między krajami.	Rozporządzenie UE. Obowiązuje bezpośrednio i identycznie we wszystkich państwach UE. Nie wymaga implementacji krajowej.
Relacja prawna	Lex Generalis (Prawo ogólne). Stanowi „parasol” dla podmiotów, które nie podlegają bardziej szczegółowym regulacjom.	Lex Specialis (Prawo szczególne). Ma pierwszeństwo przed NIS2 w sektorze finansowym.
Zakres podmiotowy	Szeroki (18 sektorów): Energetyka, transport, zdrowie, woda, ścieki, infrastruktura cyfrowa, administracja, żywność, chemia, przemysł, poczta i inne.	Sektor finansowy: Banki, ubezpieczyciele, firmy inwestycyjne, dostawcy kryptoaktywów oraz Kluczowi Dostawcy Usług ICT (np. chmura).
Kategoryzacja podmiotów	Podział na podmioty Kluczowe oraz Ważne (zależny od wielkości firmy i krytyczności sektora).	Brak podziału na kluczowe/ważne w sensie NIS2. Obowiązuje zasada proporcjonalności (wymogi dostosowane do skali ryzyka).
Główny cel	Zapewnienie wysokiego poziomu cyberbezpieczeństwa sieci i systemów informatycznych.	Zapewnienie odporności operacyjnej (Business Continuity) – firma musi działać nawet w trakcie ataku.
Zarządzanie dostawcami	Nadzór pośredni: Podmiot musi zarządzać ryzykiem dostawców w umowach. Odpowiedzialność spoczywa na zamawiającym.	Rewolucja – Nadzór bezpośredni: Unijne organy nadzoru mogą bezpośrednio kontrolować kluczowych dostawców technologicznych (np. Microsoft, AWS, Google) świadczących usługi dla finansów.
Raportowanie incydentów	Model 3-etapowy: 1. Wczesne ostrzeżenie: 24h 2. Zgłoszenie incydentu: 72h 3. Raport końcowy: 1 miesiąc	Zharmonizowane (wg standardów RTS): Terminy zbliżone do NIS2 (często 24h na wstępne zgłoszenie), ale raporty kierowane do nadzoru finansowego (np. KNF).
Testowanie bezpieczeństwa	Regularne audyty, skanowanie podatności, oceny ryzyka.	Zaawansowane testy (TLPT): Wymóg programu testowania odporności. Dla dużych instytucji obowiązkowe testy penetracyjne pod kątem zagrożeń (Red Teaming) co 3 lata.
Sankcje (Kary)	Podmioty kluczowe: do 10 mln EUR lub 2% obrotu. Podmioty ważne: do 7 mln EUR lub 1,4% obrotu.	Podmioty finansowe: Kary administracyjne (określane przez kraje, często do 2% obrotu). Dostawcy ICT (CTPP): Kary okresowe do 1% dziennego średniego światowego obrotu (za brak współpracy).