DORA a NIS2 – która regulacja ma zastosowanie do Twojej organizacji i czym się od siebie różnią? DORA (Digital Operational Resilience Act) oraz NIS2 to dwa najważniejsze unijne akty prawne dotyczące cyberbezpieczeństwa i zarządzania ryzykiem ICT, jednak obejmują różne sektory i nakładają odmienne obowiązki. W tym artykule porównujemy DORA i NIS2, wyjaśniamy najważniejsze różnice, podobieństwa oraz wymagania dotyczące zarządzania ryzykiem, raportowania incydentów, dostawców ICT i odpowiedzialności zarządu. Dowiesz się również, które organizacje podlegają DORA, które NIS2 oraz jak skutecznie spełnić wymagania obu regulacji w ramach jednego programu compliance.
Wyobraź sobie sytuację, która dziś nie jest już niczym wyjątkowym. Zarząd otrzymuje informację, że organizacja może podlegać nowym unijnym regulacjom dotyczącym cyberbezpieczeństwa. Dział bezpieczeństwa analizuje wymagania NIS2. Zespół compliance słyszy o DORA. IT zastanawia się, czy obecne procedury są wystarczające. Pojawiają się pytania: od czego zacząć? Która regulacja nas dotyczy? Czy trzeba wdrażać dwa osobne programy zgodności? Jakie ryzyka wiążą się z brakiem działania?
To właśnie na tym etapie wiele organizacji napotyka największą trudność. Problemem nie jest wyłącznie zrozumienie pojedynczych wymagań, ale odnalezienie się w coraz bardziej złożonym krajobrazie regulacyjnym. DORA, NIS2, RODO, wytyczne sektorowe, wymagania klientów i audytorów: wszystkie te elementy tworzą sieć obowiązków, które często (choć nie zawsze) nakładają się na siebie.
Cyberbezpieczeństwo i odporność operacyjna stały się jednymi z najważniejszych tematów dla organizacji działających w Unii Europejskiej. Rosnąca liczba cyberataków, coraz większa zależność od technologii oraz złożone łańcuchy dostaw sprawiają, że regulatorzy oczekują od firm bardziej systemowego podejścia do zarządzania ryzykiem.
W tym kontekście szczególne znaczenie mają dwie unijne regulacje: DORA (Digital Operational Resilience Act) oraz dyrektywa NIS2. Obie mają na celu zwiększenie odporności organizacji na zagrożenia cyfrowe, ale różnią się zakresem, poziomem szczegółowości oraz grupami podmiotów, których dotyczą.
Czym jest DORA (Digital Operational Resilience Act)?
DORA (Digital Operational Resilience Act) to unijne rozporządzenie dotyczące odporności operacyjnej sektora finansowego. Jego celem jest zapewnienie, że instytucje finansowe są w stanie skutecznie zapobiegać incydentom ICT, reagować na nie oraz szybko odzyskiwać zdolność do działania po ich wystąpieniu.
W przeciwieństwie do wielu wcześniejszych regulacji DORA skupia się nie tylko na cyberbezpieczeństwie, ale szerzej na odporności operacyjnej organizacji. Oznacza to konieczność zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi, monitorowania dostawców usług ICT, raportowania incydentów oraz regularnego testowania odporności.
Ponieważ DORA jest rozporządzeniem UE, obowiązuje bezpośrednio we wszystkich państwach członkowskich bez konieczności implementacji do prawa krajowego. Regulacja zaczęła obowiązywać od stycznia 2025 roku.
Czym jest dyrektywa NIS2?
NIS2 jest następcą pierwszej dyrektywy NIS i stanowi jeden z najważniejszych filarów europejskiej strategii cyberbezpieczeństwa.
Jej głównym celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej poprzez wprowadzenie wspólnych wymagań dla organizacji działających w sektorach kluczowych i ważnych dla funkcjonowania gospodarki oraz społeczeństwa.
W przeciwieństwie do DORA, NIS2 jest dyrektywą. Oznacza to, że państwa członkowskie muszą wdrożyć jej wymagania do krajowych systemów prawnych. Poszczególne kraje mogą przy tym w pewnym stopniu dostosowywać szczegółowe rozwiązania do lokalnych uwarunkowań.
NIS2 obejmuje znacznie szerszy zakres sektorowy niż DORA. Wśród podmiotów objętych regulacją znajdują się między innymi organizacje z sektorów energetyki, transportu, ochrony zdrowia, infrastruktury cyfrowej, usług IT, administracji publicznej czy gospodarki wodnej.
DORA vs NIS2: podobieństwa
Choć DORA i NIS2 powstały z myślą o różnych grupach organizacji, mają wiele wspólnych elementów.
Obie regulacje:
- wymagają podejścia opartego na zarządzaniu ryzykiem,
- nakładają obowiązki związane z raportowaniem incydentów,
- zwracają uwagę na bezpieczeństwo dostawców i łańcucha dostaw,
- zwiększają odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo,
- promują budowanie odporności organizacyjnej i operacyjnej.
W praktyce oznacza to, że wiele procesów wdrożonych w celu spełnienia wymagań jednej regulacji może wspierać zgodność z drugą.
DORA a NIS2: najważniejsze różnice
Najważniejsza różnica dotyczy charakteru obu regulacji.
DORA jest rozporządzeniem, a więc obowiązuje bezpośrednio we wszystkich krajach UE. NIS2 jest dyrektywą, która wymaga implementacji do prawa krajowego.
Istotne różnice dotyczą również poziomu szczegółowości. DORA określa bardzo konkretne wymagania dotyczące zarządzania ryzykiem ICT, raportowania incydentów, testowania odporności oraz zarządzania dostawcami technologii. NIS2 pozostawia organizacjom większą swobodę w sposobie realizacji wymagań.
Można powiedzieć, że dyrektywa NIS2 określa, co organizacja powinna osiągnąć, natomiast DORA w wielu obszarach wskazuje również, jak powinna to zrobić. Jeśli dopiero zaczynasz analizować obie regulacje, właśnie ta różnica jest jedną z najważniejszych do zrozumienia. W praktyce wpływa ona na sposób planowania projektów zgodności, budżetów i zakres niezbędnych działań.
Jakie organizacje podlegają DORA, a jakie NIS2?
DORA została stworzona przede wszystkim dla sektora finansowego.
Obejmuje między innymi:
- banki,
- zakłady ubezpieczeń,
- firmy inwestycyjne,
- instytucje płatnicze,
- dostawców usług kryptowalutowych,
- centralne depozyty papierów wartościowych.
NIS2 ma znacznie szerszy zakres i obejmuje organizacje działające w sektorach uznanych za kluczowe lub ważne dla funkcjonowania państwa i gospodarki.
W rzeczywistości, część instytucji finansowych może podlegać zarówno DORA, jak i przepisom wdrażającym NIS2. W takich przypadkach organizacje muszą zadbać o spełnienie wymagań obu regulacji, unikając jednocześnie tworzenia równoległych i niespójnych procesów compliance.
| Obszar | DORA | NIS2 |
| Typ regulacji | Rozporządzenie UE | Dyrektywa UE |
| Główny cel | Odporność operacyjna ICT w sektorze finansowym | Podniesienie poziomu cyberbezpieczeństwa w UE |
| Zakres sektorowy | Instytucje finansowe | Sektory kluczowe i ważne |
| Poziom szczegółowości | Wysoki | Średni |
| Zarządzanie ryzykiem | Szczegółowe wymagania ICT Risk Management | Podejście ramowe oparte na ryzyku |
| Zarządzanie dostawcami | Bardzo szczegółowe wymagania | Wymagania ogólne |
| Testowanie odporności | Obowiązkowe testy, w tym TLPT | Brak szczegółowych wymagań dotyczących testów |
| Raportowanie incydentów | Ściśle określone procedury | Procedury bardziej ogólne |
| Obowiązuje od | Styczeń 2025 | Od 2023 r. (wdrożenia krajowe) |
Warto zwrócić uwagę, że niektóre organizacje automatycznie zakładają, że skoro podlegają DORA, to temat NIS2 ich nie dotyczy. W praktyce granice nie zawsze są tak oczywiste, szczególnie w rozbudowanych grupach kapitałowych i organizacjach działających w kilku sektorach jednocześnie.
Zarządzanie ryzykiem i cyberbezpieczeństwem: czy DORA i NIS2 mają wspólne wymagania?
Tak. Zarządzanie ryzykiem stanowi fundament obu regulacji. Zarówno DORA, jak i NIS2 wymagają od organizacji:
- identyfikacji aktywów i procesów krytycznych,
- oceny zagrożeń i podatności,
- wdrażania odpowiednich środków bezpieczeństwa,
- monitorowania skuteczności zabezpieczeń,
- ciągłego doskonalenia procesów zarządzania ryzykiem.
Różnica polega przede wszystkim na poziomie szczegółowości. DORA definiuje bardziej rozbudowany model zarządzania ryzykiem ICT, podczas gdy NIS2 określa ogólne wymagania dotyczące środków organizacyjnych i technicznych.
W mojej opinii właśnie ten obszar daje organizacjom największą szansę na ograniczenie kosztów zgodności. Dobrze zaprojektowany proces zarządzania ryzykiem może jednocześnie wspierać realizację wymagań DORA, NIS2, ISO 27001 czy innych regulacji i standardów.
Poniższa tabela pokazuje jak spełnić wymagania obu regulacji jednocześnie:
| Obszar | DORA | NIS2 | Możliwość wspólnej realizacji |
| Rejestr ryzyk | Wymagany | Wymagany | Tak |
| Ocena ryzyka | Wymagana | Wymagana | Tak |
| Kontrole bezpieczeństwa | Wymagane | Wymagane | Tak |
| Zarządzanie dostawcami | Wymagane | Wymagane | Tak |
| Raportowanie incydentów | Wymagane | Wymagane | Tak |
| Testowanie odporności | Szczegółowe wymagania | Wymagania ogólne | Częściowo |
| Nadzór zarządu | Wymagany | Wymagany | Tak |
| Dokumentacja zgodności | Wymagana | Wymagana | Tak |
Zarządzanie dostawcami i łańcuchem dostaw
W ostatnich latach wiele poważnych incydentów bezpieczeństwa było związanych nie z bezpośrednim atakiem na organizację, lecz z naruszeniem bezpieczeństwa po stronie dostawców. Dlatego zarówno DORA, jak i NIS2 zwracają dużą uwagę na zarządzanie ryzykiem stron trzecich.
Z mojego doświadczenia, to właśnie zarządzanie dostawcami jest jednym z obszarów najczęściej niedoszacowanych podczas przygotowań do nowych regulacji. Organizacje zwykle wiedzą, jak zabezpieczać własne środowisko, ale znacznie trudniej jest im skutecznie monitorować ryzyka po stronie partnerów i dostawców.
W przypadku DORA obszar ten jest szczególnie rozbudowany. Organizacje finansowe muszą posiadać formalne procesy oceny dostawców ICT, monitorować ryzyka związane z outsourcingiem oraz utrzymywać odpowiednią dokumentację relacji z dostawcami.
NIS2 również uwzględnia bezpieczeństwo łańcucha dostaw, jednak robi to na bardziej ogólnym poziomie. Regulacja nie narzuca tak szczegółowych wymagań dotyczących zarządzania dostawcami jak DORA.
Jakie są kluczowe obowiązki raportowania incydentów w DORA a NIS2?
Obie regulacje wymagają zgłaszania istotnych incydentów bezpieczeństwa, jednak podejście do raportowania różni się stopniem szczegółowości.
DORA definiuje rozbudowany proces raportowania incydentów ICT dla sektora finansowego. Obejmuje on określone kryteria klasyfikacji incydentów, terminy raportowania oraz strukturę przekazywanych informacji.
NIS2 również nakłada obowiązki zgłaszania incydentów, ale pozostawia więcej miejsca na doprecyzowanie procedur przez organy krajowe. Więcej o tym procesie przeczytasz w artykule: Zarządzanie incydentami zgodnie z NIS2.
Dla organizacji oznacza to konieczność wdrożenia procesów umożliwiających szybkie wykrywanie incydentów, ocenę ich wpływu oraz terminowe przekazywanie wymaganych informacji.
Jak DORA i NIS2 wpływają na zarządzanie ryzykiem ICT?
Wdrożenie wymagań obu regulacji zwykle prowadzi do znaczącego uporządkowania procesów związanych z technologią i bezpieczeństwem.
Organizacje muszą lepiej rozumieć:
- jakie systemy są krytyczne dla działalności,
- jakie ryzyka mogą wpływać na ciągłość działania,
- którzy dostawcy są kluczowi dla funkcjonowania biznesu,
- jakie zabezpieczenia są najbardziej skuteczne.
Dzięki temu zarządzanie ryzykiem ICT staje się procesem ciągłym, a nie jednorazowym projektem realizowanym wyłącznie na potrzeby audytu lub kontroli regulatora.
Testowanie odporności: TLPT w DORA vs podejście NIS2
Jednym z najbardziej charakterystycznych elementów DORA są wymagania dotyczące testowania odporności cyfrowej.
Szczególne znaczenie ma TLPT (Threat-Led Penetration Testing), czyli zaawansowane testy oparte na realistycznych scenariuszach zagrożeń. Ich celem jest sprawdzenie, jak organizacja radzi sobie z rzeczywistymi technikami stosowanymi przez cyberprzestępców.
NIS2 również promuje testowanie skuteczności zabezpieczeń, ale nie wprowadza równie szczegółowych obowiązków i metodologii.
To właśnie w obszarze testowania odporności różnica pomiędzy DORA a NIS2 jest najbardziej widoczna.
Odpowiedzialność zarządu i sankcje
Obie regulacje wyraźnie podkreślają rolę kadry kierowniczej w obszarze cyberbezpieczeństwa. Jeżeli jesteś członkiem zarządu lub odpowiadasz za compliance, warto pamiętać, że obecnie przechodzimy zmiany, w ramach których cyberbezpieczeństwo staje się tematem biznesowym, a nie wyłącznie technicznym. Tak samo patrzą na to regulatorzy.
Zarząd nie może już traktować bezpieczeństwa jako wyłącznej odpowiedzialności działów IT. Oczekuje się aktywnego zaangażowania w nadzór nad ryzykiem, zatwierdzanie strategii oraz monitorowanie skuteczności wdrożonych środków bezpieczeństwa.
NIS2 przewiduje znaczące sankcje administracyjne za brak zgodności. DORA natomiast opiera się przede wszystkim na mechanizmach nadzoru właściwych dla sektora finansowego oraz sankcjach wynikających z regulacji sektorowych.
W obu przypadkach brak zgodności może prowadzić nie tylko do konsekwencji finansowych, ale również do utraty reputacji i zaufania klientów.
Harmonogram wdrożenia DORA i NIS2
NIS2 weszła w życie w 2023 roku, a państwa członkowskie miały obowiązek wdrożyć jej wymagania do krajowych porządków prawnych do października 2024 roku.
DORA zaczęła obowiązywać od stycznia 2025 roku.
Dla wielu organizacji oznacza to, że okres przygotowań dobiegł końca, a regulatorzy oczekują już rzeczywistego funkcjonowania procesów zgodnych z wymaganiami obu regulacji.
Jak spełnić wymagania obu regulacji jednocześnie: najczęstsze wyzwania
Największym wyzwaniem nie jest zwykle zrozumienie pojedynczego wymagania, lecz zarządzanie dużą liczbą powiązanych obowiązków.
Organizacje często mierzą się z problemami takimi jak:
- rozproszone rejestry ryzyk,
- brak centralnego nadzoru nad dostawcami,
- ręczne zarządzanie kontrolami,
- niespójna dokumentacja,
- trudności w przygotowaniu raportów dla różnych interesariuszy.
W wielu organizacjach problemem jest to, że narzędzia i procedury istnieją w wielu miejscach jednocześnie i nikt nie ma pełnego obrazu sytuacji. Tworzenie osobnych procesów dla DORA i NIS2 prowadzi zazwyczaj do wzrostu kosztów oraz zwiększenia obciążenia zespołów odpowiedzialnych za compliance i bezpieczeństwo.
DORA i NIS2 w praktyce: podejście zintegrowane
Choć DORA i NIS2 różnią się zakresem i poziomem szczegółowości, wiele wymagań można realizować w ramach jednego programu zarządzania ryzykiem i zgodnością.
Takie podejście pozwala:
- utrzymywać jeden rejestr ryzyk,
- centralnie zarządzać dostawcami,
- mapować kontrole do wielu regulacji jednocześnie,
- ograniczać duplikację pracy,
- łatwiej przygotowywać się do audytów i kontroli.
Coraz więcej organizacji wykorzystuje w tym celu platformy GRC, które umożliwiają centralizację procesów związanych z ryzykiem, zgodnością, kontrolami oraz zarządzaniem dostawcami.
Dzięki temu zgodność z DORA i NIS2 staje się elementem codziennego zarządzania organizacją, a nie jednorazowym projektem realizowanym przed terminem wejścia regulacji w życie.
DORA a NIS2: która regulacja jest ważniejsza?
Odpowiedź brzmi: to zależy od Twojej organizacji.
Jeżeli działasz w sektorze finansowym, DORA prawdopodobnie będzie miała kluczowe znaczenie dla Twoich obowiązków regulacyjnych. Jeżeli należysz do jednego z sektorów objętych NIS2, priorytetem będzie spełnienie wymagań wynikających z krajowych przepisów wdrażających tę dyrektywę.
Dla wielu organizacji pytanie nie brzmi jednak „DORA czy NIS2?”, lecz „jak efektywnie spełnić wymagania obu regulacji jednocześnie?”. Gdy rozmawiam z organizacjami przygotowującymi się do nowych wymagań regulacyjnych, niemal zawsze dochodzimy do tego samego wniosku: największym wyzwaniem nie jest pojedyncza regulacja, lecz zarządzanie wieloma wymaganiami równocześnie.
Właśnie dlatego coraz większego znaczenia nabiera zintegrowane podejście do zarządzania ryzykiem, cyberbezpieczeństwem i zgodnością. Pozwala ono budować odporność organizacji w sposób systemowy, niezależnie od tego, które regulacje mają zastosowanie dziś i jakie pojawią się w przyszłości.
