Przewodnik po mapowaniu

NIS2 vs DORA

DORA (rozporządzenie (UE) 2022/2554 o operacyjnej odporności cyfrowej sektora finansowego) obowiązuje w pełni od 17 stycznia 2025 r. NIS2 to horyzontalna dyrektywa dotycząca cyberbezpieczeństwa. Dla podmiotów finansowych w dużej mierze się nakładają — ale DORA jest lex specialis w rozumieniu art. 4 NIS2: gdy oba mogłyby mieć zastosowanie, pierwszeństwo ma DORA. Ta strona to pełne mapowanie plus jasna reguła decyzyjna, na który zegar naprawdę odpowiadasz.

Lex specialis — DORA ma pierwszeństwo dla podmiotów finansowych

Zgodnie z art. 4 NIS2, gdy sektorowy akt Unii (tu DORA) nakłada obowiązki równoważne lub surowsze, pierwszeństwo ma akt sektorowy. Dla instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów, zakładów ubezpieczeń i reasekuracji oraz innych podmiotów finansowych wymienionych w art. 2 DORA: DORA jest Twoim głównym zegarem. NIS2 pozostaje w mocy w konkretnych punktach, w których DORA milczy (np. część zapisów o szkoleniu personelu).

Szybkie porównanie

Dyrektywa NIS2

Charakter: Dyrektywa UE (transponowana do prawa krajowego każdego państwa członkowskiego)

Obowiązuje: Państwa członkowskie miały transponować do 17 października 2024 r.

Kogo dotyczy: Podmioty kluczowe / ważne w ~18 sektorach

Kary: Do 10 mln € lub 2 % światowego obrotu dla podmiotów kluczowych

Zgłoszenia: Krajowy CSIRT (CSIRT NASK / ACN / ANSSI / BSI …)

Ład: Art. 20 — odpowiedzialność i szkolenie organu zarządzającego

DORA — rozporządzenie (UE) 2022/2554

Charakter: Rozporządzenie UE (bezpośrednio stosowane — bez transpozycji)

Obowiązuje: W pełni stosowane od 17 stycznia 2025 r.

Kogo dotyczy: Podmioty finansowe wymienione w art. 2 + ich krytyczni zewnętrzni dostawcy usług ICT

Kary: Do 1 % średniego dziennego światowego obrotu; okresowe kary dzienne; sankcje karne w niektórych państwach członkowskich

Zgłoszenia: Właściwy organ nadzoru finansowego (KNF / BaFin / ACPR / Banca d'Italia …) — NIE krajowy CSIRT

Ład: Art. 5 — organ zarządzający ponosi pełną odpowiedzialność za ramy zarządzania ryzykiem ICT

Metodologia i status przeglądu

To mapowanie jest obecnie w niezależnym przeglądzie przez zewnętrznego praktyka DORA / GRC sektora finansowego UE. Mapowanie odzwierciedla analizę techniczną Reglyze; plakietka „przejrzane i podpisane” pojawi się tutaj po zamknięciu zlecenia.

  • Wersja mapowania: 1.0.0
  • Recenzent:
  • Data opinii:

Mapowanie: NIS2 art. 21(2) + art. 20 na DORA art. 5–30

Każdy minimalny środek NIS2 ma równoważny lub bardziej rygorystyczny obowiązek w DORA. Wiersze oznaczone „DORA ma pierwszeństwo (lex specialis)” to te, dla których NIE powinieneś budować programu wyłącznie pod NIS2, jeśli jesteś podmiotem finansowym — pierwszeństwo ma DORA, a audytor idzie po rejestrze DORA, nie po rejestrze NIS2.

Stopień pokrycia odzwierciedla, na ile treść artykułu NIS2 jest pokryta przez wymienione artykuły DORA. Plakietka „DORA ma pierwszeństwo (lex specialis)” oznacza wiersze, w których DORA ma pierwszeństwo przed NIS2 dla podmiotów finansowych w rozumieniu art. 4 NIS2.

Art. 21(2)(a)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Risk analysis and information system security policies

DORA: Art. 5–6, Art. 8–9ICT risk management framework + governance and organization + identification of ICT-supported business functions

Art. 21(2)(b)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Incident handling

DORA: Art. 17–22ICT-related incident management, classification, reporting to competent authorities, RTS 2024/1772

Art. 21(2)(c)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Business continuity and crisis management

DORA: Art. 11–13Response & recovery policy, backup policies, learning and evolving

Art. 21(2)(d)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Supply chain security

DORA: Art. 28–30ICT third-party risk management — contractual provisions, register of information, exit strategies

Art. 21(2)(e)
Średnie pokrycieDORA ma pierwszeństwo (lex specialis)

Security in acquisition, development and maintenance

DORA: Art. 8(7), Art. 9(4)ICT systems acquisition and maintenance + ICT change management

Art. 21(2)(f)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Policies and procedures to assess effectiveness

DORA: Art. 6(5), Art. 24–27Periodic review of the ICT risk management framework + digital operational resilience testing (TLPT for the largest entities)

Art. 21(2)(g)
Średnie pokrycie

Basic cyber hygiene and training

DORA: Art. 13Learning and evolving — staff training on ICT risk management

Art. 21(2)(h)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Cryptography and encryption

DORA: Art. 9(2), Art. 9(4)(c)Protection of ICT assets — confidentiality, integrity, authenticity

Art. 21(2)(i)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

HR security, access control, asset management

DORA: Art. 8(1)–(4), Art. 9(4)(b)Identification and classification of ICT-supported business functions and information assets + access management

Art. 21(2)(j)
Średnie pokrycieDORA ma pierwszeństwo (lex specialis)

MFA, secure communications, secure emergency comms

DORA: Art. 9(4)(d), Art. 9(4)(e)Strong authentication mechanisms + secure network communications

Art. 20(1)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Board oversight and accountability

DORA: Art. 5Management body — full ownership of ICT risk management framework, approves strategy, allocates resources

Art. 20(2)
Wysokie pokrycieDORA ma pierwszeństwo (lex specialis)

Management body training

DORA: Art. 5(4)Management body members shall actively keep up-to-date sufficient knowledge and skills to understand and assess ICT risk

Który reżim stosować?

Jesteś podmiotem finansowym w rozumieniu art. 2 DORA

DORA jest Twoim głównym obowiązkiem. Incydenty związane z ICT zgłaszasz swojemu właściwemu organowi nadzoru finansowego (nie krajowemu CSIRT). Prowadzisz rejestr informacji DORA dla umów z zewnętrznymi dostawcami ICT (art. 28(3)). Twój organ zarządzający ponosi pełną odpowiedzialność za ramy zarządzania ryzykiem ICT (art. 5). NIS2 pozostaje w mocy w wąskich punktach, których DORA nie reguluje — Twój właściwy organ wskaże, które części należy spełnić zgodnie z krajową transpozycją NIS2.

Co faktycznie musisz zrobić:

  • Przyjąć ramy zarządzania ryzykiem ICT z DORA (art. 5–14) — w tym rejestr informacji dla podmiotów zewnętrznych
  • Klasyfikować i zgłaszać istotne incydenty związane z ICT właściwemu organowi zgodnie z RTS (art. 17–22, RTS 2024/1772)
  • Przeprowadzać testy operacyjnej odporności cyfrowej — coroczne testy krytycznych systemów ICT oraz TLPT co 3 lata dla największych podmiotów (art. 24–27)
  • Zarządzać ryzykiem zewnętrznych dostawców ICT — w tym klauzule umowne, strategie wyjścia i powiadamianie właściwego organu o dostawcach krytycznych (art. 28–30)
  • Szkolić organ zarządzający — art. 5(4) wymaga, aby członkowie utrzymywali wystarczającą wiedzę i kompetencje do oceny ryzyka ICT
NIE jesteś podmiotem finansowym (ale go obsługujesz)

Jeśli jesteś krytycznym zewnętrznym dostawcą usług ICT (chmura, oprogramowanie, MSP, procesor płatności itp.) obsługującym firmę regulowaną przez DORA, art. 28–30 DORA dosięgną Cię przez umowy, nawet jeśli sam nie jesteś podmiotem finansowym. NIS2 pozostaje Twoim głównym obowiązkiem regulacyjnym, ale spodziewaj się wymagań umownych w stylu DORA (terminy zgłaszania incydentów, prawa do audytu, klauzule wyjścia).

Czego zażądają klienci będący podmiotami finansowymi:

  • Szczegółowe zgłaszanie incydentów w rygorystycznych terminach DORA, nie w 24 h / 72 h / 1 miesiąc z NIS2 (Twoja umowa może je jeszcze skrócić)
  • Prawa do audytu — Twoi klienci DORA muszą móc audytować Cię według swojego harmonogramu, nie Twojego
  • Przejrzystość podwykonawstwa — DORA wymaga ujawnienia dalszego outsourcingu i praw do zatwierdzenia
  • Strategie wyjścia — Twoje umowy muszą zawierać operacyjny język wsparcia przy wyjściu
  • Jeśli zostaniesz uznany za „krytycznego” w rozumieniu art. 31 DORA, wchodzisz w ramy nadzoru — bezpośredni nadzór Europejskich Urzędów Nadzoru

Related NIS2 reading

Reglyze dostarcza pracę nad NIS2 świadomą DORA dla podmiotów finansowych

Rozpocznij darmową analizę luk. Reglyze wyróżnia artykuły NIS2 objęte odstępstwem lex specialis DORA oraz te, które nadal mają zastosowanie — dzięki czemu Twoja praca nad zgodnością w sektorze finansowym skupia się na właściwym rejestrze.