DORA (rozporządzenie (UE) 2022/2554 o operacyjnej odporności cyfrowej sektora finansowego) obowiązuje w pełni od 17 stycznia 2025 r. NIS2 to horyzontalna dyrektywa dotycząca cyberbezpieczeństwa. Dla podmiotów finansowych w dużej mierze się nakładają — ale DORA jest lex specialis w rozumieniu art. 4 NIS2: gdy oba mogłyby mieć zastosowanie, pierwszeństwo ma DORA. Ta strona to pełne mapowanie plus jasna reguła decyzyjna, na który zegar naprawdę odpowiadasz.
Zgodnie z art. 4 NIS2, gdy sektorowy akt Unii (tu DORA) nakłada obowiązki równoważne lub surowsze, pierwszeństwo ma akt sektorowy. Dla instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów, zakładów ubezpieczeń i reasekuracji oraz innych podmiotów finansowych wymienionych w art. 2 DORA: DORA jest Twoim głównym zegarem. NIS2 pozostaje w mocy w konkretnych punktach, w których DORA milczy (np. część zapisów o szkoleniu personelu).
Charakter: Dyrektywa UE (transponowana do prawa krajowego każdego państwa członkowskiego)
Obowiązuje: Państwa członkowskie miały transponować do 17 października 2024 r.
Kogo dotyczy: Podmioty kluczowe / ważne w ~18 sektorach
Kary: Do 10 mln € lub 2 % światowego obrotu dla podmiotów kluczowych
Zgłoszenia: Krajowy CSIRT (CSIRT NASK / ACN / ANSSI / BSI …)
Ład: Art. 20 — odpowiedzialność i szkolenie organu zarządzającego
Charakter: Rozporządzenie UE (bezpośrednio stosowane — bez transpozycji)
Obowiązuje: W pełni stosowane od 17 stycznia 2025 r.
Kogo dotyczy: Podmioty finansowe wymienione w art. 2 + ich krytyczni zewnętrzni dostawcy usług ICT
Kary: Do 1 % średniego dziennego światowego obrotu; okresowe kary dzienne; sankcje karne w niektórych państwach członkowskich
Zgłoszenia: Właściwy organ nadzoru finansowego (KNF / BaFin / ACPR / Banca d'Italia …) — NIE krajowy CSIRT
Ład: Art. 5 — organ zarządzający ponosi pełną odpowiedzialność za ramy zarządzania ryzykiem ICT
To mapowanie jest obecnie w niezależnym przeglądzie przez zewnętrznego praktyka DORA / GRC sektora finansowego UE. Mapowanie odzwierciedla analizę techniczną Reglyze; plakietka „przejrzane i podpisane” pojawi się tutaj po zamknięciu zlecenia.
Każdy minimalny środek NIS2 ma równoważny lub bardziej rygorystyczny obowiązek w DORA. Wiersze oznaczone „DORA ma pierwszeństwo (lex specialis)” to te, dla których NIE powinieneś budować programu wyłącznie pod NIS2, jeśli jesteś podmiotem finansowym — pierwszeństwo ma DORA, a audytor idzie po rejestrze DORA, nie po rejestrze NIS2.
Stopień pokrycia odzwierciedla, na ile treść artykułu NIS2 jest pokryta przez wymienione artykuły DORA. Plakietka „DORA ma pierwszeństwo (lex specialis)” oznacza wiersze, w których DORA ma pierwszeństwo przed NIS2 dla podmiotów finansowych w rozumieniu art. 4 NIS2.
Risk analysis and information system security policies
DORA: Art. 5–6, Art. 8–9 — ICT risk management framework + governance and organization + identification of ICT-supported business functions
Incident handling
DORA: Art. 17–22 — ICT-related incident management, classification, reporting to competent authorities, RTS 2024/1772
Business continuity and crisis management
DORA: Art. 11–13 — Response & recovery policy, backup policies, learning and evolving
Supply chain security
DORA: Art. 28–30 — ICT third-party risk management — contractual provisions, register of information, exit strategies
Security in acquisition, development and maintenance
DORA: Art. 8(7), Art. 9(4) — ICT systems acquisition and maintenance + ICT change management
Policies and procedures to assess effectiveness
DORA: Art. 6(5), Art. 24–27 — Periodic review of the ICT risk management framework + digital operational resilience testing (TLPT for the largest entities)
Basic cyber hygiene and training
DORA: Art. 13 — Learning and evolving — staff training on ICT risk management
Cryptography and encryption
DORA: Art. 9(2), Art. 9(4)(c) — Protection of ICT assets — confidentiality, integrity, authenticity
HR security, access control, asset management
DORA: Art. 8(1)–(4), Art. 9(4)(b) — Identification and classification of ICT-supported business functions and information assets + access management
MFA, secure communications, secure emergency comms
DORA: Art. 9(4)(d), Art. 9(4)(e) — Strong authentication mechanisms + secure network communications
Board oversight and accountability
DORA: Art. 5 — Management body — full ownership of ICT risk management framework, approves strategy, allocates resources
Management body training
DORA: Art. 5(4) — Management body members shall actively keep up-to-date sufficient knowledge and skills to understand and assess ICT risk
DORA jest Twoim głównym obowiązkiem. Incydenty związane z ICT zgłaszasz swojemu właściwemu organowi nadzoru finansowego (nie krajowemu CSIRT). Prowadzisz rejestr informacji DORA dla umów z zewnętrznymi dostawcami ICT (art. 28(3)). Twój organ zarządzający ponosi pełną odpowiedzialność za ramy zarządzania ryzykiem ICT (art. 5). NIS2 pozostaje w mocy w wąskich punktach, których DORA nie reguluje — Twój właściwy organ wskaże, które części należy spełnić zgodnie z krajową transpozycją NIS2.
Co faktycznie musisz zrobić:
Jeśli jesteś krytycznym zewnętrznym dostawcą usług ICT (chmura, oprogramowanie, MSP, procesor płatności itp.) obsługującym firmę regulowaną przez DORA, art. 28–30 DORA dosięgną Cię przez umowy, nawet jeśli sam nie jesteś podmiotem finansowym. NIS2 pozostaje Twoim głównym obowiązkiem regulacyjnym, ale spodziewaj się wymagań umownych w stylu DORA (terminy zgłaszania incydentów, prawa do audytu, klauzule wyjścia).
Czego zażądają klienci będący podmiotami finansowymi:
Rozpocznij darmową analizę luk. Reglyze wyróżnia artykuły NIS2 objęte odstępstwem lex specialis DORA oraz te, które nadal mają zastosowanie — dzięki czemu Twoja praca nad zgodnością w sektorze finansowym skupia się na właściwym rejestrze.