All posts
DORA/NIS2
8 min read

DORA a NIS2 – relacja normatywna i kwalifikacja regulacyjna

Porównywanie DORA i NIS2 jako „zbliżonych regulacji cyberbezpieczeństwa” stanowi uproszczenie, które nie oddaje ich rzeczywistej funkcji normatywnej.

1. Cel

Stwierdzenie że DORA i NIS2 to po prostu "dwie poodbne regulacje, właściwie to samo, tylko dla różnych sektorów" jest bardzo daleko idącącym uproszczeniem. Takie porównanie koncentruje się jedynie na podobieństwie tematycznym, czyli na tym że oba akty odnoszą się do obszaru cyberbezpieczeństwa. Jednakże już na samym wstpępie należy odróżnić, że Dyrektywa NIS 2 i rozporządzenie DORA nie mają tych samych celów.

Cel rozporządzenia DORA
Zapewnienie integralności i dostępności sektora finansowego poprzez ustanowienie jednolitych zasad zarządzania ryzykiem ICT dla 21 podmiotów.
VS
Cel dyrektywy NIS2
Podniesienie ogólnego poziomu cyberbezpieczeństwa w UE poprzez objęcie regulacją kluczowych i ważnych 18 podmiotów w sektorach gospodarki.

1. Charakter prawny

Rzeczywiście, w zakresie przedmiotowym można wskazać wiele wspołnych elementów ponieważ oba akty koncentrują się na bezpieczeństwie systemów IT, zarządzaniu incydentami i obowiązków organizacjyjnych. Jednak należy podkreślić, że w inny sposób kształtują obowiązki podmiotów oraz w odmienny sposób wprowadzają obowiązki do praktyki funkcjonowania organizacji. Różnica ta ma charakter strukturalny i dotyczy sposobu, w jaki normy prawne są „dostarczane” podmiotom rynku. Dla zobrazowania:

przepis nakazujący przedsiębiorcy wykonanie konkretnego obowiązku  działa bezpośrednio i od razu kształtuje jego sytuację prawną, podczas gdy przepis zobowiązujący państwo do stworzenia systemu nadzoru i wdrożenia określonych wymogów dopiero pośrednio prowadzi do powstania obowiązków po stronie przedsiębiorców.

DORA jets instrumentem prawnym przyjętym na podstawie art.114 TFUE i jako rozporządzenie ma charakter bezpośrednio stosowany. Oznacza to, że przepisy obowiązują wprost sektora finansowego we wszystkich państwach członkowskich UE, be konieczności implementacji do prawa krajowego.DORA w sposoób szczegółowy i operacyjny określa obowiązki ustanawiając kompleksowy reżim zarządzania ryzykiem ICT.

NIS2 natomiast pełni rolę ramową - zobowiązuje państwa członkowskie do zbudowania krajowych systemów cyberbezpieczeństwa, w ramach których dopiero konkretyzowane są obowiązki poszczególnych podmiotów, pozostawiając istotny zakres swobody legislacyjnej, nadzorczej i sankcyjnej. Z perspektywy biznesowej oznacza to odmienny poziom bezpośredniości regulacji, inny model nadzoru oraz różną dynamikę i terminowość implementacji wymogów.

Zarówno NIS 2, jak i DORA są obowiązkowe. Wdrożenie DORA odbywa się zgodnie z wytycznymi Komisji Europejskiej, NIS 2 może wymagać dodatkowych wytycznych ze strony organu zarządzającego w danej jurysdykcji.

VS

DORA

Forma aktu UE
Rozporządzenie
Główny cel
Zapewnienie cyfrowej odporności sektora finansowego
Poziom regulacji
Bezpośrednio na poziomie UE
Model nadzoru
Ponadnarodowy / unijny
Konsekwencja nadzoru
Jeden spójny standard w całej UE
Struktura obowiązków
Obowiązki rozłożone między organizację a dostawców ICT
Odpowiedzialność za łańcuch dostaw
Tak – za łańcuch dostaw ICT
Rola zarządu
Bezpośrednia odpowiedzialność za ramy zarządzania ryzykiem ICT oraz outsourcing
Zewnętrzni dostawcy
Krytyczni dostawcy ICT objęci dodatkowymi wymogami i nadzorem
Fragmentaryzacja reżimu
Brak fragmentaryzacji
Przewidywalność
Wysoka
Ryzyko interpretacyjne
Niskie
Raportowanie incydentów
Szczegółowe obowiązki raportowania incydentów
Typowy błąd
Traktowanie DORA jako „NIS2+”

NIS2

Forma aktu UE
Dyrektywa
Główny cel
Wzmocnienie krajowego poziomu cyberbezpieczeństwa
Poziom regulacji
Poziom UE + prawo krajowe
Model nadzoru
Krajowy (organy państw członkowskich)
Konsekwencja nadzoru
Różne standardy w zależności od państwa
Struktura obowiązków
Obowiązki skoncentrowane na organizacji
Odpowiedzialność za łańcuch dostaw
Tak – za cały łańcuch dostaw
Rola zarządu
Bezpośrednia odpowiedzialność za cyberbezpieczeństwo oraz zarządzanie ryzykiem
Zewnętrzni dostawcy
Dostawcy nie są bezpośrednio regulowani
Fragmentaryzacja reżimu
Wysoka fragmentaryzacja krajowa
Przewidywalność
Niższa
Ryzyko interpretacyjne
Wysokie
Raportowanie incydentów
Ogólne wymogi raportowania zdarzeń
Typowy błąd
Zakładanie jednolitego stosowania w UE

W efekcie podobieństwo tematyczne nie przekłada się na tożsamość funkcji normatywnej tych aktów. Każdy z nich w inny sposób kształtuje obowiązki regulacyjne przedsiębiorstw i inaczej wpływa na ich środowisko zgodności (compliance).

2. Co to oznacza w praktyce dla compliance?

Wdrożenie DORA to podejście „regulacyjne i operacyjne”

DORA działa jak szczegółowy podręcznik obowiązków dla sektora finansowego. Instytucje muszą wdrożyć bardzo konkretne wymagania dotyczące m.in.:

• zarządzania ryzykiem ICT,

• testowania odporności cyfrowej,

• raportowania incydentów,

• zarządzania relacjami z dostawcami ICT.

Compliance ma tu charakter silnie sformalizowany i techniczny. Organizacja musi dokładnie sprawdzić, czy spełnia  punkt po punkcie wymogi wskazane w przepisach. To bardziej przypomina dostosowanie się do normy technicznej niż do ogólnej zasady prawnej.

Wdrożenie NIS2 to podejście „systemowe i krajowe”

W NIS2 organizacja nie wdraża „jednego unijnego katalogu obowiązków”, tylko funkcjonuje w krajowym systemie cyberbezpieczeństwa, który dopiero realizuje cele dyrektywy. W efekcie:

• zakres obowiązków może się różnić w zależności od kraju,

• duże znaczenie mają wytyczne organów krajowych,

• compliance jest mocno powiązany z relacją z regulatorem i praktyką nadzorczą.

3. Zakres podmiotowy:

DORA przyjmuje podejście sektorowe i funkcjonalne. Swoim zakresem obejmuje podmioty finansowe oraz dostawców usługICT. O objęciu regulacją decyduje przede wszystkim rodzaj prowadzonej działalności, a w przypadku dostawców – ich funkcjonalna rola. Podmiot technologiczny może zostać objęty rygorami DORA nie dlatego, że jest firmą IT,lecz dlatego, że od jego usług zależy ciągłość działania instytucji finansowej.

Szukając odpowiedzi na pytanie czy podmiot wchodzi w zakres DORA powinnyśmy przyjąć za kluczowe kryterium jego uczestnictwo w ciągłości działania sytemu finansowego.

W przeciwieństwie do DORA, NIS2 obejmuje podmioty z wielu sektorów gospodarki i administracji. NIS 2 wyznacza podmioty mające znaczenie i wpływ dla zapewnienia stabilnośći państwa - są to podmioty działające w sektorach ostrategicznym znaczeniu, takich jak energia, transport, ochrona zdrowia,infrastruktura cyfrowa czy administracja publiczna.

DORA – Zakres podmiotowy
Podmiot Przykłady
Podmioty finansowe
  • Instytucje kredytowe (banki)
  • Platformy obrotu
  • Agencje ratingowe
  • Dostawcy usług informacji o rachunku
  • Dostawcy usług w zakresie kryptoaktywów
  • Firmy inwestycyjne
  • Zakłady ubezpieczeń i reasekuracji
  • Dostawcy usług płatniczych
  • Podmioty FinTech / FinServ
Usługi ICT wspierające funkcje krytyczne lub istotne podmiotów finansowych
  • Dostawcy usług chmurowych
  • Dostawcy usług bezpieczeństwa sieci
  • Dostawcy usług VoIP
  • Managed Security Service Providers (MSSP)
  • Outsourcing IT i cyberbezpieczeństwa
  • Managed Service Providers (MSP)
  • Centra danych
NIS2 – Zakres sektorowy
Podmioty kluczowe i ważne
  • Transport
  • Bankowość
  • Rynki finansowe
  • Sektor ochrony zdrowia
  • Infrastruktura cyfrowa
  • Energia
  • Woda pitna
Zakres rozszerzony
  • Administracja publiczna
  • Sektor kosmiczny
  • Gospodarka ściekowa
Nowo objęte zakresem
  • Dostawcy usług cyfrowych
  • Produkcja i dystrybucja chemikaliów
  • Badania naukowe
  • Produkcja i dystrybucja żywności
  • Usługi pocztowe i kurierskie
  • Produkcja
  • Gospodarka odpadami

4. Zakres przedmiotowy:

DORA

  • Daje gotowy model zarządzania
  • Struktura oparta na filarach systemowych
  • Integruje zarządzanie ryzykiem, testowanie i nadzór nad dostawcami w jednym modelu

NIS2

  • Wskazuje minimalne obszary środków bezpieczeństwa dla wielu sektorów
  • Struktura oparta na katalogu środków
  • Pozostawia organizacji większą swobodę w sposobie wdrożenia środków
VS

DORA daje nam gotowy model zarządzania oparty na 5 filarach:

1. Zarządzanie ryzykiem ICT, którego celem jest stała kontrola ryzyk technologicznych. W praktyce oznacza to utworzenie i wdrożenie formalnych ram zarządzania (polityki, proceury, podział ról i odpowiedizlaności a także regularne raportowanie do zarządu)

2. Zarządzanie incydentami ICT, którego celem jest zapewnienie ciągłości działania Obszar ten obejmuje wdrożenie ustrukturyzowanych procesów wykrywania, klasyfikacji i obsługi incydnetów, a także procedur reagowania oraz raportowania.

3. Testowanie odporności operacyjnej, czyli praktyczna weryfikacja zdolności organizacji do funkcjonowania w warunkach zakłóceń cyfrowych. W praktyce oznacza to regularne testy testy TLPT, ćwiczenia reagowania na incydnety, sprawdzanie skuteczności planów ciągłości działania i odtwarzania po awarii.

4.Zarządzanie ryzykiem dostawców ICT, odpowiedizalnośc za odporność cyfrową nie kończy się na własnej infrastrukturze lecz objemuje cały łańcuch dostaw usług i rowiązań ICT. W praktyce oznacza to koniecznośc systemowego podjeścia do zarządzania cyklem życia relacji z dostawcami - due diligence, postanowienia umowne etc.

5.Wymiana informacji o zagrożeniach, która ma na celu dzielnie się wiedzą o aktualnych ryzykahc i incydnetach.

 

NIS2 określa ramowe obszary, w których organizacja musi samodzielnie zbudować dojrzały system zarządzania cyberbepieczeństwem:

1.Polityki bezpieczeństwa i analiza ryzyka: Celem jest systemowe podejście do zagrożeń,obejmujące oceny ryzyka oraz polityki bezpieczeństwa.

2.Obsługa incydentów: Celem jest szybka reakcja na naruszenia poprzez proceduryreagowania i eskalacji.

3.Ciągłość działania: Służy utrzymaniu kluczowych usług i obejmuje backup oraz planykryzysowe.

4. Bezpieczeństwo łańcucha dostaw: Ma na celu ograniczenie ryzyk zewnętrznych poprzez ocenędostawców i wymagania umowne.

5.Bezpieczeństwo systemów IT: Koncentruje się na ochronie cyklu życia systemów poprzez zarządzanie podatnościami i aktualizacje.

6. Środki techniczne i organizacyjne: Stanowią podstawową higienę cyberbezpieczeństwa,taką jak MFA, szyfrowanie, kontrola dostępu czy szkolenia.

5.Zasada lex specialis derogat legigenerali  

Warto jednak podkreślić, że relacja pomiędzy DORA a NIS2 nie zawsze przyjmuje postać ścisłego rozdziału zakresów regulacyjnych. Choć DORA jako akt sektorowy pełni funkcję lex specialis wobec NIS2 w odniesieniu do instytucji finansowych, w praktyce mogą występować sytuacje, w których jeden podmiot funkcjonuje na styku obu reżimów prawnych.

Dotyczy to w szczególności dużych dostawców usług ICT świadczących usługi na rzecz sektora finansowego. Podmioty te mogą podlegać NIS2 jako podmioty kluczowe lub ważne i jednocześnie mogą zostać objęte DORA. W konsekwencji może dochodzić do częściowego nakładania się reżimów regulacyjnych - jendak nalezy pamiętać, że insytucje finansowe zawsze będą podlegać w pierwszej kolejnośći DORA (tym samym nie będzie obowiązku podójengo raportowania incydentó - zgłoszenie incydentu w ramach DORA będzie wystarczające). NIS 2 obejmuje podmiotyfinansowe jedynie w zakresie w jakim DORA nie reguluje danego zagadnienia (np. kwestie dostawców wysokiego ryzka, poleceń zabepieczających).

Zakres zastosowania DORA / NIS2
Banki, zakłady ubezpieczeń, zarządzający funduszami
Zastosowanie regulacji
DORA jako lex specialis wobec NIS2 w zakresie zarządzania ryzykiem ICT i incydentów
Nadzór
Organy nadzoru finansowego (np. KNF, EBA, EIOPA, ESMA)
Krytyczni dostawcy usług ICT dla sektora finansowego (CTPP)
Zastosowanie regulacji
DORA (bezpośredni nadzór UE) + możliwe równoległe zastosowanie NIS2
Nadzór
Europejskie organy nadzoru w ramach DORA + krajowe organy cyberbezpieczeństwa (jeśli NIS2 ma zastosowanie)
Niekrytyczni dostawcy usług ICT działający w wielu sektorach
Zastosowanie regulacji
NIS2 + wymogi umowne i nadzorcze wynikające z DORA wobec klientów finansowych
Nadzór
Krajowe organy ds. cyberbezpieczeństwa
Dostawcy ICT działający wyłącznie poza sektorem finansowym (np. ochrona zdrowia, przemysł)
Zastosowanie regulacji
NIS2
Nadzór
Krajowe organy ds. cyberbezpieczeństwa

6.Podsumowanie

Art. 17 DORA – pełne brzmienie
Art.17.1 Podmioty finansowe definiują, ustanawiają i wdrażają proces zarządzania incydentami ICT w celu wykrywania, zarządzania i zgłaszania incydentów ICT. Art.17.2 Podmioty finansowe rejestrują wszystkie incydenty ICT i istotne zagrożenia cybernetyczne. Podmioty finansowe ustanawiają odpowiednie procedury i procesy w celu zapewnienia spójnego i zintegrowanego monitorowania, obsługi i monitorowania incydentów ICT, aby zapewnić identyfikację, udokumentowanie i usunięcie przyczyn źródłowych w celu zapobiegania wystąpieniu takich incydentów. Art.17.3 Proces zarządzania incydentami ICT, o którym mowa w ust. 1, powinien: (a) wprowadzić wskaźniki wczesnego ostrzegania; (b) ustanowić procedury identyfikacji, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów ICT według ich priorytetu i wagi oraz według krytyczności usług, których dotyczą, zgodnie z kryteriami określonymi w art. 18 ust. 1; (c) przypisać role i obowiązki, które należy aktywować w przypadku różnych typów i scenariuszy incydentów związanych z ICT; (d) określić plany komunikacji z personelem, interesariuszami zewnętrznymi i mediami zgodnie z artykułem 14 oraz dotyczące powiadamiania klientów, wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, a także przekazywania informacji podmiotom finansowym działającym jako odpowiedniki, w stosownych przypadkach;
Autor
Aleksandra Nogajczyk
Prawnik,specjalista ds. zgodności regulacyjnej w obszarze cyberbezpieczeństwa
Data publikacji
January 30, 2026