NIS2 i DORA nie mają tych samych celów. Dyrektywa NIS2 harmonizuje globalny poziom cyberbezpieczeństwa w całej UE. Jego celem jest zapewnienie, że firmy i organizacje najważniejsze dla sprawnego funkcjonowania naszego społeczeństwa osiągną wysoki poziom bezpieczeństwa cyfrowego.

Rozporządzenie DORA ma z kolei na celu wzmocnienie cyfrowej odporności operacyjnej całego sektora finansowego. Jego rolą jest zapewnienie, aby podmioty finansowe były w stanie przeciwstawić się i działać nieprzerwanie nawet w przypadku cyberataku. Sednem rozporządzenie jest zapewnienie dostępności usług i  prawidłowego ich działania dla klientów.

W praktyce oba teksty raczej się uzupełniają niż ze sobą konkurują. NIS2 ma na celu wzmocnienie ogólnego poziomu cyberbezpieczeństwa w UE, natomiast DORA dba o to, aby system finansowy pozostał funkcjonalny nawet w przypadku cyberataku.

NIS2 kładzie nacisk na bezpieczeństwo łańcucha dostaw, podczas gdy DORA koncentruje się na zarządzaniu ryzykiem stron trzecich.

Podobnie kary finansowe są wysokie i wymierne w przypadku NIS2 – aż do 2% światowego rocznego obrotu. Natomiast DORA woli pozostawić ocenę sankcji państwom członkowskim i ich właściwym organom. Z drugiej strony DORA stawia znacznie większe wymagania, jeśli chodzi o testy bezpieczeństwa: program testów odporności przynajmniej raz w roku i test penetracji pod kątem zagrożeń przynajmniej co 3 lata.

Prawdziwe pytanie brzmi: w przypadku mojej organizacji, który tekst ma pierwszeństwo między NIS2 a DORA?

Odpowiedź jest prosta: jeśli Twoja organizacja jest celem DORA – to ma ona pierwszeństwo przed NIS2.

Można przyjąć, że DORA to „lex specialis” bazujący na NIS2 ale dedykowany dla sektora finansowego.

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) ma kilka głównych celów, które obejmują:

1. Zapewnienie spójnych standardów bezpieczeństwa informatycznego: DORA stara się ustanowić spójne i wysokie standardy bezpieczeństwa informatycznego dla instytucji finansowych (takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne) we wszystkich krajach członkowskich Unii Europejskiej. Celem jest zwiększenie odporności sektora finansowego na cyberzagrożenia i zakłócenia operacyjne.
2. Ochrona danych klientów: DORA dąży do zapewnienia ochrony danych klientów instytucji finansowych poprzez zaostrzenie wymagań dotyczących zarządzania ryzykiem cybernetycznym oraz sposobów reagowania na incydenty bezpieczeństwa.
3. Stabilność finansowa: Poprzez zwiększenie operacyjnej odporności sektora finansowego na cyberzagrożenia, DORA ma na celu zapewnienie stabilności finansowej w Unii Europejskiej i ochronę interesów konsumentów oraz inwestorów.
4. Wzmocnienie współpracy i wymiany informacji: DORA stawia sobie za cel poprawę współpracy między instytucjami finansowymi, organami regulacyjnymi oraz innymi podmiotami w zakresie cyberbezpieczeństwa, aby szybciej i skuteczniej reagować na zagrożenia.
5. Ułatwienie innowacji technologicznej: Pomimo ustanowienia restrykcyjnych standardów bezpieczeństwa, DORA dąży do zachęcania do innowacji technologicznej w sektorze finansowym poprzez promowanie bezpiecznego i odpowiedzialnego wykorzystania nowych technologii.

Poprzez realizację tych celów, DORA ma na celu zwiększenie bezpieczeństwa cyfrowego w sektorze finansowym Unii Europejskiej oraz zwiększenie zaufania klientów i inwestorów do instytucji finansowych.

• Instytucje bankowe, kredytowe, płatnicze i pieniądza elektronicznego (credit, payment and e-money institutions)
• Firmy inwestycyjne (investment firms)
• Rynki kryptowalut, dostawcy usług w zakresie aktywów kryptograficznych (crypto-asset service providers – CASPs, Markets in Crypto-Assets Regulation (MiCA)
• Emitenci tokenów opartych na aktywach (issuers of asset-referenced tokens)
• Centralne depozyty papierów wartościowych (central securities depositories – (CSDs)
• Kontrahenci centralni (central counterparties – CCPs)
• Systemy obrotu (trading venues)
• Repozytoria transakcji (trade repositories)
• Zarządzający alternatywnymi funduszami inwestycyjnymi (alternative investment fund managers – AIFMs)
• Spółki zarządzające (management companies)
• Dostawcy usług w zakresie udostępniania informacji (data reporting service providers – AIS)
• Zakłady ubezpieczeń i reasekuracji (insurance and reinsurance undertakings)
• Pośrednicy ubezpieczeniowi i reasekuracyjni (insurance and reinsurance intermediaries)
• Instytucje pracowniczych programów emerytalnych (institutions for occupational retirement pensions)
• Agencje ratingu kredytowego (credit rating agencies)
• Agencje audytu ustawowego i firmy audytorskie (statutory audit and audit firms)
• Administratorzy kluczowych wskaźników referencyjnych (administrators of critical benchmarks)
• Dostawcy usług finansowania społecznościowego (crowdfunding service providers)
• Repozytoria sekurytyzacji (securitisation repositories)
• Dostawcy usług ICT dla sektora, FinTech (ICT third-party service providers)

1.Ramy zarządzania ryzykiem ICT

• Zarządzanie ryzykiem musi być kompleksowe – na bazie całego otoczenia w jakim funkcjonuje firma (w tym w zakresie dostawców zew.)

2.Cyfrowa strategia odporności operacyjnej

• Strategia obejmuje całą firmę, jest monitorowana, wspiera cele biznesowe i obejmuje sposoby zarządzania ryzykami ICT na jakie wyeksponowana jest instytucja (z uwzględnieniem perspektywy stron trzecich/dostawców ICT)

3.Klasyfikacja i zgłaszanie incydentów

• Rozbudowany mechanizm zarządzania (szczególnie wykrywania incydentów – procesy, narzędzia SIEM, etc.) i rejestrowania incydentów
• Zgłaszanie poważnych incydentów ICT do nadzoru (KNF) i współpraca w ramach incydentu

4.Zwiększone wymagania dotyczące cyfrowych testów odporności operacyjnej

• Rozbudowane testy penetracyjne (w zależności od wielkości instytucji fin)
• Ćwiczenia symulacyjne sytuacji kryzowych (war games)

5.Zarządzanie dostawcami zew.

• Minimalizowanie ryzyka koncentracji i nadmiernej zależności od kluczowych stron trzecich z branży ICT (szacowanie ryzyka koncentracji – korzyści i koszty – business case)
• Wdrożenie strategii „wielu dostawców” dla zmniejszenia ryzyka
• Strategia wyjścia – plan na wypadek zawodności dostawcy (utrata ciągłości działania, reputacji, incydent bezp., bankructwo, monitorowanie dostawców)
• Podmioty finansowe mogą zawierać umowy jedynie z zewnętrznymi dostawcami usług ICT, którzy spełniają odpowiednie standardy bezpieczeństwa informacji

1. Ustalenie punk startu: w jakim zakresie mnie to dotyczy? Co i kiedy muszę zrobić? Ile będzie mnie to kosztować?
2. Finansowanie, budżet, roadmapa, strategia – spójna całość
3. Big Picture – identyfikacja krajobrazu w jakim funkcjonuje instytucja i jej otoczenie, zarządzanie ryzykiem, wypracowanie zasady proporcjonalności
4. Identyfikacja zależności od krytycznych dostawców ICT (ocena wpływu, kryteria, niezbędne zabezpieczenia umowne)
5. Dla dostawców ICT – wypracowanie jednego podejścia wobec swoich klientów w sektorze
6. Dla małych instytucji – wypracowany framework dla zapewnienia zgodności, wsparcie BPM