NIS2 vs. DORA: jaka jest różnica i czy musisz spełnić oba wymogi?
Dwie regulacje UE. Obie dotyczą cyberbezpieczeństwa. Krótka odpowiedź: DORA ma pierwszeństwo dla podmiotów finansowych, ale NIS2 pozostaje istotne dla Twoich dostawców ICT.
Czym są NIS2 i DORA?
NIS2 to szeroka dyrektywa obejmująca 18 sektorów z 10 środkami cyberbezpieczeństwa, zgłaszaniem incydentów i osobistą odpowiedzialnością zarządu.
DORA to rozporządzenie sektorowe wyłącznie dla sektora finansowego.
NIS2 vs ISO 27001 — Porównanie Wymagań
◈Tylko NIS2Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)Osobista odpowiedzialność zarządu za cyberbezpieczeństwoObowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowychSektorowe obowiązki regulacyjne⬡Wspólne WymaganiaZarządzanie ryzykiem bezpieczeństwa informacjiKontrola dostępu i zarządzanie tożsamościąCiągłość działania i odtwarzanie po awariiŚwiadomość bezpieczeństwa i szkolenia◇Tylko ISO 27001Cykle audytu wewnętrznego i przeglądów zarządzaniaDokumentacja Deklaracji Stosowalności (SoA)Formalna certyfikacja i audyt zewnętrzny◈Tylko NIS2Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)Osobista odpowiedzialność zarządu za cyberbezpieczeństwoObowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowychSektorowe obowiązki regulacyjne⬡Wspólne WymaganiaZarządzanie ryzykiem bezpieczeństwa informacjiKontrola dostępu i zarządzanie tożsamościąCiągłość działania i odtwarzanie po awariiŚwiadomość bezpieczeństwa i szkolenia◇Tylko ISO 27001Cykle audytu wewnętrznego i przeglądów zarządzaniaDokumentacja Deklaracji Stosowalności (SoA)Formalna certyfikacja i audyt zewnętrznyŚrodkowa kolumna przedstawia wymagania wspólne dla NIS2 i ISO 27001
Główne różnice
| NIS2 | DORA | |
|---|---|---|
| Typ | Dyrektywa (transpozycja krajowa) | Rozporządzenie (bezpośrednio stosowane) |
| Zakres | 18 sektorów | Tylko sektor finansowy |
| Stosowane od | Termin: paź 2024 (status wg kraju) | 17 stycznia 2025 |
| Pierwsze zgłoszenie | W ciągu 24 godzin | W ciągu 4 godzin |
| Osoby trzecie | Bezpieczeństwo łańcucha | Pełne zarządzanie ryzykiem ICT osób trzecich |
Lex specialis: DORA ma pierwszeństwo
Czy NIS2 Dotyczy Twojej Organizacji?
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼Nie▼2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼Nie▼✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
DotyczyMożliwe zastosowanieNie dotyczy
Scenariusze
Bank: DORA przede wszystkim, NIS2 jako siatka bezpieczeństwa. MSP dla banków: NIS2 dla własnych obowiązków (NIS2 dla MSP), DORA przez umowy z klientami. Sektor niefinansowy: Tylko NIS2 — zacznij od 10 środków artykułu 21.