Strona główna
Blog
Regulacje DORA i NIS2: kluczowe zmiany w cyberbezpieczeństwie
27 sierpnia 2025

Regulacje DORA i NIS2: kluczowe zmiany w cyberbezpieczeństwie

Spis treści
Czym są NIS2 i DORA?
Kogo dotyczą regulacje?
Jakie obowiązki nakładają te regulacje?
NIS2
DORA
Kary za niedostosowanie się do przepisów

W obliczu rosnących zagrożeń cybernetycznych, Unia Europejska wprowadziła dwie istotne regulacje: Dyrektywę NIS2 oraz Rozporządzenie DORA. Oba akty prawne mają na celu zwiększenie poziomu bezpieczeństwa cyfrowego w różnych sektorach gospodarki. Poniżej przedstawiamy szczegóły dotyczące tych regulacji, ich zakresu oraz wpływu na różne branże.

Czym są NIS2 i DORA?

Dyrektywa NIS2 (Network and Information Systems Directive) jest nową regulacją, która zastępuje wcześniejszą dyrektywę NIS z 2016 roku. Jej głównym celem jest ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa w Europie. Wprowadza ona nowe obowiązki dla podmiotów kluczowych i ważnych, a także rozszerza zakres regulacji na nowe branże, w tym:

  • Energetyka
  • Transport
  • Bankowość i finanse
  • Opieka zdrowotna
  • Administracja publiczna

Z kolei Rozporządzenie DORA (Digital Operational Resilience Act) koncentruje się na sektorze finansowym, zaostrzając wymogi dotyczące oceny ryzyka oraz sprawozdawczości. Rozporządzenie to wejdzie w życie 17 stycznia 2025 roku i będzie miało zastosowanie do instytucji finansowych, takich jak banki i firmy ubezpieczeniowe

Kogo dotyczą regulacje?

Regulacje NIS2 i DORA obejmują szeroki zakres podmiotów:

  • NIS2: Dotyczy średnich i dużych przedsiębiorstw z sektorów publicznych i prywatnych, które świadczą usługi na terenie UE. Kryteria obejmują m.in. wielkość przedsiębiorstwa (minimum 50 pracowników) oraz roczne obroty przekraczające 10 milionów euro
  • DORA: Skierowane głównie do instytucji finansowych, które muszą dostosować swoje procedury do nowych wymogów dotyczących zarządzania ryzykiem i bezpieczeństwa systemów informacyjno-telekomunikacyjnych

Jakie obowiązki nakładają te regulacje?

NIS2

Podmioty objęte dyrektywą NIS2 muszą wprowadzić szereg nowych procedur, w tym:

  • Analizę ryzyka i politykę bezpieczeństwa systemów informacyjnych.
  • Zgłaszanie incydentów cybernetycznych w ciągu 24 godzin.
  • Wdrożenie środków zarządzania ryzykiem oraz zabezpieczenie łańcuchów dostaw

DORA

Instytucje finansowe zobowiązane są do:

  • Opracowania zasad zarządzania ryzykiem związanym z systemami informacyjnymi.
  • Regularnej aktualizacji procedur bezpieczeństwa.
  • Wdrożenia mechanizmów monitorowania incydentów i ich zgłaszania

Kary za niedostosowanie się do przepisów

Obie regulacje przewidują surowe kary za naruszenia:

  • NIS2: Kary mogą wynosić do 10 milionów euro lub 2% rocznego obrotu dla podmiotów kluczowych oraz do 7 milionów euro lub 1,4% rocznego obrotu dla podmiotów ważnych
  • DORA: Również przewiduje kary administracyjne dla instytucji finansowych, które nie spełnią wymogów.

Regulacje DORA i NIS2 stanowią kluczowe elementy strategii Unii Europejskiej w zakresie cyberbezpieczeństwa. Ich wdrożenie ma na celu nie tylko zwiększenie odporności cyfrowej sektora finansowego, ale także ochronę krytycznych usług publicznych. Organizacje powinny już teraz rozpocząć przygotowania do dostosowania się do nowych wymogów, aby uniknąć potencjalnych sankcji oraz zapewnić bezpieczeństwo swoich operacji.