6 grudnia, 2025
Headlines

Analiza NIS2 i DORA

Raport ekspercki: kompleksowa analiza regulacji NIS2 i DORA w zakresie cyfrowej odporności i cyberbezpieczeństwa UE

Wprowadzenie: Ewolucja Ram Prawnych UE

Wzrost intensywności i złożoności zagrożeń cybernetycznych oraz konieczność zapewnienia ciągłości krytycznych usług cyfrowych w Unii Europejskiej wymusiły radykalną aktualizację ram regulacyjnych. Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa (NIS2) oraz Rozporządzenie w sprawie cyfrowej odporności operacyjnej (DORA) stanowią dwa filary tej nowej strategii. Choć oba akty prawne dążą do podniesienia cyberodporności na kontynencie, różnią się zakresem podmiotowym, charakterem prawnym i metodyką egzekwowania, tworząc ujednolicony, lecz złożony system zgodności, szczególnie dla przedsiębiorstw działających w sektorach krytycznych i finansowych.

Niniejszy raport ma na celu szczegółowe przedstawienie genezy, zakresu podmiotowego, głównych obowiązków oraz mechanizmów nadzoru i sankcji przewidzianych w Dyrektywie NIS2 i Rozporządzeniu DORA. W analizie uwzględniono także kluczową relację prawną między tymi aktami, ze szczególnym naciskiem na zasadę lex specialis mającą zastosowanie w sektorze finansowym.

CZĘŚĆ I: DYREKTYWA NIS2 – WZMACNIANIE WSPÓLNEGO POZIOMU CYBERBEZPIECZEŃSTWA UE

1.1. Geneza, Cele i Ramy Prawne Dyrektywy NIS2

Dyrektywa NIS2 (Dyrektywa (UE) 2022/2555 z 14 grudnia 2022 r.) jest fundamentalną zmianą w polityce cyberbezpieczeństwa Unii Europejskiej.1 Została zaproponowana przez Komisję Europejską w grudniu 2020 r. w odpowiedzi na rosnące zagrożenia cyfryzacją oraz ograniczenia, jakie ujawniła jej poprzedniczka – Dyrektywa NIS1 (2016/1148).3 NIS2 nie jest zatem całkowicie nową regulacją, lecz niezbędną ewolucją i uchyleniem NIS1.4

Głównym celem NIS2 jest wzmocnienie cyberbezpieczeństwa w Unii Europejskiej poprzez rozszerzenie zakresu, wprowadzenie surowszych wymagań dotyczących zarządzania ryzykiem i raportowania incydentów oraz stworzenie kompleksowych ram dla wzmocnienia międzynarodowej współpracy w tym obszarze.5 Wprowadza to również większą harmonizację praktyk między państwami członkowskimi, wspierając wymianę informacji i wspólne inicjatywy.5

Charakter prawny i harmonogram

Jako dyrektywa, NIS2 nie jest bezpośrednio stosowalna, lecz wymaga transpozycji do prawa krajowego przez każde państwo członkowskie. Przykładowo, w Polsce proces ten wymaga nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).6 Dyrektywa weszła w życie w styczniu 2023 r., a państwa członkowskie miały obowiązek transpozycji do 17 października 2024 r..1 Z dniem 18 października 2024 r. NIS2 uchyliła NIS1.1

Kwestia charakteru prawnego dyrektywy jest istotna. Chociaż celem NIS2 jest stworzenie wysokiego i wspólnego poziomu cyberbezpieczeństwa, historycznie Dyrektywa NIS1 prowadziła do pewnej fragmentacji na poziomie krajowym.3 Oznacza to, że podmioty operujące transgranicznie muszą śledzić nie tylko sam tekst Dyrektywy, ale także konkretne krajowe przepisy implementacyjne, aby zapewnić pełną zgodność prawną. Ponadto, wyznaczony, krótki termin transpozycji postawił przedsiębiorstwa przed wyzwaniem strategicznym. Konieczność szybkiego dostosowania procedur 5 może prowadzić do koncentracji na formalnej zgodności (tzw. box-ticking), zamiast na rzeczywistym budowaniu i ugruntowaniu kultury cyberbezpieczeństwa w organizacji, co jest kluczowe dla efektywnej ochrony.7

1.2. Zakres Podmiotowy: Podmioty Kluczowe (EE) i Ważne (IE)

NIS2 znacząco rozszerza zakres podmiotowy w porównaniu do NIS1 (która dotyczyła głównie Operatorów Usług Kluczowych, OUK), włączając tysiące nowych podmiotów, w tym średnie przedsiębiorstwa i jednostki administracji publicznej.6 Przedsiębiorcy, na których nałożono obowiązki z zakresu cyberbezpieczeństwa, są klasyfikowani jako Podmioty Kluczowe (Essential Entities – EE) lub Podmioty Ważne (Important Entities – IE).2

Klasyfikacja ta jest uzależniona od sektora, wielkości i krytyczności świadczonych usług.10

Kryteria Klasyfikacji

  1. Podmioty Kluczowe (EE): Zalicza się do nich duże przedsiębiorstwa (zwykle definiowane jako podmioty zatrudniające co najmniej 250 pracowników lub osiągające roczny obrót przekraczający 50 milionów EUR) działające w 11 krytycznych sektorach.10 Ponadto, do EE zaliczani są dostawcy usług zaufania, dostawcy usług DNS, operatorzy publicznych sieci łączności elektronicznej, podmioty administracji publicznej oraz podmioty krytyczne zgodnie z Dyrektywą CER.11
  2. Podmioty Ważne (IE): Są to średnie i duże podmioty z określonych sektorów, które jednak nie spełniają wszystkich kryteriów dla EE.10

Włączenie podmiotów administracji publicznej do kategorii kluczowej nakłada na organy państwowe te same rygorystyczne standardy bezpieczeństwa co na największe podmioty komercyjne, wymuszając pilne inwestycje w infrastrukturę i szkolenia.

Konsekwencje Klasyfikacji dla Nadzoru i Egzekwowania

Właściwa klasyfikacja jest kluczowa, ponieważ determinuje rygor nadzoru i maksymalną wysokość sankcji:

  • EE podlegają surowszym środkom nadzorczym i egzekucyjnym (Art. 32), często o charakterze proaktywnym. Grożą im najwyższe kary: do 10 milionów EUR lub 2% całkowitego rocznego obrotu na świecie.7
  • IE podlegają nadzorowi o charakterze bardziej reaktywnym (Art. 33), a kary są niższe: do 7 milionów EUR lub 1.4% całkowitego rocznego obrotu na świecie.11

Błędna ocena własnego statusu (EE lub IE) może zatem prowadzić do nieproporcjonalnie wyższego ryzyka finansowego w przypadku stwierdzenia naruszenia.

Tabela 1: Klasyfikacja i Reżim Egzekwowania Dyrektywy NIS2

KryteriumPodmioty Kluczowe (EE)Podmioty Ważne (IE)
Definicja KluczowaDuże przedsiębiorstwa w 11 krytycznych sektorach, Dostawcy Usług Zaufania, Administracja Publiczna.Średnie i duże przedsiębiorstwa w sektorach kluczowych i ważnych, nie spełniające kryteriów EE.
NadzórStriktejsze środki nadzorcze i egzekucyjne (Art. 32), nadzór proaktywny.Środki nadzorcze reaktywne (Art. 33), nadzór ex post.
Maksymalna Kara Finansowa10 mln EUR lub 2% globalnego rocznego obrotu.7 mln EUR lub 1.4% globalnego rocznego obrotu.

1.3. Obowiązki Zarządzania Ryzykiem Cybernetycznym

Podmioty kluczowe i ważne mają obowiązek wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych, które uwzględniają specyfikę danej organizacji i stale dostosowują się do ewoluujących zagrożeń.2

Bezpieczeństwo Łańcucha Dostaw

Jednym z najważniejszych rozszerzeń NIS2 jest położenie silnego nacisku na bezpieczeństwo łańcucha dostaw.8 Wymaga to od podmiotów objętych Dyrektywą rozszerzenia audytów i procedur due diligence na ich kluczowych dostawców i usługodawców zewnętrznych. W przeciwieństwie do NIS1, gdzie bezpieczeństwo łańcucha dostaw było kwestią niszową, NIS2 czyni z niego strategiczny priorytet. Konsekwencją jest wzrost złożoności i kosztów związanych z zarządzaniem ryzykiem zewnętrznym, gdyż organizacje muszą teraz aktywnie monitorować i weryfikować poziom cyberbezpieczeństwa swoich partnerów biznesowych.8

Kultura Cyberbezpieczeństwa i Szkolenia

NIS2 wymaga aktywnego budowania kultury cyberbezpieczeństwa. Organizacje są zobligowane do prowadzenia kampanii podnoszących świadomość (np. symulowane ataki phishingowe) oraz do regularnej oceny skuteczności tych działań, dostosowując je do aktualnych potrzeb i zagrożeń.7 Wymóg ten podkreśla, że cyberbezpieczeństwo nie jest wyłącznie domeną IT, lecz wspólną odpowiedzialnością każdego pracownika.

1.4. Procedury Raportowania Incydentów i Gubernancja

Wieloetapowe Raportowanie Incydentów

Dyrektywa wprowadza szczegółową, wieloetapową procedurę zgłaszania incydentów, stanowiącą nowość w porównaniu do NIS1.13 Obowiązek zgłaszania incydentów cyberbezpieczeństwa do właściwych organów jest rozłożony w czasie. Sprawozdanie końcowe musi być wyczerpujące, zawierając szczegółowy opis incydentu, jego dotkliwości, skutków, rodzaju zagrożenia, zastosowanych środków ograniczających ryzyko oraz, w stosownych przypadkach, skutków transgranicznych.2

Co więcej, Dyrektywa przewiduje mechanizmy współpracy i wymiany informacji między organami nadzorczymi w różnych państwach członkowskich, dążąc do skoordynowanego i skutecznego egzekwowania przepisów w całej UE.7 W niektórych sytuacjach (np. gdy jest to niezbędne do zapobieżenia poważnemu incydentowi), właściwy organ lub CSIRT może podjąć decyzję o publicznym ujawnieniu wystąpienia incydentu, po konsultacji z podmiotem.13

Odpowiedzialność Organów Zarządzających

NIS2 wprowadza osobistą odpowiedzialność organów zarządzających za wdrożenie i nadzór nad wymaganymi środkami bezpieczeństwa.9 Brak należytej staranności w zarządzaniu ryzykiem cybernetycznym może skutkować nie tylko wysokimi karami finansowymi dla przedsiębiorstwa (do 2% obrotu) 9, ale także odpowiedzialnością cywilną lub karną dla członków zarządu.7

Ta zmiana przesuwa percepcję cyberbezpieczeństwa z wyzwania technicznego na strategiczny priorytet zarządczy. Wymaga to od kadry kierowniczej aktywnego włączenia się w procesy monitorowania i oceny ryzyka, a nie tylko delegowania ich do działu IT.7

CZĘŚĆ II: ROZPORZĄDZENIE DORA – CYFROWA ODPORNOŚĆ OPERACYJNA SEKTORA FINANSOWEGO

2.1. Charakter Prawny, Cele i Koncepcja Odporności Cyfrowej

Rozporządzenie w sprawie cyfrowej odporności operacyjnej dla sektora finansowego (Digital Operational Resilience Act – DORA, Rozporządzenie 2023/2554) ustanawia kompleksowe ramy regulacyjne dla unijnych podmiotów finansowych.14

Charakter Prawny i Czas Obowiązywania

Kluczową cechą DORA jest jej charakter jako Rozporządzenia. W przeciwieństwie do Dyrektywy NIS2, Rozporządzenie jest aktem prawnym, który obowiązuje bezpośrednio i jednolicie we wszystkich państwach członkowskich, eliminując potrzebę transpozycji krajowej.15 DORA weszła w życie 16 stycznia 2023 r., natomiast jej przepisy stały się w pełni egzekwowalne od 17 stycznia 2025 r., kończąc dwuletni okres przygotowawczy.6

Cel i Definicja

Głównym celem DORA jest zwiększenie odporności sektora finansowego na zagrożenia cybernetyczne i operacyjne, w szczególności zakłócenia wynikające z awarii systemów informatycznych lub cyberataków.18

Operacyjna odporność cyfrowa jest definiowana jako zdolność podmiotu rynku finansowego do budowania, gwarantowania i weryfikowania swojej integralności i niezawodności w zakresie sieci i systemów informatycznych.19 Regulacja ta oznacza fundamentalne przesunięcie akcentu z samej prewencji (bezpieczeństwa) na zdolność do przetrwania (odporności) i szybkiego powrotu do normalnego funkcjonowania po incydencie. Jest to kluczowe, ponieważ każdy przestój w sektorze finansowym ma natychmiastowe i potencjalnie systemowe konsekwencje dla rynku.

2.2. Zakres Podmiotowy: Instytucje Finansowe i Dostawcy ICT

DORA obejmuje szeroki segment rynku finansowego, liczący ponad 20 kategorii podmiotów, w tym banki, firmy ubezpieczeniowe, firmy inwestycyjne oraz podmioty świadczące specjalistyczne usługi, takie jak handel elektroniczny i algorytmiczny, ratingi kredytowe, operacje pożyczkowe, finansowanie P2P i pośrednictwo ubezpieczeniowe.16

Krytyczni Dostawcy Usług ICT Stron Trzecich (CTPPs)

Najbardziej rewolucyjnym elementem DORA jest rozszerzenie ram regulacyjnych na zewnętrznych dostawców usług ICT (Information and Communication Technology), zwłaszcza tych, którzy świadczą usługi uznane za krytyczne dla podmiotów finansowych (CTPPs).14 DORA uznaje, że ryzyko systemowe w sektorze finansowym w dużej mierze przeniosło się na ekosystem dostawców technologii.

CTPPs podlegają nowemu, ogólnounijnemu systemowi nadzoru. Nadzór ten jest przydzielany Europejskim Urzędom Nadzoru (ESAs): Europejskiemu Urzędowi Nadzoru Bankowego (EBA), Europejskiemu Urzędowi Nadzoru Papierów Wartościowych i Rynków (ESMA) oraz Europejskiemu Urzędowi Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), które działają jako Lead Overseers.14 W ramach swoich uprawnień, ESAs mogą żądać informacji, prowadzić inspekcje oraz wydawać rekomendacje CTPPs, we współpracy z ENISA oraz krajowymi organami nadzoru.14

2.3. Pięć Filarów Cyfrowej Odporności Operacyjnej

Implementacja DORA opiera się na pięciu wzajemnie powiązanych filarach, które kompleksowo regulują cyfrową odporność operacyjną.17

Filar 1: Zarządzanie Ryzykiem ICT

Wymaga od instytucji finansowych ustanowienia kompleksowych ram zarządzania ryzykiem ICT, w tym zarządzania bezpieczeństwem danych, aplikacji i sieci.20 Celem jest zapewnienie integralności i niezawodności sieci i systemów.19 Wymóg ten nakłada na organ zarządzający obowiązek aktywnego monitorowania i kontrolowania procesów związanych z technologiami informacyjno-komunikacyjnymi.18

Filar 2: Zarządzanie Incydentami ICT

Instytucje muszą wdrożyć środki umożliwiające szybkie wykrywanie, klasyfikację i ocenę wpływu incydentów. DORA ujednolica sposoby zgłaszania incydentów oraz wymaga szczegółowego raportowania poważnych zdarzeń do właściwych organów nadzoru.20 Ponadto, wymaga się ustanowienia procedur reagowania na incydenty w celu złagodzenia ich wpływu oraz zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.18 Organ zarządzający musi być informowany o poważnych incydentach wraz z analizą wpływu, reakcji i proponowanych dodatkowych kontroli.18

Filar 3: Testowanie Operacyjnej Odporności Cyfrowej

Wymóg cyklicznego testowania odporności cyfrowej jest kluczowy dla weryfikacji zdolności podmiotu do reagowania. Rozporządzenie określa wymogi dotyczące zaawansowanego testowania, w tym Testów Penetacyjnych Opartych na Zagrożeniach (Threat-Led Penetration Testing – TLPT).18 Testy TLPT są obowiązkowe dla krytycznych podmiotów i mają na celu symulowanie realistycznych, zaawansowanych ataków, co umożliwia weryfikację faktycznej odporności systemów na wysokim poziomie zaawansowania.

Filar 4: Zarządzanie Ryzykiem Stron Trzecich w Branży ICT (TPRM)

DORA nakłada surowe wymogi dotyczące zarządzania ryzykiem związanym z outsourcingiem usług ICT. Instytucje muszą przeprowadzać dogłębną analizę ryzyka.19 Wymaga się, aby umowy z dostawcami usług ICT (szczególnie tych wspierających krytyczne funkcje) były sformułowane w sposób umożliwiający ich natychmiastowe wypowiedzenie w konkretnych sytuacjach.19 Najważniejszym elementem jest obowiązek posiadania Planu Wyjścia (Exit Plan), który musi zapewniać ciągłość działalności i zachowanie zgodności regulacyjnej bez obniżania jakości usług dla klientów.19 Brak udokumentowanego planu wyjścia jest traktowany jako poważne zaniedbanie zagrażające ciągłości operacyjnej.

Filar 5: Wymiana Informacji o Zagrożeniach

DORA promuje aktywną wymianę informacji o cyberzagrożeniach i lukach między podmiotami finansowymi w celu budowania zbiorowej odporności sektora.17

Tabela 2: Pięć Filarów Cyfrowej Odporności Operacyjnej DORA

Filar DORAGłówne WymogiZnaczenie Operacyjne
Zarządzanie Ryzykiem ICTWdrożenie kompleksowych ram, zabezpieczenie aplikacji, sieci i danych.Integracja zarządzania ryzykiem technologicznym na poziomie korporacyjnym.
Zarządzanie IncydentamiKlasyfikacja, ocena wpływu, procedury reagowania i zgłaszania (do organów i Zarządu).Szybka reakcja, minimalizacja strat, zapewnienie ciągłości usług (RTO).
Testowanie OdpornościCykliczne testy narzędzi i systemów; obowiązkowe TLPT dla krytycznych podmiotów.Weryfikacja faktycznej zdolności systemów do przetrwania realistycznych, zaawansowanych ataków.
Zarządzanie Ryzykiem Stron TrzecichDue diligence dostawców, klauzule umowne, w tym obowiązkowy Exit Plan.Redukcja ryzyka systemowego wynikającego z zależności od pojedynczych dostawców ICT.
Wymiana InformacjiAktywna wymiana informacji o zagrożeniach i lukach.Budowanie zbiorowej odporności sektora i szybkie dostosowywanie się do nowych wektorów ataku.

CZĘŚĆ III: INTERAKCJA REGULACYJNA – NIS2 i DORA W KONTEKŚCIE ZGODNOŚCI

3.1. Zasada Lex Specialis i Reguła Wyłączenia

Chociaż Dyrektywa NIS2 i Rozporządzenie DORA są skoordynowane i współistnieją, aby zwiększyć odporność cybernetyczną UE 3, ich stosunek regulowany jest zasadą lex specialis derogat legi generali (prawo szczególne uchyla prawo ogólne) w odniesieniu do sektora finansowego.

Regułowana Koegzystencja i Wyłączenie

DORA działa jako standard odniesienia dla cyfrowej odporności w sektorze finansowym. Zgodnie z Art. 2 ust. 4 DORA, Dyrektywa NIS2 nie ma zastosowania do podmiotów, które zostały objęte i zwolnione z jej stosowania na mocy DORA.12

Praktycznie oznacza to, że instytucje finansowe (np. banki, firmy ubezpieczeniowe) w zakresie swojej operacyjnej odporności cyfrowej stosują wyłącznie bardziej rygorystyczne i szczegółowe wymogi Rozporządzenia DORA. Wyłączenie to ma na celu uniknięcie nakładania się obowiązków i potencjalnego konfliktu między ramami nadzorczymi (KNF/ESAs w DORA, a CSIRT/właściwe organy w NIS2).

Scenariusz Złożonej Zgodności

Reguła ta nie eliminuje jednak całkowicie ryzyka podwójnej regulacji dla wszystkich uczestników rynku. Podmioty świadczące usługi ICT, które dostarczają krytyczne usługi dla sektora finansowego (CTPPs pod DORA), mogą jednocześnie kwalifikować się jako Podmioty Kluczowe (EE) lub Ważne (IE) na mocy Dyrektywy NIS2.6 Taka firma technologiczna musi zatem spełniać ogólne wymogi zarządzania ryzykiem i raportowania NIS2 w zakresie swoich standardowych operacji, a jednocześnie podlegać bezpośredniemu i proaktywnemu nadzorowi ESAs w zakresie usług świadczonych na rzecz sektora finansowego na mocy DORA.14 Taka złożoność wymaga od dostawców ICT starannego mapowania obowiązków i dostosowania wewnętrznych procedur audytowych.

3.2. Porównanie Kluczowych Wymogów Operacyjnych

Różnice między NIS2 a DORA leżą w szczegółowości wymogów operacyjnych. NIS2 koncentruje się na harmonizacji minimalnych standardów i ogólnej higienie cybernetycznej, podczas gdy DORA narzuca szczegółowe, obowiązkowe mechanizmy odporności, ściśle dostosowane do specyfiki i ryzyka systemowego sektora finansowego.

Tabela 3: Analiza Porównawcza – DORA vs. NIS2

Aspekt PrawnyRozporządzenie DORA (UE 2023/2554)Dyrektywa NIS2 (UE 2022/2555)
Typ Aktu PrawnegoRozporządzenie (Obowiązuje bezpośrednio)Dyrektywa (Wymaga transpozycji krajowej)
Sektor GłównySektor Finansowy (Lex Specialis)Szerokie Sektory Krytyczne i Ważne
Data Stosowania/Wdrożenia17 stycznia 2025 r. (Stosowanie)17 października 2024 r. (Transpozycja)
Główny CelCyfrowa Odporność Operacyjna (Odporność, Reagowanie, Odbudowa)Wzmocnienie i Harmonizacja Cyberbezpieczeństwa (Prewencja, Reagowanie)
Kluczowe Wymogi5 Filarów, obowiązkowe TLPT, TPRM z Exit Plan.Proporcjonalne środki T/O/O, bezpieczeństwo łańcucha dostaw.
Mechanizm NadzoruESAs jako Lead Overseer (dla CTPPs); Krajowe organy nadzoru finansowego.Właściwe Organy Krajowe/CSIRT.

CZĘŚĆ IV: EGZEKWOWANIE PRAWA, KARY I STRATEGIE ZGODNOŚCI

4.1. Mechanizmy Egzekwowania i Sankcje Finansowe

Nieprzestrzeganie wymogów NIS2 i DORA może prowadzić do poważnych sankcji, choć mechanizmy ich nakładania są odmienne ze względu na charakter prawny obu aktów.22

Reżim Sankcyjny NIS2

NIS2 ustanawia jasne, zharmonizowane pułapy kar pieniężnych oparte na globalnym rocznym obrocie. Jak wspomniano, kary dla Podmiotów Kluczowych sięgają 10 milionów EUR lub 2% całkowitego rocznego obrotu na świecie, a dla Podmiotów Ważnych – 7 milionów EUR lub 1.4% rocznego obrotu.11

Organy nadzorcze w państwach członkowskich dysponują szerokim wachlarzem środków, w tym wydawaniem nakazów usunięcia uchybień w określonym terminie, ostrzeżeń oraz nakładaniem dotkliwych kar.7 Konsekwencje te wykraczają poza sferę finansową, prowadząc do poważnych szkód wizerunkowych i utraty zaufania.7

Reżim Sankcyjny DORA

DORA wymaga od państw członkowskich określenia własnych przepisów ustanawiających kary administracyjne i środki naprawcze, które muszą być skuteczne, proporcjonalne i odstraszające.23 Właściwe organy nadzoru otrzymują uprawnienia do prowadzenia dochodzeń, wydawania nakazów zaprzestania naruszeń oraz wymagania zastosowania wszelkiego rodzaju środków naprawczych, również o charakterze pieniężnym.23

Delegowanie określenia wysokości kar do prawa krajowego, mimo iż DORA jest Rozporządzeniem, prowadzi do zróżnicowania ryzyka finansowego w UE. Przykładowo, w polskim projekcie ustawy wdrażającej DORA, kary dla osoby prawnej mogą wynieść do 21 milionów PLN lub 10% przychodów netto ze sprzedaży, a dla członka organu zarządzającego do 3 milionów PLN.23

Przy wymierzaniu kar, organ nadzorczy musi uwzględnić wagę i czas trwania naruszenia, jego umyślny charakter lub wynik zaniedbania, sytuację finansową podmiotu oraz stopień współpracy.23 W kontekście DORA, poważne uchybienia w kluczowych filarach, takich jak brak wdrożenia wymaganego Exit Planu dla krytycznego dostawcy ICT, będą prawdopodobnie traktowane jako wysoce ryzykowne dla stabilności operacyjnej i skutkować będą surowymi sankcjami.

4.2. Strategiczne Wdrożenie i Perspektywy Długoterminowe

Efektywne dostosowanie się do NIS2 i DORA wymaga podejścia strategicznego, wykraczającego poza wymianę sprzętu lub oprogramowania. Jest to szansa na wzmocnienie pozycji rynkowej i przewagi konkurencyjnej w erze powszechnej cyfryzacji.7

  1. Gubernancja (NIS2 i DORA): Niezbędne jest aktywne zaangażowanie organów zarządzających, które ponoszą osobistą odpowiedzialność za zarządzanie ryzykiem. Cyberbezpieczeństwo musi być traktowane jako strategiczny priorytet, co wymaga włączenia CISO/CIO w procesy decyzyjne na najwyższym szczeblu.
  2. Ryzyko Zewnętrzne (NIS2 i DORA): Podmioty muszą przeprowadzić audyty due diligence i restrukturyzację umów z dostawcami. W sektorze finansowym kluczowe jest wprowadzenie klauzul dotyczących audytu, nadzoru oraz obowiązkowego Planu Wyjścia (Exit Plan).19
  3. Weryfikacja Odporności (DORA): Instytucje finansowe muszą nie tylko wdrożyć środki, ale udowodnić ich skuteczność poprzez cykliczne i zaawansowane testy odporności (TLPT).18
  4. Dokumentacja i Dowód Należytej Staranności: W obliczu surowych kar i osobistej odpowiedzialności, szczegółowe i regularne dokumentowanie wszystkich działań z zakresu zarządzania ryzykiem, testowania i reagowania na incydenty jest kluczowe jako dowód należytej staranności w przypadku kontroli nadzorczej.23

Wnioski

Dyrektywa NIS2 i Rozporządzenie DORA stanowią największą od lat reformę bezpieczeństwa cyfrowego w Unii Europejskiej, zmuszając tysiące organizacji do radykalnego podniesienia poziomu swojej cyberodporności.

DORA, jako lex specialis dla sektora finansowego, narzuca bardziej szczegółowe i rygorystyczne wymogi (Pięć Filarów, obowiązkowe TLPT, TPRM z Exit Planem), a jej bezpośrednie stosowanie od 17 stycznia 2025 r. zapewnia jednolitość zasad operacyjnych. Jednocześnie, delegowanie wymiaru kar do państw członkowskich stwarza potencjalne zróżnicowanie ryzyka finansowego w zależności od jurysdykcji.

NIS2 rozszerza zakres regulacji na liczne sektory krytyczne i ważne, wprowadzając osobistą odpowiedzialność kadry zarządzającej i standaryzując wysokie progi kar (do 2% obrotu). Jej implementacja, która wymaga transpozycji do prawa krajowego do końca 2024 r., stanowi pilne wyzwanie dla podmiotów dotąd nieobjętych ścisłym nadzorem.

Skuteczna zgodność z obiema regulacjami wymaga zintegrowanej strategii, która przekształca cyberbezpieczeństwo z wydatku technicznego w strategiczną inwestycję w ciągłość działania i zaufanie rynkowe. Podmioty muszą traktować te akty prawne nie tylko jako zestaw obowiązków, ale jako kompleksowe ramy do wzmocnienia swojej przewagi konkurencyjnej w cyfrowej gospodarce.

Cytowane prace

  1. Dyrektywa NIS 2: zabezpieczenie sieci i systemów informatycznych, otwierano: listopada 7, 2025, https://digital-strategy.ec.europa.eu/pl/policies/nis2-directive
  2. Walka z cyberprzestępczością – nowe obowiązki firm w Dyrektywie NIS2 | Biznes.gov.pl, otwierano: listopada 7, 2025, https://www.biznes.gov.pl/pl/portal/005120
  3. Wysoki wspólny poziom cyberbezpieczeństwa – NIS2, otwierano: listopada 7, 2025, https://www.europarl.europa.eu/RegData/etudes/ATAG/2022/738184/EPRS_ATA(2022)738184_PL.pdf
  4. NIS2 vs. DORA: Key Differences, Overlaps & Compliance Guide – Kymatio, otwierano: listopada 7, 2025, https://kymatio.com/blog/nis2-vs-dora-comparison—-what-applies-to-your-organization
  5. Czym jest dyrektywa NIS2? Definicja, cele, obowiązki, konsekwencje i terminy – nFlo, otwierano: listopada 7, 2025, https://nflo.pl/baza-wiedzy/czym-jest-dyrektywa-nis2-definicja-cele-obowiazki-konsekwencje-i-terminy/
  6. Nowe obowiązki dla firm w 2025 roku – NIS2, DORA, CRA. Jak się przygotować do zmian w cyberbezpieczeństwie? | Administrator IT / Poznań / Administrator Office 365 / Testy Penetracyjne / Recovery Disaster, otwierano: listopada 7, 2025, https://www.itns.pl/nowe-obowiazki-dla-firm-nis2-dora-cra/
  7. Jakie są główne wymagania dyrektywy NIS2? Kompleksowy przewodnik dla podmiotów objętych regulacją – nFlo, otwierano: listopada 7, 2025, https://nflo.pl/baza-wiedzy/jakie-sa-glowne-wymagania-dyrektywy-nis2-kompleksowy-przewodnik-dla-podmiotow-objetych-regulacja/
  8. Dyrektywa NIS 2: bezpieczeństwo łańcucha dostaw, otwierano: listopada 7, 2025, https://www.traple.pl/dyrektywa-nis-2-bezpieczenstwo-lancucha-dostaw/
  9. Jak przygotować się na NIS 2?, otwierano: listopada 7, 2025, https://nis2.trecom.pl/
  10. NIS 2 Essential and Important Entities – National Cyber Security Centre, otwierano: listopada 7, 2025, https://www.ncsc.gov.ie/pdfs/NCSC_NIS2_2_ENTITIES.pdf
  11. Which companies must comply with NIS 2? Essential vs. important entities – Advisera, otwierano: listopada 7, 2025, https://advisera.com/articles/who-does-nis2-apply-to/
  12. Obowiązki podmiotów kluczowych i ważnych w dyrektywie NIS 2 – Cyberpolicy NASK, otwierano: listopada 7, 2025, https://cyberpolicy.nask.pl/obowiazki-podmiotow-kluczowych-i-waznych-w-dyrektywie-nis2/
  13. Dyrektywa NIS 2 – obowiązki w zakresie zgłaszania incydentów, otwierano: listopada 7, 2025, https://www.traple.pl/dyrektywa-nis-2-obowiazki-w-zakresie-zglaszania-incydentow/
  14. Digital Operational Resilience Act | European Banking Authority, otwierano: listopada 7, 2025, https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act
  15. Czym jest DORA (Digital Operational Resilience Act)? – Sisoft, otwierano: listopada 7, 2025, https://www.sisoft.pl/baza-wiedzy/cyfrowa-odpornosc-operacyjna-dora
  16. Digital Operational Resilience Act (DORA) – EIOPA – European Union, otwierano: listopada 7, 2025, https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
  17. Czym jest DORA? – PwC Polska, otwierano: listopada 7, 2025, https://www.pwc.pl/pl/artykuly/dora-dlaczego-to-jest-dla-ciebie-istotne.html
  18. Rozporządzenie DORA, czyli o cyfrowej odporności operacyjnej – PARP, otwierano: listopada 7, 2025, https://poir.parp.gov.pl/component/content/article/86690:rozporzadzenie-dora-czyli-o-cyfrowej-odpornosci-operacyjnej
  19. Rozporządzenie DORA (Digital Operational Resilience Act) o cyfrowej odporności operacyjnej – czym jest i kogo dotyczy? – Kancelaria After Legal, otwierano: listopada 7, 2025, https://afterlegal.pl/rozporzadzenie-dora-digital-operational-resilience-act/
  20. Kluczowe wymogi Rozporządzenia DORA – kogo dotyczy regulacja i jak uzyskać zgodność?, otwierano: listopada 7, 2025, https://securivy.com/blog/kluczowe-wymogi-rozporzadzenia-dora-kogo-dotyczy-regulacja-i-jak-uzyskac-zgodnosc/
  21. Testy TLPT – nowe podejście do testowania cyfrowej odporności organizacji – KNF, otwierano: listopada 7, 2025, https://www.knf.gov.pl/?articleId=90547&p_id=18
  22. NIS2 vs. DORA: differences and common misconceptions – activeMind.legal, otwierano: listopada 7, 2025, https://www.activemind.legal/guides/nis2-dora/
  23. Kary administracyjne i środki naprawcze z rozporządzenia DORA, otwierano: listopada 7, 2025, https://arminska.pl/kary-i-srodki-naprawcze-rozporzadzenie-dora/

Źródło: Gemini by Google

Masz więcej pytań? Zapytaj naszego doradcę

Chcesz dowiedzieć się czy potrzebujesz ochrony w swoim biznesie lub masz inne pytania?

Napisz: info@cyberinsurance.pl lub wyślij informację przez formularz poniżej.

Umów bezpłatną diagnozę 20 min i połącz Cyber Protection™ z Cyber Safety™ w swojej firmie.

Imię i nazwisko
Polisa Cyber Safety dla firm