Nowe obowiązki dla biznesu – DORA i NIS 2 w 2025

Od początku 2025 roku firmy w Unii Europejskiej muszą sprostać nowym, znacznie bardziej rygorystycznym regulacjom w zakresie cyberbezpieczeństwa i odporności cyfrowej. W życie weszły dwa kluczowe akty prawne: Rozporządzenie DORA oraz Dyrektywa NIS 2, które wprowadzają jednolite standardy zarządzania ryzykiem ICT oraz obowiązki w zakresie raportowania incydentów. Ich celem jest zwiększenie odporności organizacji na zakłócenia cyfrowe i cyberataki, a także ujednolicenie nadzoru nad podmiotami istotnymi dla funkcjonowania rynku wewnętrznego.

Czym jest DORA i dlaczego dotyczy także Twojej firmy?

Rozporządzenie DORA (Digital Operational Resilience Act) zostało przyjęte, by zapewnić spójne podejście do zarządzania ryzykiem cyfrowym w sektorze finansowym. Obowiązuje od 17 stycznia 2025 roku i obejmuje nie tylko banki, firmy inwestycyjne czy ubezpieczycieli, ale również dostawców usług technologicznych dla tych podmiotów – w tym firm chmurowych, operatorów oprogramowania oraz dostawców infrastruktury ICT.

DORA wprowadza jednolity zestaw wymagań, które muszą zostać wdrożone przez wszystkie objęte nią organizacje. Obejmują one m.in. obowiązek prowadzenia ciągłego nadzoru nad systemami ICT, wdrożenie procedur zarządzania incydentami oraz regularne testy odporności cyfrowej, takie jak symulacje ataków. Co istotne, DORA kładzie silny nacisk na kontrolę dostawców zewnętrznych, co oznacza konieczność przeglądu wszystkich kontraktów i mechanizmów nadzoru nad podwykonawcami.

NIS 2 – nowy standard cyberbezpieczeństwa w wielu sektorach

Równolegle z wejściem w życie DORA, obowiązywać zaczyna również znowelizowana Dyrektywa NIS 2 (Network and Information Security). Choć została przyjęta na poziomie unijnym w styczniu 2023 roku, jej transpozycja do prawa krajowego musiała nastąpić do 17 października 2024 roku. Obecnie – w czerwcu 2025 – regulacje te są już wdrażane przez większość państw członkowskich, w tym Polskę (projekt ustawy o krajowym systemie cyberbezpieczeństwa po raz kolejny został przekazany do konsultacji społecznych).

NIS 2 znacząco poszerza zakres podmiotów objętych obowiązkami w zakresie cyberbezpieczeństwa. Dotyczy przedsiębiorstw działających w 18 kluczowych sektorach gospodarki, takich jak energetyka, transport, zdrowie, farmacja, żywność, chemia, infrastruktura cyfrowa czy produkcja komputerów. Co więcej, dyrektywa nakłada obowiązki nie tylko na duże firmy – obejmuje również średnie i małe przedsiębiorstwa, które zatrudniają co najmniej 50 pracowników i osiągają roczny obrót lub wartość aktywów przekraczającą 10 mln euro.

W przypadku dostawców niektórych usług cyfrowych – takich jak DNS, rejestry domen, chmury obliczeniowe czy zaufane usługi identyfikacji elektronicznej – objęcie przepisami następuje automatycznie, niezależnie od skali działalności.

Jakie obowiązki nakładają nowe regulacje?

DORA i NIS 2 różnią się zakresem i grupą docelową, jednak wiele obowiązków się pokrywa. Oba akty koncentrują się na podniesieniu poziomu odporności na zagrożenia cyfrowe oraz wzmocnieniu nadzoru i odpowiedzialności za incydenty.

W przypadku DORA obowiązkowe jest:

• wdrożenie kompleksowego systemu zarządzania ryzykiem ICT,

• monitorowanie i raportowanie incydentów,

• testowanie odporności infrastruktury cyfrowej (w tym symulacje ataków),

• nadzór nad dostawcami usług ICT, w tym obowiązek renegocjacji umów outsourcingowych.

  
  

Z kolei NIS 2 nakazuje:

• wdrożenie polityk bezpieczeństwa opartych na analizie ryzyka,

• zapewnienie ciągłości działania i szybkie przywracanie sprawności systemów po incydentach,

• zgłaszanie incydentów bezpieczeństwa do krajowych organów nadzorczych,

• samodzielną identyfikację podmiotów podlegających przepisom oraz rejestrację w państwowym rejestrze.

Kluczowa różnica - klasyfikacja podmiotów

NIS 2 wprowadza rozróżnienie między podmiotami kluczowymi a podmiotami ważnymi. W obu przypadkach wymagania dotyczące cyberbezpieczeństwa są jednakowe, ale różni się sposób nadzoru i wysokość potencjalnych kar administracyjnych.

Dla podmiotów kluczowych:

• możliwy jest nadzór prewencyjny (ex ante),

• maksymalna kara: 10 mln euro lub 2% rocznego obrotu.

Dla podmiotów ważnych:

• nadzór odbywa się reaktywnie (ex post),

• maksymalna kara: 7 mln euro lub 1,4% rocznego obrotu.

W przypadku DORA wysokość sankcji została ustalona na poziomie do 2% obrotu rocznego.

Co powinny zrobić firmy?

W pierwszej kolejności należy przeprowadzić audyt zgodności z wymaganiami DORA i NIS 2. Ocena powinna objąć nie tylko systemy i infrastrukturę IT, ale również procedury, polityki bezpieczeństwa oraz gotowość pracowników do reagowania na incydenty.

Następnie organizacja powinna:

• ustalić, czy podlega regulacjom (samodzielna kwalifikacja i analiza działalności),

• dokonać rejestracji w odpowiednim rejestrze (w przypadku NIS 2),

• uzupełnić lub zaktualizować polityki zarządzania ryzykiem i ciągłości działania,

• opracować procedury reagowania na incydenty oraz zgłaszania ich do organów nadzorczych,

• wdrożyć mechanizmy kontrolne w relacjach z dostawcami zewnętrznymi.

Konsekwencje braku działania

Zaniechanie wdrożenia wymogów DORA i NIS 2 wiąże się nie tylko z ryzykiem kar finansowych. Brak zgodności może skutkować ograniczeniem możliwości współpracy z partnerami, utratą reputacji na rynku oraz realnym zagrożeniem dla ciągłości działalności w przypadku ataku. W szczególności sektor finansowy, objęty przepisami DORA, podlega wzmożonemu nadzorowi, a ryzyko sankcji i kontroli ze strony regulatorów jest realne.

Podsumowanie

Rok 2025 roku to moment, w którym DORA i NIS 2 zaczynają faktycznie obowiązywać w codziennym funkcjonowaniu tysięcy firm w Unii Europejskiej. Nie są to martwe przepisy – wymagają od przedsiębiorców konkretnych działań, inwestycji i przeglądu istniejących procedur. Czas na bierne oczekiwanie już się skończył.

Firmy, które nie zdążyły wdrożyć zmian przed wymaganym terminem, powinny niezwłocznie rozpocząć proces dostosowania. To ostatni moment, by uniknąć sankcji, zabezpieczyć swój biznes i zyskać przewagę konkurencyjną wynikającą z zgodności z regulacjami unijnymi.