top of page
Vyhľadávanie

NIS2 a DORA: čo platí pre finančný sektor a kde firmy robia chybu

  • May 11
  • 4 minút čítania

Keď sa vo firme otvorí téma NIS2 a DORA, veľmi rýchlo vznikne zmätok. Časť tímu má pocit, že ide o dve rôzne regulácie pre tú istú oblasť. Iní si myslia, že DORA je len „finančná verzia NIS2“. V praxi je však dôležité pochopiť hlavne to, že NIS2 a DORA sa prekrývajú len čiastočne a vo finančnom sektore nemajú rovnakú úlohu.


NIS2 a DORA

NIS2 je široký rámec kybernetickej bezpečnosti pre viaceré sektory. DORA je naopak sektorovo špecifické nariadenie zamerané na digitálnu prevádzkovú odolnosť finančných subjektov. Ak ste banka, poisťovňa, investičná spoločnosť alebo iný regulovaný finančný subjekt, nestačí vedieť, že sa vás týka kybernetická bezpečnosť všeobecne. Potrebujete vedieť, podľa akého rámca máte riadiť IKT riziká, oznamovať incidenty, testovať odolnosť a pracovať s rizikami tretích strán.

Práve tu sa láme rozdiel medzi NIS2 a DORA.


Čo je rozdiel medzi NIS2 a DORA

NIS2 je európska smernica, ktorá stanovuje spoločný rámec kybernetickej bezpečnosti pre široké spektrum sektorov, ako sú energetika, doprava, zdravotníctvo, digitálna infraštruktúra či verejná správa.


DORA je európske nariadenie určené pre finančný sektor. Nastavuje jednotné pravidlá digitálnej prevádzkovej odolnosti pre finančné subjekty, ako sú:

  • banky,

  • poisťovne,

  • investičné firmy,

  • platobné inštitúcie,

  • inštitúcie elektronických peňazí,

  • a ďalšie regulované subjekty finančného trhu.

To znamená, že NIS2 rieši kybernetickú bezpečnosť horizontálne naprieč sektormi, zatiaľ čo DORA ide vo finančnom sektore oveľa hlbšie do detailu.


Prečo sa NIS2 a DORA často zamieňajú

Dôvod je jednoduchý. Obe regulácie hovoria o rizikách, odolnosti, incidentoch, zodpovednosti vedenia a potrebe systematického prístupu ku kybernetickej bezpečnosti. Na prvý pohľad preto pôsobia, akoby išlo o dva predpisy pre tú istú tému.


Lenže vo finančnom sektore je situácia presnejšia. DORA je sektorovo špecifický rámec, ktorý v kľúčových oblastiach nastavuje konkrétnejšie pravidlá než všeobecný režim NIS2. Preto nie je správne pozerať sa na tieto dve regulácie ako na duplicitné povinnosti bez rozdielu.

Pre firmu je dôležitejšie položiť si inú otázku: ktorá regulácia je pre nás rozhodujúca pri každodennej praxi, riadení rizík a dokazovaní súladu?


NIS2 a DORA

Kedy má pre firmu hlavný význam DORA

Ak ste finančný subjekt, ktorý spadá pod DORA, práve tento rámec bude pre vás rozhodujúci pri nastavovaní povinností v oblasti digitálnej prevádzkovej odolnosti.


V praxi to znamená, že firma musí vedieť riešiť najmä tieto oblasti:

  • riadenie IKT rizík ako súčasť interného rámca riadenia,

  • evidenciu, klasifikáciu a oznamovanie významných IKT incidentov,

  • testovanie digitálnej prevádzkovej odolnosti,

  • riadenie rizík externých IKT dodávateľov,

  • zodpovednosť vedenia za schválenie a dohľad nad rámcom odolnosti.

Práve tu veľa firiem spraví chybu, keď si povie, že „veď to už riešime cez NIS2“. Vo finančnom sektore to často nestačí. DORA je detailnejšia a v niektorých oblastiach ide oveľa konkrétnejšie než všeobecný rámec smernice.


Kde NIS2 ostáva dôležitá aj pri DORA

To, že DORA je pre finančné subjekty špecifický rámec, ešte neznamená, že NIS2 môžete úplne ignorovať. NIS2 je stále dôležitá na pochopenie širšieho regulačného prostredia a národného modelu kybernetickej bezpečnosti.

Z pohľadu manažmentu je preto rozumné nepozerať sa na NIS2 a DORA ako na konkurenčné regulácie.


Presnejší pohľad vyzerá takto:

  • NIS2 vytvára širší rámec kybernetickej bezpečnosti v Európskej únii,

  • DORA je špecifický režim pre finančný sektor,

  • vo finančných subjektoch má pri IKT rizikách a oznamovaní incidentov hlavnú rolu DORA,

  • organizácia však stále potrebuje rozumieť aj širšiemu regulačnému kontextu a väzbám na ďalšie subjekty v skupine.

Tento rozdiel je dôležitý najmä pri skupinách, ktoré majú vedľa finančnej entity aj iné typy spoločností, dodávateľské väzby alebo služby mimo úzko regulovaného finančného jadra.


NIS2 a DORA

Kde firmy pri téme NIS2 a DORA robia najväčšiu chybu

Najväčší problém zvyčajne nie je v samotnom texte regulácie. Problém je skôr v tom, že firma nemá jednotný pohľad na svoje aktíva, kritické služby, dodávateľské závislosti a zodpovednosti.


V praxi sa opakujú najmä tieto chyby:

  • firma vníma NIS2 a DORA ako duplicitné povinnosti bez rozlíšenia,

  • finančný subjekt sa spolieha len na všeobecnú logiku NIS2 a podcení detailnosť DORA,

  • bezpečnosť sa rieši izolovane v IT, bez zapojenia vedenia a vlastníkov rizík,

  • organizácia nemá jasno, ktoré entity v skupine spadajú pod DORA a ktoré pod iný režim,

  • chýba prepojenie medzi reguláciou, registrom rizík a dôkazmi pre audit alebo dohľad.

Takéto nastavenie vedie k tomu, že firma síce vie pomenovať regulácie, ale nevie ich preložiť do každodennej praxe. A práve tam vzniká najväčší rozdiel medzi formálnym súladom a reálne fungujúcim systémom.


Prečo nestačí mať len zoznam povinností

Pri NIS2 aj DORA sa dá veľmi ľahko skĺznuť do prístupu, že si firma spraví zoznam požiadaviek a postupne ich „odškrtáva“. To však dlhodobo nestačí.

Ak má byť digitálna odolnosť udržateľná, musíte vedieť:

  • ktoré služby sú pre vás kritické,

  • ktoré aktíva ich podporujú,

  • aké zraniteľnosti a hrozby sú pre vás reálne,

  • kto je vlastníkom rizika,

  • a ako svoje rozhodnutia obhájite pred vedením, auditom alebo regulátorom.

Bez toho zostane regulácia len na úrovni dokumentov. Firma síce niečo má napísané, ale nevie to udržať v čase ani obhájiť pri preverovaní.


NIS2 a DORA

Ako pomáha RiskMinder

Ak má byť plnenie požiadaviek podľa NIS2 a DORA udržateľné, nestačí mať zoznam povinností a dokumenty „na kontrolu“. Potrebujete prehľad v rizikách, jednotné hodnotenie a výstupy, ktoré viete obhájiť pri audite alebo dohľade.


RiskMinder podporuje najmä procesnú časť riadenia rizík:

  • viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí,

  • používať jednotné hodnotenie rizík naviazané na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001,

  • priraďovať vlastníkov rizík a sledovať stav a vývoj riadených rizík,

  • rozširovať katalógy podľa potrieb,

  • generovať výstupy použiteľné pre audit, vedenie a dohľad.


Keď má firma jasno v tom, ktorý regulačný rámec sa na ňu vzťahuje, aké riziká z toho vyplývajú a kto za ne nesie zodpovednosť, NIS2 a DORA prestanú byť len právnou témou. Začnú fungovať ako praktický rámec na rozhodovanie, prioritizáciu a udržateľné riadenie digitálnej odolnosti.


FAQ

Aký je rozdiel medzi NIS2 a DORA?

NIS2 je všeobecný rámec kybernetickej bezpečnosti pre viaceré sektory, kým DORA je špecifické nariadenie pre finančný sektor.

Koho sa týka DORA?

DORA sa týka regulovaných finančných subjektov, ako sú banky, poisťovne, investičné firmy či platobné inštitúcie.

Prečo sa NIS2 a DORA často zamieňajú?

Pretože obe riešia riziká, incidenty, odolnosť aj zodpovednosť vedenia, ale nemajú rovnakú úlohu.

Kedy má pre firmu hlavný význam DORA?

Najmä vtedy, keď ide o finančný subjekt, ktorý musí riadiť IKT riziká, incidenty, testovanie odolnosti a dodávateľov podľa DORA. 

Je NIS2 dôležitá aj pri DORA?

Áno, NIS2 ostáva dôležitá pre širší regulačný kontext a pochopenie väzieb mimo samotného finančného rámca.

Akú chybu firmy pri NIS2 a DORA robia najčastejšie?

Často ich vnímajú ako duplicitné povinnosti bez rozlíšenia a nemajú jasno, ktorý rámec je pre nich v praxi rozhodujúci.


 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page