norppa.io
Przewodniki

Przewodnik NIS2 · 8 min

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

NIS2 i DORA to dwa unijne reżimy cyberbezpieczeństwa, które w 2026 r. najprawdopodobniej trafią na to samo biurko — i są regularnie mylone. Mają wspólny cel (odporność operacyjna i cyfrowa) oraz wiele tych samych kontroli, ale dotyczą różnych organizacji, a dla sektora finansowego jeden ma pierwszeństwo przed drugim. Ten przewodnik wyjaśnia różnicę, pokrywanie się i jak ustalić, który dotyczy Ciebie — z jasną odpowiedzią dla zespołów łańcucha dostaw i stron trzecich obsługujących klientów objętych którymkolwiek.

Czym jest każdy z nich

Oba pochodzą z tego samego unijnego pakietu odporności z 2022 r., ale to różne instrumenty skierowane do różnych grup.

NIS2 — szeroki, międzysektorowy

Dyrektywa (transponowana do prawa krajowego, termin 17 paź 2024) obejmująca podmioty kluczowe i ważne w energetyce, transporcie, zdrowiu, wodzie, infrastrukturze cyfrowej, administracji publicznej, produkcji i innych. Ustala podstawowe środki zarządzania ryzykiem (art. 21) i zgłaszanie incydentów (art. 23).

DORA — sektor finansowy, skupiona na ICT

Rozporządzenie (stosowane bezpośrednio, obowiązuje od 17 sty 2025) dla unijnego sektora finansowego — banki, ubezpieczyciele, firmy inwestycyjne, dostawcy kryptoaktywów i inni — oraz nadzór nad ich krytycznymi zewnętrznymi dostawcami ICT. Ustala szczegółowe zasady zarządzania ryzykiem ICT, testów odporności i stron trzecich.

Gdzie się pokrywają

Jeśli dobrze wdrożyłeś jeden, wiele z drugiego wyda się znajome. Oba wymagają:

  • Odpowiedzialność kierownictwa — zarząd musi przejąć i nadzorować ryzyko cyber/ICT i może ponosić odpowiedzialność.
  • Środki zarządzania ryzykiem — udokumentowane, proporcjonalne kontrole w całym cyklu życia bezpieczeństwa.
  • Zgłaszanie incydentów — ustrukturyzowane powiadamianie organów w określonych terminach.
  • Ryzyko stron trzecich i łańcucha dostaw — odpowiadasz za ryzyko cyber wnoszone przez Twoich dostawców.
  • Testy i ciągłe doskonalenie — odporność ocenia się w czasie, nie certyfikuje raz.

Kluczowa zasada: DORA to lex specialis dla podmiotów finansowych

Oba reżimy zaprojektowano tak, by nie powielać regulacji. Dla podmiotów finansowych DORA to lex specialis — bardziej szczegółowe prawo, które ma pierwszeństwo. Tam, gdzie DORA i NIS2 obejmowałyby ten sam obszar zarządzania ryzykiem ICT lub zgłaszania incydentów dla podmiotu finansowego, stosuje się wymogi DORA, a równoważne przepisy NIS2 nie nakładają się dodatkowo.

W praktyce bank nie prowadzi dwóch równoległych programów cyber. Stosuje DORA do ryzyka ICT, testów, zgłaszania incydentów i nadzoru nad stronami trzecimi. NIS2 pozostaje istotny dla otaczającego ekosystemu — w tym wielu jego dostawców — ale sam podmiot finansowy podlega DORA w tematach, które się pokrywają.

Lex specialis ma zastosowanie, gdy akt sektorowy nakłada wymogi co najmniej równoważne NIS2. Granica może być niuansowa dla grup mieszanych; potwierdź swój status u właściwego organu.

Który dotyczy Ciebie?

Szybka pomoc w decyzji. Uczciwa odpowiedź dla wielu organizacji brzmi 'jeden bezpośrednio, drugi przez Twoich klientów'.

Podmiot finansowy (bank, ubezpieczyciel, firma inwestycyjna, dostawca kryptoaktywów…)

DORA stosuje się jako lex specialis do Twojego ryzyka ICT; równoważne przepisy NIS2 się nie dokładają.

Podmiot sektora krytycznego poza finansami (energetyka, zdrowie, transport, woda, infrastruktura cyfrowa, administracja publiczna…)

Stosuje się NIS2. Sprawdź sektory z załączników I/II i progi wielkości, aby potwierdzić swoją kategorię.

Dostawca ICT dla podmiotów finansowych

Obejmuje Cię reżim stron trzecich DORA przez umowy Twoich klientów; najwięksi dostawcy mogą zostać uznani za krytycznych i nadzorowani bezpośrednio przez ESA. Jeśli jesteś też dostawcą ICT/usług zarządzanych z załącznika I, możesz podlegać również NIS2.

Dostawca podmiotu NIS2

Obowiązek łańcucha dostaw NIS2 (art. 21 ust. 2 lit. d) dosięga Cię przez due diligence Twoich klientów — kwestionariusze, żądania dowodów i ciągły monitoring — nawet bez bezpośredniego wyznaczenia.

Wniosek dla zespołów łańcucha dostaw

Niezależnie od tego, czy Twój klient podlega DORA czy NIS2, wymaganie wobec Ciebie zbiega się: oba reżimy czynią organizacje odpowiedzialnymi za ryzyko cyber ich dostawców i oba traktują odporność jako coś ocenianego na bieżąco, a nie poświadczanego raz w roku. Dla dostawcy pytanie rzadko brzmi 'NIS2 czy DORA?' — brzmi 'czy mogę na żądanie wykazać, że moje bezpieczeństwo się broni?'

Dlatego zapewnianie wobec stron trzecich staje się ciągłe po obu stronach linii. Rejestr stron trzecich DORA banku i program dostawców NIS2 producenta proszą dostawców o to samo: aktualny, poparty dowodami dowód poziomu bezpieczeństwa, a nie przestarzały arkusz.

Źródła: Rozporządzenie (UE) 2022/2554 (DORA) oraz Dyrektywa (UE) 2022/2555 (NIS2). Potwierdź granicę pokrywania się u właściwego organu krajowego i w odpowiednich wytycznych ESA.

Jak pomaga norppa.io

norppa.io zapewnia ciągłe, poparte dowodami zapewnienie wobec Twoich dostawców i dostawców ICT — dokładnie to, czego oczekują teraz zarówno NIS2, jak i DORA. Każda monitorowana domena jest sprawdzana w ponad 100 punktach kontrolnych codziennie, zdarzenia krytyczne co sześć godzin, a wyniki można wyeksportować do rejestru informacji DORA lub akt dostawcy NIS2.

Kwestionariusze samooceny (SAQ) ujmują kontrole procesowe i umowne, a każda odpowiedź jest krzyżowo weryfikowana z bieżącym profilem technicznym — więc niezależnie od tego, czy audytor Twojego klienta powołuje się na DORA czy NIS2, możesz pokazać aktualne, potwierdzone dowody zamiast zapewnień.

Jedno źródło ciągłych dowodów o stronach trzecich

Zobacz przykładowy raport o dostawcy — wyniki, mapowanie artykułów i dowody — w dwie minuty.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.