NIS2 vs DORA pokrywanie się zakresów dla agencji WordPress 2026
Dyrektywa 2022/2555 (NIS2) i rozporządzenie 2022/2554 (DORA) pokrywają podobny obszar, ale różną mechaniką. NIS2 to dyrektywa transponowana przez każde państwo członkowskie do prawa krajowego. DORA to rozporządzenie stosowane bezpośrednio. NIS2 obejmuje szeroki zestaw sektorów kluczowych i istotnych. DORA jest specyficzna dla finansów. Tam gdzie się pokrywają (większość zarządzania ryzykiem, obsługi incydentów, łańcucha dostaw), jedna dobrze zbudowana ścieżka dowodowa może obsłużyć oba reżimy. Tam gdzie DORA idzie dalej (Rejestr Informacji, TLPT), agencja WordPress musi dodać delty.
To artykuł wspierający wewnątrz filaru NIS2 i DORA na WordPressie, z odsyłaczami do ścieżki dowodowej Załącznika II, przewodnika po DORA art. 28, pól Rejestru Informacji i osi czasu zgłoszenia 24/72/30.
Streszczenie
- DORA jest lex specialis dla podmiotów finansowych; NIS2 stosuje się gdzie indziej.
- Pokrywanie: zarządzanie ryzykiem, obsługa incydentów, ciągłość działania, łańcuch dostaw, raportowanie.
- Tylko DORA: schemat Rejestru Informacji, TLPT dla podmiotów krytycznych, preskryptywne klauzule dla stron trzecich.
- Tylko NIS2: szersza obecność sektorowa (energia, transport, zdrowie, administracja publiczna), warianty transpozycji krajowej.
- Reguła praktyczna: jeśli którykolwiek klient ma DORA, buduj ścieżkę dowodową w standardzie DORA i obniżaj dla NIS2.
Jak NIS2 sama nazywa DORA
Artykuł 1(2) NIS2 mówi: tam gdzie sektorowe akty prawne Unii zobowiązują podmioty kluczowe lub istotne do zarządzania ryzykami cyberbezpieczeństwa albo do zgłaszania istotnych incydentów, stosuje się te przepisy sektorowe. DORA to jeden z takich aktów. Podmiot finansowy w zakresie DORA nie spełnia więc podwójnie: spełnia DORA, a odpowiednie przepisy NIS2 uznaje się za spełnione.
To, czego DORA wprost nie reguluje (np. części odpowiedzialności organu zarządzającego z NIS2, szkolenia, współpracę CSIRT sektorową), nadal pokrywa baza NIS2.
Dla agencji WordPress oznacza to: jeśli klient to bank, firma inwestycyjna, instytucja płatnicza, ubezpieczyciel, zarządzający aktywami, TPP zgodnie z PSD2 - DORA dominuje. Buduj na DORA. Jeśli klient to szpital, rejestr TLD, dystrybutor energii, operator pocztowy - NIS2 dominuje. Buduj na NIS2.
Co się pokrywa
Pięć dużych obszarów pokrywania, w których jeden artefakt obsługuje oba reżimy:
Zarządzanie ryzykiem. NIS2 art. 21 wymienia dziesięć środków; DORA art. 5-15 pokrywa ten sam obszar koncepcyjny w większym detalu. Rejestr ryzyka nazywający aktywa, zagrożenia, prawdopodobieństwo, wpływ i traktowanie spełnia oba. Poziom detalu różni się: DORA oczekuje większej granularności dla funkcji krytycznych albo istotnych; NIS2 oczekuje proporcjonalności.
Obsługa incydentów. NIS2 art. 22-23 i DORA art. 17-23 wymagają oba klasyfikacji, reakcji, odzyskania, post-mortemu i raportowania. Terminy raportowania różnią się nieznacznie (NIS2: 24h wczesne ostrzeżenie, 72h zgłoszenie, raport końcowy 1 miesiąc; DORA: podobnie, z szablonami sektorowymi). Wewnętrzny runbook reakcji na incydent można współdzielić.
Ciągłość działania. NIS2 art. 21(2)(c) i DORA art. 11 wymagają oba backupu, testowanego restore, off-site, z udokumentowanymi RPO i RTO. Jeden plan BCDR z jednym rocznym logiem drilla restore spełnia oba.
Kontrole łańcucha dostaw. NIS2 art. 21(2)(d) i DORA art. 28 wymagają oba rejestru dostawców, due diligence, klauzul umownych, planu wyjścia. Rejestr Informacji DORA ma surowszy schemat; budowa do DORA daje compliance NIS2 łańcucha dostaw za darmo.
Raportowanie. Oba wymagają raportowania do właściwego organu. NIS2 wskazuje krajowy CSIRT i właściwy organ; DORA raportuje do regulatora finansowego (krajowy plus ESAs). Wewnętrzne przygotowanie dowodu jest takie samo; adresat się różni.
Co DORA dodaje na wierzch
Trzy delty, w których DORA idzie dalej niż NIS2 i agencja WordPress musi dodać konkretne dowody:
Schemat Rejestru Informacji. Rozporządzenie wykonawcze 2024/2956 określa piętnaście tabel z nazwanymi kolumnami. Szczegółowo opisany w przewodniku po polach Rejestru Informacji. NIS2 nie ma odpowiednika; agencja pod obowiązkami tylko-NIS2 nie potrzebuje tego schematu.
Threat-led penetration testing. DORA art. 26 wymaga zaawansowanych TLPT dla podmiotów finansowych klasyfikowanych jako istotne. Agencja obsługująca infrastrukturę krytyczną dla takiego podmiotu może być w zakresie jako system testowany. NIS2 wspomina o obsłudze podatności szeroko, ale nie o TLPT.
Ryzyko koncentracji i zastępowalność. DORA art. 29 wymaga wyraźnej analizy koncentracji: ile funkcji krytycznych wspiera ta strona trzecia i jak łatwo ją zastąpić. Agencja musi umieć odpowiedzieć “kto inny zrobi tę pracę w osiem tygodni, jeśli znikniemy”. NIS2 nie ma porównywalnego preskryptywnego wymagania.
Co NIS2 dodaje na wierzch
Dwie delty, w których NIS2 idzie dalej niż DORA w kontekstach niefinansowych:
Szerokość sektorowa. Szpitale, ISP, operatorzy telekomunikacyjni, usługi pocztowe, produkcja żywności, administracja publiczna, organizacje badawcze są w NIS2. Większość nie w DORA. Agencja działająca przez wielu klientów sektorowych trzyma jedną ścieżkę zgodną z NIS2 per sektor.
Warianty transpozycji krajowej. Ponieważ NIS2 jest dyrektywą, każde państwo członkowskie wdraża szczegóły z lokalnym smakiem. Niemiecka transpozycja (KRITIS-DachG / NIS2UmsuCG) różni się od polskiej (KSC) i norweskiej. Agencja działająca transgranicznie trzyma mały dokument delt per jurysdykcja.
Jedna ścieżka dowodowa, oba reżimy
Praktyczny układ ścieżki dowodowej obejmujący oba:
00_governance/- rejestr ryzyka, zatwierdzenie organu zarządzającego, rytm review.01_zarzadzanie_ryzykiem/- mapowanie art. 21 / art. 5, kontrole, dowody.02_reakcja_na_incydenty/- runbook, tabletop drill, post-mortem, szablony 24/72/30.03_ciaglosc_dzialania/- polityka backupu, logi testów restore, plan BCDR.04_lancuch_dostaw/- rejestr dostawców, lista sub-procesorów, akta due diligence.05_dora_rejestr/- wejścia do Rejestru Informacji (15 tabel) dla klientów DORA.06_raportowanie/- poprzednie raporty, log adresatów, log terminów.07_jurysdykcje/- delty transpozycji NIS2 per państwo członkowskie.08_tlpt/- dla istotnych podmiotów DORA, raporty TLPT i mitigation.
Zbudowany raz, iterowany kwartalnie, kolejne review dostawców trwa godziny zamiast tygodni.
