NIS2-guide
Powrót do bloga
Sektor finansowy
DORA vs NIS2: praktyczny przewodnik dla banków, ubezpieczycieli i fintechów (2026)

DORA vs NIS2: praktyczny przewodnik dla banków, ubezpieczycieli i fintechów (2026)

9 min czytania
AD

Alexandre Durand

Dyrektor redakcyjny — Ekspert ds. cyberbezpieczeństwa

Poniedziałkowy poranek, 9:00. CISO polskiego banku otrzymuje dwa pisma. Pierwsze od KNF przypomina, że rozporządzenie DORA (rozporządzenie (UE) 2022/2554) obowiązuje w pełni od 17 stycznia 2025 r. Drugie od NASK informuje, że polska transpozycja NIS2 obejmuje teraz jego działalność. Proste pytanie, złożona odpowiedź: czy stosować oba teksty, czy jeden ma pierwszeństwo?

To zamieszanie jest powszechne. Zgodnie ze wspólnymi wytycznymi ENISA i trzech europejskich organów nadzoru (EBA, EIOPA, ESMA), odpowiedź zależy od precyzyjnej zasady prawnej: *lex specialis*. Oto jak konkretnie pogodzić oba reżimy dla banku, ubezpieczyciela lub fintechu działającego w Europie.

DORA i NIS2: dwa teksty, dwie logiki

DORA (Digital Operational Resilience Act, rozporządzenie (UE) 2022/2554) jest rozporządzeniem unijnym — bezpośrednio stosowanym we wszystkich państwach członkowskich bez transpozycji krajowej. Przyjęte w grudniu 2022 r., obowiązujące od 17 stycznia 2025 r., dotyczy w szczególności sektora finansowego: banków, ubezpieczycieli, towarzystw zarządzających aktywami, dostawców usług płatniczych, platform kryptoaktywów, kontrahentów centralnych i ponad 20 kategorii podmiotów finansowych.

NIS2 (dyrektywa 2022/2555) to dyrektywa — wymaga transpozycji przez każde państwo członkowskie. Jej zakres obejmuje 18 sektorów wysoce krytycznych i krytycznych, w tym sektor bankowy i infrastruktury rynków finansowych. Transpozycja powinna była zostać zakończona do 17 października 2024 r.; w maju 2026 r. kilka krajów nadal jest opóźnionych.

Podejście jest różne: DORA zajmuje się kompleksowo cyfrową odpornością operacyjną (zarządzanie ryzykiem ICT, testy, incydenty, dostawcy zewnętrzni, wymiana informacji). NIS2 wyznacza ogólne ramy cyberbezpieczeństwa mające zastosowanie do wszystkich sektorów krytycznych.

Pulpit nawigacyjny do monitorowania ryzyka operacyjnego w czasie rzeczywistym
Pulpit nawigacyjny do monitorowania ryzyka operacyjnego w czasie rzeczywistym

Lex specialis: DORA ma pierwszeństwo przed NIS2 dla podmiotów finansowych

Motyw 28 i artykuł 4 DORA w połączeniu z artykułem 4 dyrektywy 2022/2555 są jednoznaczne: dla podmiotów finansowych objętych zakresem DORA stosuje się obowiązki DORA dotyczące zarządzania ryzykiem ICT, zgłaszania incydentów i nadzoru nad dostawcami zewnętrznymi — nie te z NIS2.

W praktyce polski bank objęty DORA nie musi dublować swoich procesów, aby spełnić wymagania NIS2 w tych kwestiach. KNF jest właściwym organem, NASK ustępuje w tych aspektach.

Ale uwaga: NIS2 pozostaje istotne dla działalności pomocniczej nieobjętej DORA. Ubezpieczyciel prowadzący własne centrum danych dzielone z podmiotami niefinansowymi lub bank publikujący komercyjne oprogramowanie dla osób trzecich zachowuje obowiązki NIS2 w tych konkretnych obszarach.

6 kluczowych różnic, które trzeba znać

1. Podmioty objęte

DORA wyraźnie obejmuje 21 kategorii podmiotów finansowych, od instytucji kredytowych po zarządzających alternatywnymi funduszami inwestycyjnymi, kontrahentów centralnych i administratorów krytycznych wskaźników odniesienia. Mikroprzedsiębiorstwa są w zasadzie wyłączone, ale żaden inny próg ilościowy nie ogranicza zakresu.

NIS2 obejmuje 18 sektorów z progami wymiarowymi (50 pracowników, 10 mln EUR obrotu). Podmioty "kluczowe" to duże organizacje w sektorach wysoce krytycznych; podmioty "ważne" obejmują resztę.

2. Zgłaszanie incydentów: 4 godziny vs 24 godziny

To najbardziej uderzająca różnica operacyjna.

Pod DORA (artykuł 19) poważny incydent ICT musi być zgłoszony właściwemu organowi w ciągu zaledwie 4 godzin po sklasyfikowaniu jako poważny — z bezwzględnym limitem 24 godzin od wykrycia. Raport pośredni jest należny w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca.

Pod NIS2 (artykuł 23, dyrektywa 2022/2555) początkowe ostrzeżenie jest wymagane w ciągu 24 godzin, pełny raport w ciągu 72 godzin i raport końcowy w ciągu 1 miesiąca.

DORA jest więc znacznie bardziej rygorystyczne w zakresie pierwszego terminu. Szczegóły operacyjne dotyczące obiegu NIS2 znajdują się w naszym [praktycznym przewodniku po zgłaszaniu incydentów w 72h](/pl/blog/nis2-zglaszanie-incydentow-72h-praktyczny-przewodnik).

3. Nadzór nad zewnętrznymi dostawcami ICT

DORA wprowadza reżim bez odpowiednika: obowiązkowy rejestr informacji o wszystkich umowach z dostawcami ICT (artykuł 28). Dostawcy "krytyczni" — typowo cloud hyperscalers, duzi outsourcerzy — będą bezpośrednio nadzorowani przez europejskie organy w ramach Oversight Framework. EBA, EIOPA i ESMA dzielą tę rolę.

NIS2 (artykuł 21(2)(d)) nakłada ocenę ryzyka dostawców i klauzule umowne, ale bez scentralizowanego rejestru ani bezpośredniego nadzoru europejskiego. Aby zapoznać się z dobrymi praktykami umownymi po stronie NIS2, zobacz nasz [artykuł o łańcuchu dostaw](/pl/blog/nis2-lancuch-dostaw-dostawcy).

4. Testy penetracyjne TLPT

DORA wymaga testów TLPT (Threat-Led Penetration Testing) co 3 lata dla podmiotów finansowych o znaczącym znaczeniu — głównie dużych banków i infrastruktur rynkowych. Testy te, oparte na ramach TIBER-EU EBC, symulują rzeczywiste ataki z dostępem do systemów produkcyjnych.

NIS2 wspomina o testach bezpieczeństwa w środkach technicznych z artykułu 21, ale bez przepisanej głębokości ani narzuconej częstotliwości.

Posiedzenie komitetu audytu poświęcone ramom odporności operacyjnej
Posiedzenie komitetu audytu poświęcone ramom odporności operacyjnej

5. Wymiana informacji (threat intelligence)

DORA formalnie zachęca do wymiany informacji o cyberzagrożeniach między podmiotami finansowymi (artykuł 45) za pośrednictwem mechanizmów sektorowych, takich jak FS-ISAC lub krajowe finansowe CERT-y. NIS2 również przewiduje dobrowolne mechanizmy wymiany (artykuł 29), ale bez dedykowanych ram dla sektora finansowego.

6. Sankcje

DORA nie harmonizuje sankcji na poziomie unijnym; każde państwo członkowskie ustala kary. W Polsce KNF może nakładać sankcje, które znacząco dotykają poważnych naruszeń.

NIS2 (artykuł 34) ogranicza kary do 10 milionów euro lub 2% światowego obrotu dla podmiotów kluczowych, 7 milionów lub 1,4% dla podmiotów ważnych. Szczegóły dotyczące sankcji i osobistej odpowiedzialności kierownictwa znajdują się w naszej [analizie sankcji NIS2](/pl/blog/sankcje-nis2-dyrektorzy-ryzyko).

Jak praktycznie pogodzić obie zgodności

Dla banku lub ubezpieczyciela w zakresie DORA podejście pragmatyczne polega na zbudowaniu zunifikowanego programu zgodności, z DORA jako głównym fundamentem i NIS2 traktowanym jako wyjątek dla pozostałych obszarów.

*Krok 1 — Zmapować działalność.* Podstawowe działania finansowe (udzielanie kredytów, zarządzanie aktywami, płatności, obrót) podlegają DORA. Działania pomocnicze (wydawanie komercyjnego oprogramowania, usługi chmurowe dla podmiotów niefinansowych, wewnętrzna infrastruktura telekomunikacyjna) mogą pozostać pod NIS2.

*Krok 2 — Wyrównać terminy do najsurowszych.* Jeśli DORA wymaga 4 godzin, a NIS2 wymaga 24 godzin, twój system reagowania musi działać na 4 godzin. Raport końcowy NIS2 (1 miesiąc) zbiega się z DORA, więc nie ma konfliktu.

*Krok 3 — Jednolity rejestr stron trzecich.* Utwórz rejestr dostawców ICT spełniający wymagania DORA (artykuł 28) — taki poziom szczegółowości komfortowo pokrywa to, czego wymaga NIS2.

*Krok 4 — Wspólne zarządzanie.* Obowiązki rady są niemal identyczne w obu tekstach. Zobacz naszą [analizę artykułu 20 NIS2](/pl/blog/nis2-artykul-20-zarzad-odpowiedzialnosc) — te obowiązki mają również zastosowanie pod DORA poprzez wytyczne EBA dotyczące zarządzania ryzykiem ICT.

*Krok 5 — Testy i odporność.* Ustanów program testów spełniający DORA TLPT (najsurowszy) — automatycznie pokryje wymagania NIS2.

Kalendarz 2026 i ryzyko niezgodności

DORA obowiązuje od 17 stycznia 2025 r. Nie ma już okresu przejściowego. Europejskie organy rozpoczęły pierwsze inspekcje w pierwszym kwartale 2025 r.; raporty o poważnych incydentach są wymagane w czasie rzeczywistym.

W przypadku NIS2 kilka państw członkowskich pozostaje opóźnionych. Komisja Europejska wszczęła w 2025 r. postępowania w sprawie naruszenia przeciwko 23 państwom członkowskim — presja regulacyjna rośnie.

Najbardziej niedoceniane ryzyko dla sektora finansowego to nie kara. To incydent zgłoszony po terminie, który staje się dodatkowym sygnałem dla nadzorcy, lub awaria zewnętrznego dostawcy ujawniająca brak planu ciągłości działania. Pierwsze przypadki sankcji DORA, oczekiwane do końca 2026 r., prawdopodobnie będą dotyczyć tych aspektów.

Aby rozpocząć audyt wewnętrzny, nasza [bezpłatna lista kontrolna NIS2](/pl/lista-kontrolna) obejmuje podstawy. Aby zapoznać się z obowiązkami specyficznymi dla DORA — rejestr stron trzecich, TLPT, taksonomia incydentów — odwołaj się do wspólnych wytycznych ENISA + EBA + EIOPA + ESMA.

*Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Aby uzyskać poradę dotyczącą konkretnej sytuacji, skonsultuj się z prawnikiem specjalizującym się w europejskim prawie nadzoru finansowego.*

Artykuł ma wyłącznie charakter informacyjny i nie stanowi porady prawnej.