Rozporządzenie DORA i dyrektywa NIS2

 

Różnice między DORA i NIS2 

Dwa znaczące akty prawne UE wyróżniają się w kontekście ewolucji przepisów dotyczących cyberbezpieczeństwa: Digital Operational Resilience Act (DORA) i dyrektywa NIS2. Oba mają na celu zwiększenie cyberbezpieczeństwa instytucji i podmiotów gospodarczych, ale dotyczą różnych sektorów i mają różne cele i wymagania. 

Suche fakty o DORA i NIS2

DORA: Rozporządzenia DORA koncentruje się na sektorze finansowym, mając na celu zapewnienie, że podmioty finansowe będą w stanie wytrzymać i działać w trakcie i po cyberatakach. Głównym celem jest utrzymanie dostępności i integralności usług finansowych, kładąc nacisk na odporność operacyjną. Rozporządzenie weszło w życie 16 stycznia 2023 roku, okres przejściowy ma trwać dwa lata. Jego pełne stosowanie rozpocznie się z dniem 17 stycznia 2025 roku 

NIS2: Dyrektywa NIS2 ma na celu zharmonizowanie cyberbezpieczeństwa w całej UE, obejmując kluczowe podmioty w różnych sektorach, takich jak energetyka, transport, zdrowie i infrastruktura cyfrowa. Dyrektywa ma na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w UE. Nowe przepisy powinny być zastosowane w krajach unii europejskiej do 18 października 2024 roku. Wszystko wskazuje na to, że w Polsce finalne wdrożenie nastąpi w pierwszym kwartale 2025 roku. 

dyrektywa NIS2 rozporządzenie DORA

Zakres i podmioty docelowe: 

DORA dotyczy 21 podmiotów finansowych, w tym banków, firm inwestycyjnych, firm ubezpieczeniowych i zewnętrznych dostawców usług ICT (technologii informacyjno-komunikacyjnych). 

NIS 2 obejmuje szerszy zakres sektorów, rozróżniając podmioty kluczowe (EE- essential entities), takie jak dostawcy energii i transportu, oraz podmioty ważne (IE – important entities), takie jak usługi pocztowe i firmy produkujące żywność. 

Cele: 

DORA koncentruje się na zapewnieniu odporności operacyjnej sektora finansowego. Nakazuje kompleksowe zarządzanie ryzykiem ICT (technologii informacyjno-komunikacyjnych), zarządzanie incydentami, testowanie odporności, zarządzanie ryzykiem stron trzecich i udostępnianie informacji w sektorze finansowym. 

NIS 2 ma na celu poprawę ogólnej postawy w zakresie cyberbezpieczeństwa w całej UE, kładąc nacisk na zarządzanie oraz wykrywanie i reagowanie na incydenty, a także zabezpieczanie i testowanie obwodów i aktywów w różnych sektorach krytycznych. 

Zgodność i egzekwowanie: 

DORA to rozporządzenie, które będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE bez konieczności krajowej transpozycji. Wymaga ono rygorystycznych testów bezpieczeństwa, w tym corocznych testów odporności i testów penetracyjnych opartych na zagrożeniach przeprowadzanych co trzy lata. 

NIS 2 to dyrektywa wymagająca transpozycji do przepisów krajowych, które mogą wprowadzać zmiany. Nakłada surowe kary za brak zgodności, w tym grzywny w wysokości do 2% rocznego globalnego obrotu dla podmiotów kluczowych. 

Zarządzanie ryzykiem stron trzecich: 

DORA wymaga od podmiotów finansowych zarządzania ryzykiem stwarzanym przez zewnętrznych dostawców usług ICT, zapewniając solidne umowy i ciągły monitoring. 

NIS 2 dotyczy również bezpieczeństwa łańcucha dostaw, ale w szerszym kontekście, wpływając na różne sektory wykraczające poza usługi finansowe. 

Rozwiązania dostępne w ITNS w zakresie zgodności z rozporządzeniem DORA i dyrektywą NIS2. 

ITNS oferuje szereg produktów, które pomagają naszym Klientom przestrzegać wymagań DORA i NIS 2: 

Zarządzanie ryzykiem ICT: 

  • Zawansowane zapory sieciowe NG-firewall. 
  • Rozwiązania endpoint security (EPP, EDR, EPDR, Advanced EPDR) z panelami ryzyka i ocenami podatności. 
  • Zarządzanie poprawkami i pełne szyfrowanie w celu ochrony danych. 

Zarządzanie incydentami: 

  • Ciągły monitoring zagrożeń w oparciu o rozwiązania EDR i NDR. 
  • Monitorowanie 24/7 i reagowanie na incydenty z w oparciu o systemy SIEM (Security Information and Event Management zapewniające zbieranie danych z kluczowych źródeł, ich analizę i korelację, generowanie alertów oraz zaawansowane raportowanie. 
  • Orkiestracja, automatyzacja i reagowanie na incydenty za pomocą systemów SOAR (Security Orchestration, Automaton and Response). 

Testowanie odporności: 

  • Narzędzia do symulowania ataków i identyfikowania podatności. 
  • Rozwiązania endpoint security do testowania odporności i analizy kryminalistycznej. 

Zarządzanie ryzykiem po stronie kontraktorów/podmiotów zewnętrznych : 

  • Systemy uwierzytelniania wieloskładnikowego MFA do bezpiecznego dostępu kontraktorów/podmiotów zewnętrznych. 
  • Systemy Priviliged Access Management z opcją nagrywania sesji zestawionych przez kontraktorów/podmioty zewnętrzne.  

Usługi zarządzania bezpieczeństwem w modelu usług zarządzanych MSP (Managed Service Provider) 

Aby zmniejszyć obciążenie kosztami po stronie Klientów i zapewnić właściwe zarządzanie bezpieczeństwem ITNS oferuje poniższe usługi zarządzane MSP, jako alternatywa dla produktów wiodących producentów kupowanych na własność: 

  • Monitorowanie bezpieczeństwa 24/7. 
  • Wykrywanie zagrożeń i reagowanie na incydenty. 
  • Zarządzanie poprawkami. 
  • Oceny bezpieczeństwa. 
  • Raportowanie zgodności. 
  • Zarządzanie ochroną punktów końcowych. 
  • Szkolenie i budowanie świadomości użytkowników. 

Korzyści z korzystania z usług zarządzanych w modelu MSP 

  • Ekspertyza i doświadczenie: Dostęp do specjalistycznej wiedzy i doświadczenia bez konieczności zatrudniania dodatkowego personelu. 
  • Skalowalność: Możliwość łatwego skalowania usług w zależności od potrzeb przedsiębiorstwa. 
  • Koszty: Redukcja kosztów operacyjnych dzięki outsourcingowi zarządzania IT. 
  • Bezpieczeństwo: Zwiększenie poziomu bezpieczeństwa dzięki zaawansowanym rozwiązaniom oferowanym przez MSP.