black flat screen computer monitor

NIS2 i DORA: Harmonizacja cyberodporności w sektorze finansowym

Jak nowe regulacje zmieniają rzeczywistość compliance i IT w polskich firmach

27 czerwca 2025

Rok 2025 przynosi polskim (i europejskim) firmom dwa wielkie wyzwania w zakresie cyberbezpieczeństwa i operacyjnej odporności: NIS2 oraz DORA. Oba akty są odpowiedzią Unii Europejskiej na rosnące zagrożenia cyfrowe i coraz bardziej złożony krajobraz cyberataków, szczególnie w branżach finansowych, fintech oraz sektorach kluczowych dla funkcjonowania gospodarki. Jak się przygotować, jak podejść do wdrożenia, czego wymagają regulatorzy i gdzie szukać synergii – o tym przeczytasz w tym artykule.

 

NIS2 i DORA — czym są i kogo dotyczą?

 

NIS2

To nowa wersja dyrektywy o bezpieczeństwie sieci i informacji (Network and Information Security Directive). Znacznie rozszerza katalog podmiotów objętych wymogami cyberbezpieczeństwa — nie tylko klasyczne „operatorzy usług kluczowych”, ale także firmy z sektora finansowego, zdrowotnego, energetycznego, transportu, ICT, wod-kan, cyfrowe, i wiele innych. Nowość: dużo większa odpowiedzialność zarządów, kary administracyjne, obowiązek zgłaszania incydentów w 24 godziny.

 

DORA

Digital Operational Resilience Act – unijny akt prawny dotyczący odporności cyfrowej w sektorze finansowym. Obejmuje banki, firmy inwestycyjne, instytucje płatnicze, fintechy, ubezpieczycieli, biura maklerskie i inne podmioty finansowe. Nakłada obowiązki nie tylko w zakresie IT, ale także zarządzania ryzykiem dostawców zewnętrznych, testów odporności, raportowania incydentów oraz prowadzenia specjalistycznych ćwiczeń (TLPT).

 

Dlaczego wdrożenie obu regulacji jest kluczowe?

 

NIS2 i DORA w praktyce się przenikają – wiele firm (np. banki, fintechy, operatorzy usług płatniczych) musi wdrożyć oba reżimy jednocześnie. Oznacza to nie tylko więcej pracy compliance, ale także potrzebę spójnej strategii, która pozwoli uniknąć dublowania procesów i kosztów.Wspólne elementy:

  • obowiązki raportowania incydentów,

  • zarządzanie ryzykiem IT,

  • wymogi wobec zarządów i kluczowych osób,

  • ocena i monitoring dostawców usług cyfrowych,

  • konieczność dokumentowania i ćwiczenia procedur awaryjnych.

  •  

Krok po kroku: jak przygotować firmę do NIS2 i DORA?

 

1. Diagnoza — gdzie jesteś? Zacznij od przeglądu obecnych polityk, procedur i narzędzi cyberbezpieczeństwa. Czy Twoja firma ma plan reagowania na incydenty, realnie testowane procedury awaryjne, system zarządzania ryzykiem, rejestr dostawców IT?Warto zorganizować warsztat dla zarządu, aby zrozumiał wagę nowych przepisów (obecnie to zarząd odpowiada za zgodność!).

 

2. Mapa obowiązków — co musisz wdrożyć? Stwórz checklistę:

  • Czy masz dedykowaną osobę do zarządzania bezpieczeństwem?

  • Czy masz wdrożone mechanizmy identyfikacji i raportowania incydentów?

  • Czy masz proces zarządzania dostawcami i ocenę ich ryzyka?

  • Czy przeprowadzasz testy odporności infrastruktury?

  • Czy dokumentacja jest na bieżąco aktualizowana i testowana?

 

3. Harmonizacja działań Nie duplikuj procedur – zamiast oddzielnych polityk dla DORA i NIS2, buduj jeden, spójny system zarządzania bezpieczeństwem informacji i odpornością operacyjną. Przykład: możesz wdrożyć jeden rejestr incydentów i raportować do obu regulatorów równolegle.

 

4. Szkolenia i ćwiczenia Oba akty nakładają obowiązek regularnych szkoleń i ćwiczeń, w tym „table-top exercises” i symulacje ataków. Upewnij się, że nie tylko IT, ale także zarząd i kluczowe działy wiedzą, co robić w razie ataku lub awarii systemu.

 

5. Wsparcie narzędziowe i dokumentacyjne Przemyśl wdrożenie narzędzi do monitoringu bezpieczeństwa (SIEM), automatyzacji raportowania, systemów ticketowych do obsługi incydentów. Gotowe szablony i checklisty znacznie ułatwiają codzienne compliance.

 

Najczęstsze pułapki i wyzwania

 

  • Brak zaangażowania zarządu – NIS2/DORA wyraźnie „celują” w najwyższy management.

  • Nadmierna biurokracja – zbyt rozbudowane procedury zamiast realnych działań.

  • Przesunięcie odpowiedzialności tylko na IT – kluczowe jest całościowe podejście: biznes + IT + prawnik.

  • Słabe zarządzanie dostawcami – audytuj i regularnie oceniaj swoich dostawców, szczególnie cloud/SaaS.

  •  

Przykład praktyczny (case study)

 

FintechX (anonimizowany klient) – firma przetwarzająca płatności dla e-commerce, miała częściowe wdrożenie RODO, ale brakowało systematycznego podejścia do cyberbezpieczeństwa.Działania:

  • Przegląd procesów i szybki audyt gap analysis (zgodność NIS2/DORA)

  • Warsztaty dla zarządu i kadry menedżerskiej

  • Budowa wspólnej polityki bezpieczeństwa i zarządzania incydentami

  • Automatyzacja zgłaszania incydentów i regularne ćwiczenia

  • Stworzenie mapy ryzyk i planu działania na 12 miesięcy

Efekt: Wzrost bezpieczeństwa, szybkie zamknięcie kilku luk prawnych, lepszy wizerunek przy rozmowach z dużymi klientami, „spokój” w kontaktach z regulatorami.

 

Co przyniesie przyszłość?

 

Nowe regulacje, takie jak NIS2, DORA i AI Act, będą coraz bardziej przenikać się i wymagać holistycznego podejścia do compliance. Warto już teraz myśleć nie tylko o „odhaczeniu wymogów”, ale budowaniu prawdziwej kultury cyberodporności w całej organizacji.

 

Podsumowanie i rekomendacje

  • Nie odkładaj wdrożenia – regulatorzy w 2025 roku będą aktywni, a kary realne.

  • Harmonizuj działania – oszczędzisz czas, pieniądze i nerwy.

  • Zaangażuj zarząd – to ich odpowiedzialność.

  • Postaw na automatyzację i szkolenia.

  • Skonsultuj się z ekspertami, którzy mają doświadczenie zarówno w NIS2, jak i DORA – oszczędzisz czas i unikniesz kosztownych błędów.

office@kwiatkowskicompany.com

 

Spectrum Tower

ul. twarda 18,

00-105 Warszawa

Kwiatkowski & Company (dawniej Woolshy Group Prosta S.A.) © 2025 wszelkie prawa zastrzeżone