Rozporządzenie DORA i dyrektywa NIS2

Różnice między DORA i NIS2

Dwa znaczące akty prawne UE wyróżniają się w kontekście ewolucji przepisów dotyczących cyberbezpieczeństwa: Digital Operational Resilience Act (DORA) i dyrektywa NIS2. Oba mają na celu zwiększenie cyberbezpieczeństwa instytucji i podmiotów gospodarczych, ale dotyczą różnych sektorów i mają różne cele i wymagania.

itns

Suche fakty o DORA i NIS2

DORA: Rozporządzenia DORA koncentruje się na sektorze finansowym, mając na celu zapewnienie, że podmioty finansowe będą w stanie wytrzymać i działać w trakcie i po cyberatakach. Głównym celem jest utrzymanie dostępności i integralności usług finansowych, kładąc nacisk na odporność operacyjną. Rozporządzenie weszło w życie 16 stycznia 2023 roku, okres przejściowy ma trwać dwa lata. Jego pełne stosowanie rozpocznie się z dniem 17 stycznia 2025 roku

NIS2: Dyrektywa NIS2 ma na celu zharmonizowanie cyberbezpieczeństwa w całej UE, obejmując kluczowe podmioty w różnych sektorach, takich jak energetyka, transport, zdrowie i infrastruktura cyfrowa. Dyrektywa ma na celu podniesienie ogólnego poziomu cyberbezpieczeństwa w UE. Nowe przepisy powinny być zastosowane w krajach unii europejskiej do 18 października 2024 roku. Wszystko wskazuje na to, że w Polsce finalne wdrożenie nastąpi w pierwszym kwartale 2025 roku.

dyrektywa NIS2, rozporządzenie DORA

Zakres i podmioty docelowe:

Rozporządzenie DORA dotyczy 21 podmiotów finansowych, w tym banków, firm inwestycyjnych, firm ubezpieczeniowych i zewnętrznych dostawców usług ICT (technologii informacyjno-komunikacyjnych).

Dyrektywa NIS2 obejmuje szerszy zakres sektorów, rozróżniając podmioty kluczowe (EE- essential entities), takie jak dostawcy energii i transportu, oraz podmioty ważne (IE – important entities), takie jak usługi pocztowe i firmy produkujące żywność.

Cele:

DORA koncentruje się na zapewnieniu odporności operacyjnej sektora finansowego. Nakazuje kompleksowe zarządzanie ryzykiem ICT (technologii informacyjno-komunikacyjnych), zarządzanie incydentami, testowanie odporności, zarządzanie ryzykiem stron trzecich i udostępnianie informacji w sektorze finansowym.

Dyrektywa NIS2 ma na celu poprawę ogólnej postawy w zakresie cyberbezpieczeństwa w całej UE, kładąc nacisk na zarządzanie oraz wykrywanie i reagowanie na incydenty, a także zabezpieczanie i testowanie obwodów i aktywów w różnych sektorach krytycznych.

Zgodność i egzekwowanie:

DORA to rozporządzenie, które będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE bez konieczności krajowej transpozycji. Wymaga ono rygorystycznych testów bezpieczeństwa, w tym corocznych testów odporności i testów penetracyjnych opartych na zagrożeniach przeprowadzanych co trzy lata.

NIS 2 to dyrektywa wymagająca transpozycji do przepisów krajowych, które mogą wprowadzać zmiany. Nakłada surowe kary za brak zgodności, w tym grzywny w wysokości do 2% rocznego globalnego obrotu dla podmiotów kluczowych.

Zarządzanie ryzykiem stron trzecich:

DORA wymaga od podmiotów finansowych zarządzania ryzykiem stwarzanym przez zewnętrznych dostawców usług ICT, zapewniając solidne umowy i ciągły monitoring.

NIS2 dotyczy również bezpieczeństwa łańcucha dostaw, ale w szerszym kontekście, wpływając na różne sektory wykraczające poza usługi finansowe.

Rozwiązania dostępne w ITNS w zakresie zgodności z rozporządzeniem DORA i dyrektywą NIS2

ITNS oferuje szereg produktów, które pomagają naszym Klientom przestrzegać wymagań DORA i NIS 2:

Zarządzanie ryzykiem ICT:

  • Rozwiązania endpoint security (EPP, EDR, EPDR, Advanced EPDR) z panelami ryzyka i ocenami podatności.
  • Zarządzanie poprawkami i pełne szyfrowanie w celu ochrony danych.

Zarządzanie incydentami:

  • Ciągły monitoring zagrożeń w oparciu o rozwiązania EDR i NDR.
  • Monitorowanie 24/7 i reagowanie na incydenty z w oparciu o systemy SIEM (Security Information and Event Management zapewniające zbieranie danych z kluczowych źródeł, ich analizę i korelację, generowanie alertów oraz zaawansowane raportowanie.
  • Orkiestracja, automatyzacja i reagowanie na incydenty za pomocą systemów SOAR (Security Orchestration, Automaton and Response).

Testowanie odporności:

  • Narzędzia do symulowania ataków i identyfikowania podatności.
  • Rozwiązania endpoint security do testowania odporności i analizy kryminalistycznej.

Zarządzanie ryzykiem po stronie kontraktorów/podmiotów zewnętrznych:

  • Systemy uwierzytelniania wieloskładnikowego MFA do bezpiecznego dostępu kontraktorów/podmiotów zewnętrznych.
  • Systemy Priviliged Access Management z opcją nagrywania sesji zestawionych przez kontraktorów/podmioty zewnętrzne.

Usługi zarządzania bezpieczeństwem w modelu usług zarządzanych MSP (Managed Service Provider)

Aby zmniejszyć obciążenie kosztami po stronie Klientów i zapewnić właściwe zarządzanie bezpieczeństwem ITNS oferuje poniższe usługi zarządzane MSP, jako alternatywa dla produktów wiodących producentów kupowanych na własność:

  • Monitorowanie bezpieczeństwa 24/7.
  • Wykrywanie zagrożeń i reagowanie na incydenty.
  • Zarządzanie poprawkami.
  • Oceny bezpieczeństwa.
  • Raportowanie zgodności.
  • Zarządzanie ochroną punktów końcowych.
  • Szkolenie i budowanie świadomości użytkowników.

Korzyści z korzystania z usług zarządzanych w modelu MSP

  • Ekspertyza i doświadczenie: Dostęp do specjalistycznej wiedzy i doświadczenia bez konieczności zatrudniania dodatkowego personelu.
  • Skalowalność: Możliwość łatwego skalowania usług w zależności od potrzeb przedsiębiorstwa.
  • Koszty: Redukcja kosztów operacyjnych dzięki outsourcingowi zarządzania IT.
  • Bezpieczeństwo: Zwiększenie poziomu bezpieczeństwa dzięki zaawansowanym rozwiązaniom oferowanym przez MSP.