Przejdź do treści
dyrektywaNIS2

Blog

NIS2 vs DORA — która regulacja dotyczy mojej firmy

Pytanie wraca w prawie każdej rozmowie z zarządem banku, funduszu albo fintechu: „dostaliśmy NIS2 od działu compliance i DORA od działu IT — która z tych regulacji nas obowiązuje?". Krótka odpowiedź: jedna z nich, rzadko obie. Pełna odpowiedź wymaga zrozumienia Art. 4 NIS2 i tego, jak Unia rozwiązała problem nakładających się reżimów.

Aktualizacja: 8 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

TL;DR — szybka macierz decyzyjna

Zanim wejdziemy w szczegóły, prosta zasada, która rozstrzyga 95% przypadków:

  • Bank, ubezpieczyciel, dom maklerski, TFI, instytucja płatnicza, dostawca usług kryptoaktywów, biuro maklerskie → DORA. NIS2 nie ma zastosowania w zakresie ICT.
  • Energetyka, transport, woda, ścieki, ochrona zdrowia, produkcja przemysłowa, FMCG, odpady, administracja publiczna → NIS2 (polska nowelizacja ustawy o KSC).
  • Dostawca ICT dla sektora finansowego (chmura, MSSP, audytor systemów) → może podlegać DORA jako Krytyczny Dostawca Usług ICT (CTPP) oraz NIS2 jako dostawca usług cyfrowych. Sprawdź klasyfikację w obu reżimach.

Skąd w ogóle dwie regulacje

DORA i NIS2 zostały przyjęte przez Parlament Europejski tego samego dnia — 14 grudnia 2022 r. Nie był to przypadek: Komisja Europejska świadomie rozdzieliła reżim cyberbezpieczeństwa dla sektora finansowego (Rozporządzenie 2022/2554 — DORA) od reżimu dla pozostałych 18 sektorów krytycznych ( Dyrektywa 2022/2555 — NIS2). Przesłanka była praktyczna: sektor finansowy ma własną kulturę regulacyjną (KNF, EBA, EIOPA, ESMA), własne procedury raportowania incydentów do KNF i własne wymagania ostrożnościowe. Próba poddania banków tym samym przepisom co MPWiK i hut byłaby kontrproduktywna.

DORA — sektor finansowy, rozporządzenie unijne

DORA (Digital Operational Resilience Act) to rozporządzenie, nie dyrektywa. Stosuje się bezpośrednio od 17 stycznia 2025 r., bez konieczności transpozycji do polskiego porządku prawnego. To pierwsza istotna różnica praktyczna: DORA już obowiązuje banki w Polsce bezpośrednio, podczas gdy polska nowelizacja KSC wdrażająca NIS2 weszła w życie dopiero 3 kwietnia 2026 r.

Zakres podmiotowy DORA obejmuje 21 typów podmiotów finansowych wymienionych w Art. 2 — od banków i firm inwestycyjnych przez instytucje płatnicze, dostawców usług kryptoaktywów, TFI i ZAFI, towarzystwa ubezpieczeniowe i reasekuracyjne, aż po audytorów systemów ICT i dostawców usług finansowania społecznościowego. Polski KNF jest organem właściwym dla większości tych podmiotów.

Treścią DORA są pięć filarów: zarządzanie ryzykiem ICT, raportowanie istotnych incydentów ICT, testy odporności cyfrowej (TLPT — w polskiej praktyce TIBER-PL), zarządzanie ryzykiem dostawców ICT (z osobnym reżimem nadzoru nad Krytycznymi Dostawcami Usług ICT) oraz wymiana informacji o zagrożeniach. Skala wymagań jest większa niż w NIS2 — DORA zawiera ok. 64 artykuły operacyjne + kilkanaście Regulacyjnych Standardów Technicznych (RTS).

NIS2 — 18 sektorów pozafinansowych, dyrektywa

NIS2 obejmuje sektory, których DORA świadomie nie dotyka: energetyka, transport, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, gospodarka odpadami, produkcja żywności, produkcja przemysłowa, chemikalia, organizacje badawcze. Pełen przegląd klasyfikacji w pillarze Podmioty Kluczowe i Ważne.

Jako dyrektywa, NIS2 wymaga transpozycji. W Polsce weszła w życie przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa — 3 kwietnia 2026 r. Organem właściwym jest minister ds. informatyzacji oraz CSIRT NASK / GOV / MON, w zależności od podsektora. Skala wymagań jest mniejsza niż w DORA — dziesięć minimalnych środków z Art. 21, kaskada raportowania 24h / 72h / 1 miesiąc i osobista odpowiedzialność zarządu z Art. 12a KSC.

Art. 4 NIS2 — klauzula lex specialis

Sercem rozdziału kompetencyjnego między dwoma reżimami jest Art. 4 NIS2 — tzw. klauzula lex specialis. Mówi on, że jeżeli dla danego podmiotu istnieje sektorowe prawodawstwo UE (rozporządzenie albo dyrektywa) nakładające wymagania w zakresie zarządzania ryzykiem cyberbezpieczeństwa i raportowania incydentów co najmniej równoważne z NIS2, to przepisy NIS2 w zakresie objętym tym aktem sektorowym nie mają zastosowania.

DORA jest najważniejszym aktem sektorowym, do którego stosuje się klauzula Art. 4. W praktyce oznacza to: bank notowany na GPW podlega DORA w zakresie zarządzania ryzykiem ICT, raportowania incydentów, testów odporności i zarządzania dostawcami ICT — a NIS2 nie nakłada na niego dodatkowych obowiązków w tych obszarach. Bank pozostaje natomiast pod zwykłą jurysdykcją KNF i polskiego prawa bankowego.

Gdzie reżimy realnie się stykają — dostawcy ICT

Najciekawszy przypadek to dostawcy usług ICT, którzy obsługują jednocześnie banki (DORA) i np. operatora wodociągowego (NIS2). Przykład: średniej wielkości MSSP w Warszawie z portfelem 30 klientów, w tym dwa banki, jedna spółka energetyczna i osiem szpitali. Czy MSSP podlega DORA, NIS2, czy obu?

Odpowiedź jest niuansowana. Po pierwsze: MSSP jako dostawca usług cyfrowych (Załącznik II NIS2, sektor 8 — usługi zarządzane) podlega NIS2 jako Podmiot Ważny, jeżeli spełnia próg średniego przedsiębiorstwa (50 osób / 10 mln EUR obrotu). Po drugie: ten sam MSSP, świadcząc usługi krytyczne dla banków, może zostać wpisany przez ESA (EBA / EIOPA / ESMA) na listę Krytycznych Dostawców Usług ICT (Critical Third Party Providers, CTPP) — i wtedy podlega bezpośredniemu nadzorowi Lead Overseer'a wyznaczonego przez wspólny komitet ESA.

Reżim CTPP w DORA to jeden z najambitniejszych mechanizmów regulacyjnych UE ostatniej dekady — porównywalny ze statusem „znaczącej instytucji” w SSM. CTPP dostają konkretne polecenia od Lead Overseer'a, podlegają inspekcjom on-site, mogą zostać ukarani sankcją finansową do 1% średniego dziennego obrotu światowego. Polski MSSP, który dziś nie ma świadomości tego ryzyka, w 2026 r. może dostać pierwsze pismo z EBA. Tematyce relacji z dostawcami z perspektywy klienta poświęcamy artykuł Łańcuch dostaw w NIS2 — Art. 21(2)(d).

Różnice w raportowaniu incydentów

Oba reżimy wymagają raportowania, ale terminy i organy są różne.

  • DORA: klasyfikacja incydentu w czasie adekwatnym do skali; powiadomienie wstępne do KNF zazwyczaj w ciągu kilku godzin (RTS na klasyfikację doprecyzowuje); raport pośredni w ciągu 72 godzin; raport końcowy w ciągu jednego miesiąca. Dla istotnych incydentów cyber-ataku — niezwłocznie. W przypadku banków znaczących równoległe powiadomienie EBC.
  • NIS2: wczesne ostrzeżenie do 24 godzin od stwierdzenia istotnego incydentu; raport incydentu w ciągu 72 godzin; raport pośredni na żądanie; raport końcowy w ciągu miesiąca. Adresatem jest właściwy CSIRT (NASK, GOV, MON — w zależności od podsektora).

Praktyczna konsekwencja dla dostawcy ICT obsługującego oba sektory: incydent z poważnym naruszeniem bezpieczeństwa może wymagać dwóch równoległych ścieżek raportowania — jednej do KNF (przez klienta-bank, ewentualnie bezpośrednio jako CTPP), drugiej do CSIRT NASK (jako Podmiot Ważny pod NIS2). Bez przygotowanej macierzy obowiązków zgłoszeniowych zarząd w pierwszych godzinach incydentu nie będzie wiedział, kogo powiadomić.

Kiedy podmiot może podlegać obu reżimom

Choć Art. 4 NIS2 co do zasady wyłącza podwójną regulację, są przypadki, w których ten sam podmiot może spotkać oba reżimy w różnych aspektach swojej działalności. Najczęstsze:

  • Grupa kapitałowa z bankiem i spółką energetyczną. Bank podlega DORA, spółka energetyczna NIS2. Grupa musi zorganizować dwie odrębne struktury zarządzania ryzykiem ICT — wspólny SOC może obsługiwać obie, ale procedury raportowania muszą uwzględniać odmienne organy nadzoru.
  • Fintech licencjonowany jako instytucja płatnicza oraz dostawca usług chmurowych. Podlega DORA w zakresie usług płatniczych i — w pewnych konfiguracjach — NIS2 w zakresie chmury obliczeniowej (Załącznik I NIS2, sektor infrastruktura cyfrowa).
  • Audytor systemów ICT. Wymieniony explicite w Art. 2 DORA jako podmiot objęty. Jeżeli świadczy usługi również dla sektorów pozafinansowych, może spełniać dodatkowo definicję dostawcy usług zarządzanych pod NIS2.

Polski kontekst — organy i ich relacje

Mapa polskich organów nadzoru w obu reżimach wygląda następująco:

  • KNF — organ właściwy dla DORA w odniesieniu do polskich banków, ubezpieczycieli, firm inwestycyjnych, TFI, ZAFI i większości pozostałych podmiotów finansowych. KNF korzysta z wytycznych EBA, EIOPA i ESMA.
  • Minister ds. informatyzacji — organ właściwy dla NIS2 w skali kraju, koordynator polityki cyberbezpieczeństwa.
  • CSIRT NASK — sektorowy CSIRT dla większości podmiotów pozafinansowych z Załączników I i II.
  • NBP — w niektórych funkcjach nadzorczych (zwłaszcza w zakresie systemów płatniczych systemowo istotnych) ma role komplementarne wobec KNF.

KNF a CSIRT NASK nie mają dziś zinstytucjonalizowanego forum wymiany informacji o incydentach na poziomie podmiotów objętych DORA i NIS2 jednocześnie. Powstanie takiego forum jest tematem dyskusji w MC — analogicznie do mechanizmów wymiany informacji NIS Cooperation Group na poziomie europejskim.

Decyzja dla zarządu — algorytm w trzech krokach

W praktyce decyzję, czy organizacja podlega DORA, NIS2 czy obu reżimom, najszybciej rozstrzyga taki algorytm:

  1. Czy firma jest wymieniona w katalogu Art. 2 DORA (21 typów podmiotów finansowych)? Jeżeli tak — DORA, koniec analizy w zakresie ICT. NIS2 nie ma zastosowania.
  2. Jeżeli nie — czy firma działa w jednym z 18 sektorów Załączników I lub II NIS2 i przekracza próg średniego przedsiębiorstwa (50 osób lub 10 mln EUR obrotu)? Jeżeli tak — NIS2, klasyfikacja jako Podmiot Kluczowy lub Ważny. Sprawdź szybko w naszym klasyfikatorze NIS2.
  3. Jeżeli firma jest dostawcą usług ICT dla podmiotów finansowych — może wkrótce zostać wpisana przez ESA jako CTPP. Niezależnie od tego, jako dostawca usług zarządzanych, podlega też NIS2 jako Podmiot Ważny.

Najczęstszy błąd 2026 r.: zarząd banku zakłada, że DORA „przykrywa wszystko” i ignoruje przegląd umów z dostawcami ICT pod kątem klauzul wymaganych przez Art. 28 DORA. Albo odwrotnie — zarząd spółki energetycznej w grupie z fintechem próbuje zastosować DORA do całej grupy, mimo że spółka energetyczna jest klasyczne Podmiotem Kluczowym pod NIS2 i wymaga reżimu z Art. 21 KSC. Audyt rozdziału kompetencyjnego między spółkami grupy jest tańszy niż próba obrony przed dwoma organami jednocześnie.

Co dalej

Jeżeli rozstrzygnięcie należy do DORA — kolejnym krokiem jest mapowanie polityk SZBI na strukturę pięciu filarów DORA i przegląd umów z dostawcami ICT pod kątem Art. 28 DORA. Jeżeli należy do NIS2 — sugerujemy zacząć od porównania ze wskazaniami pillaru Obowiązki techniczne NIS2 i przeglądu klasyfikacji w Podmiotach Kluczowych i Ważnych. Marka Cyber Alterity prowadzi bezpłatne 20-minutowe konsultacje rozdziału kompetencyjnego DORA × NIS2 dla grup kapitałowych z hybrydową strukturą działalności.

Umów konsultację