Compliance NIS2 i DORA
NIS2 obowiązuje od października 2024, DORA od stycznia 2025. Firmy z 18 sektorów muszą spełnić wymagania lub ryzykują kary do 10 mln EUR. Gap analysis, plan wdrożenia i wsparcie w przygotowaniu do audytów.
Kary do 10 mln EUR za brak zgodności - regulatorzy już kontrolują
Pełne przygotowanie do NIS2 i DORA
Gap Analysis
Ocena zgodności z 10 obszarami wymagań
Plan wdrożenia
Roadmap z priorytetami i timeline
Wsparcie wdrożenia
Pomoc w realizacji wymagań compliance
Czym jest compliance NIS2 i DORA?
Compliance NIS2 to dostosowanie organizacji do wymagań Dyrektywy NIS2 (Network and Information Security) obowiązującej od października 2024, która nakłada obowiązki cyberbezpieczeństwa na podmioty z 18 sektorów krytycznych. DORA (Digital Operational Resilience Act) to rozporządzenie UE dla sektora finansowego obowiązujące od stycznia 2025.
| Atrybut | Wartość |
|---|---|
| Zakres NIS2 | 18 sektorów krytycznych |
| Zakres DORA | Instytucje finansowe i dostawcy ICT |
| Kary NIS2 | do 10 mln EUR lub 2% obrotu |
| Czas wdrożenia | 3-12 miesięcy |
| Cena gap analysis | 30 000 - 60 000 PLN (stan na 2026) |
nFlo pomaga firmom w Polsce przygotować się do NIS2 i DORA: gap analysis, roadmap wdrożenia, dokumentacja, szkolenia i wsparcie w audytach regulatora.
Firma dostała karę 2 mln EUR - nie wiedziała że podlega NIS2
Operator logistyczny nie zgłosił się jako podmiot objęty NIS2. Nie miał procedur zarządzania incydentami. Po ataku ransomware nie zgłosił incydentu do CSIRT w wymaganym terminie 24h. Regulator nałożył karę: 2 mln EUR + nakaz wdrożenia wszystkich wymagań w 90 dni. Koszt łączny z wdrożeniem: 3.5 mln EUR.
Bez przygotowania do NIS2/DORA:
- Ryzykujesz kary do 10 mln EUR lub 2% rocznego obrotu
- Nie wiesz czy podlegasz pod regulacje (18 sektorów NIS2)
- Tracisz kontrakty - partnerzy wymagają compliance
- Regulator może nakazać wstrzymanie działalności
Kompleksowa ścieżka do zgodności
Nie zostawiamy Cię z listą wymagań. Prowadzimy od pierwszego spotkania do pomyślnego przejścia audytu. Dostarczamy gotowe szablony dokumentacji, pomagamy wdrożyć kontrole techniczne i przygotowujemy do komunikacji z regulatorem.
Co dostajesz:
- Ocenę czy podlegasz pod NIS2 lub DORA (kwalifikacja: essential/important entity)
- Gap analysis względem 10 obszarów NIS2 i rozdziałów DORA
- Ocenę dojrzałości cyberbezpieczeństwa (maturity assessment)
- Roadmap wdrożenia - priorytetyzowany plan działań z timeline
- Gotowe szablony: polityki, procedury, rejestry, formularze
- Wsparcie w wdrożeniu kontroli technicznych (SIEM, VM, backup, IR)
- Przygotowanie do zgłaszania incydentów do CSIRT
- Szkolenia dla zarządu i zespołów (awareness, obowiązki)
- Wsparcie w przygotowaniu do audytu regulatora
- Opcjonalnie: stały nadzór compliance (virtual CISO)
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Działasz w jednym z 18 sektorów objętych NIS2 (energia, transport, finance, e-commerce…)
- Jesteś instytucją finansową objętą DORA
- Masz więcej niż 50 pracowników lub 10 mln EUR obrotu (kryteria NIS2)
- Dostarczasz usługi cyfrowe (cloud, DNS, registry, marketplace)
- Chcesz uniknąć kar i być gotowym na audyt regulatora
Dyrektywa NIS2
Kogo dotyczy NIS2?
18 sektorów krytycznych:
- Energia (produkcja, przesył, dystrybucja energii elektrycznej, gazu, ropy)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Bankowość i infrastruktura rynków finansowych
- Ochrona zdrowia (szpitale, laboratoria, produkcja leków)
- Woda pitna i ścieki
- Infrastruktura cyfrowa (cloud, data centers, CDN, DNS, registry)
- Administracja publiczna (rząd, samorządy)
- Przestrzeń kosmiczna
- Gospodarka odpadami
- Produkcja, przetwarzanie i dystrybucja żywności
- E-commerce (online marketplaces)
- Usługi pocztowe i kurierskie
- Zarządzanie usługami ICT (B2B)
Progi ilościowe:
- Podmioty kluczowe (essential): średnie i duże przedsiębiorstwa
- Podmioty ważne (important): MSP powyżej 50 pracowników LUB 10 mln EUR obrotu
10 obszarów wymagań NIS2
- Polityki zarządzania ryzykiem - identyfikacja, ocena, mitygacja
- Zarządzanie incydentami - wykrywanie, reagowanie, raportowanie (24h)
- Ciągłość działania i zarządzanie kryzysowe - backup, DR, BCP
- Bezpieczeństwo łańcucha dostaw - ocena dostawców ICT
- Bezpieczeństwo nabycia, rozwoju i utrzymania systemów - secure SDLC
- Polityki i procedury oceny skuteczności - testy, audyty, KPI
- Praktyki podstawowej higieny cyber - MFA, szyfrowanie, łatki
- Szkolenia z cyberbezpieczeństwa - awareness dla wszystkich
- Kryptografia i szyfrowanie - dane w spoczynku i transmisji
- Bezpieczeństwo zasobów ludzkich - kontrola dostępu, offboarding
Kary za naruszenie NIS2
Podmioty kluczowe (essential):
- Do 10 mln EUR LUB 2% rocznego światowego obrotu (wyższa kwota)
- Odpowiedzialność osobista zarządu
Podmioty ważne (important):
- Do 7 mln EUR LUB 1.4% rocznego obrotu
Zgłaszanie incydentów NIS2
3 poziomy raportowania:
- Early warning (24h) - powiadomienie o poważnym incydencie
- Notification (72h) - wstępna ocena incydentu
- Final report (1 miesiąc) - szczegółowy raport z impact i działaniami
Do kogo zgłaszać: CSIRT NASK (Polska)
Rozporządzenie DORA
Kogo dotyczy DORA?
Instytucje finansowe:
- Banki i instytucje kredytowe
- Firmy inwestycyjne
- Instytucje płatnicze i PIFS
- Towarzystwa ubezpieczeniowe
- Fundusze emerytalne i inwestycyjne
- Crypto-asset service providers
Dostawcy ICT third-party:
- Cloud providers dla sektora finansowego
- Software vendors
- Data analytics providers
5 filarów DORA
- Zarządzanie ryzykiem ICT - framework, identyfikacja, ochrona
- Zarządzanie incydentami ICT - klasyfikacja, raportowanie do regulatora
- Testowanie odporności cyfrowej - TLPT (threat-led penetration testing)
- Zarządzanie ryzykiem dostawców ICT - due diligence, SLA, audyty
- Wymiana informacji - threat intelligence, best practices
Kluczowe wymagania DORA
ICT Risk Management Framework:
- Polityka zarządzania ryzykiem ICT zatwierdzona przez zarząd
- Identyfikacja wszystkich funkcji krytycznych i zależności
- Testy odporności minimum raz w roku (co 3 lata TLPT dla dużych)
Raportowanie incydentów:
- Major incident: 4h (initial notification)
- Intermediate report: po ustabilizowaniu sytuacji
- Final report: z root cause analysis i działaniami naprawczymi
Timeline DORA
- 17 stycznia 2025 - pełne stosowanie DORA
- 17 stycznia 2024 - wejście w życie
- Q4 2024 - Q1 2025 - publikacja standardów technicznych (RTS/ITS)
Jak pracujemy
Sprawdzony proces realizacji usługi.
Scoping
Określenie czy podlegasz NIS2/DORA i zakres
Gap Analysis
Ocena obecnego stanu vs wymagania regulacji
Roadmap
Plan działań naprawczych z priorytetami
Implementation
Wdrożenie kontroli i dokumentacji
Audit Support
Przygotowanie i wsparcie w audytach
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Unikasz kar
Do 10 mln EUR lub 2% obrotu za NIS2
Gotowość do audytu
Dokumentacja i procesy zgodne z wymogami
Przewaga konkurencyjna
Klienci i partnerzy wymagają compliance
Uporządkowane procesy
Jasne role, procedury, zarządzanie ryzykiem
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Dlaczego SOC jest praktycznie niezbędny dla zgodności z KSC/NIS2?
Przepisy KSC/NIS2 nie wymagają wprost posiadania SOC. Jednak 24-godzinny obowiązek zgłaszania incydentów poważnych sprawia, że bez dojrzałych mechanizmów monitorowania spełnienie wymogów staje się praktycznie niemożliwe.
Czytaj więcej →CER: sześć miesięcy do pełnej implementacji - co musi zrobić infrastruktura krytyczna
Dyrektywa CER (Critical Entities Resilience) nakłada nowe obowiązki na operatorów infrastruktury krytycznej. Do lipca 2026 roku podmioty krytyczne muszą wdrożyć środki zwiększające odporność. Czas ucieka - oto co trzeba wiedzieć.
Czytaj więcej →Odpowiedzialność zarządu za cyberbezpieczeństwo OT w świetle NIS2
NIS2 zmienia reguły gry - bezpieczeństwo OT to teraz osobista odpowiedzialność zarządu. Poznaj wymagania, konsekwencje i praktyczne kroki do zgodności.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Compliance NIS2 i DORA.
Kogo dotyczy dyrektywa NIS2?
NIS2 dotyczy firm z 18 sektorów: energia, transport, bankowość, zdrowie, wodociągi, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, poczta, żywność, chemia, produkcja, gospodarka odpadami i wiele innych. Podmioty dzielą się na essential (kluczowe) i important (ważne).
Jakie kary grożą za brak zgodności z NIS2?
Kary za naruszenie NIS2 mogą sięgać 10 mln EUR lub 2% globalnego obrotu (dla podmiotów kluczowych) oraz 7 mln EUR lub 1.4% obrotu (dla podmiotów ważnych). Dodatkowo odpowiedzialność osobistą ponosi zarząd.
Ile czasu zajmuje wdrożenie NIS2?
Typowe wdrożenie NIS2 trwa 3-6 miesięcy w zależności od obecnego poziomu dojrzałości cyberbezpieczeństwa. Gap analysis zajmuje 2-4 tygodnie, opracowanie roadmap 1-2 tygodnie, a wdrożenie kontroli 2-4 miesiące.
Czym różni się NIS2 od DORA?
NIS2 to ogólna dyrektywa dotycząca cyberbezpieczeństwa dla 18 sektorów. DORA (Digital Operational Resilience Act) to rozporządzenie dedykowane sektorowi finansowemu z bardziej szczegółowymi wymaganiami dotyczącymi odporności cyfrowej, testowania i zarządzania ryzykiem ICT.
Ile kosztuje przygotowanie do NIS2?
Koszt przygotowania do NIS2 zależy od wielkości organizacji i obecnego stanu bezpieczeństwa. Gap analysis dla średniej firmy to 15 000 - 40 000 PLN. Pełne wdrożenie z dokumentacją i wsparciem to typowo 50 000 - 200 000 PLN.
Skontaktuj sie z opiekunem
Porozmawiaj o Compliance NIS2 i DORA z dedykowanym opiekunem handlowym.