Governance, Risk & Compliance (GRC)

DORA vs. NIS2: aký je medzi nimi rozdiel

Posted by author-avatar
0

Keď dnes otvoríme tému regulácií v kybernetickej bezpečnosti, veľmi rýchlo narazíme na dve skratky: DORA a NIS2.

Často dostávam otázky, ktorá z týchto regulácií sa organizácie týka a či je potrebné riešiť obe. Odpoveď závisí najmä od sektora, v ktorom organizácia pôsobí, no vo veľkej časti prípadov sa tieto regulácie navzájom prekrývajú.

Obe majú spoločný cieľ – zaviesť systematické riadenie kybernetickej bezpečnosti a zvýšiť odolnosť organizácií voči incidentom.

Prečo vznikli DORA a NIS2

Obe regulácie vznikli ako reakcia na rovnaký problém:

  • rastúce kybernetické hrozby

  • vysoká závislosť organizácií od IT

  • nedostatočná pripravenosť na incidenty

Rozdiel je v ich zameraní. NIS2 rieši bezpečnosť naprieč viacerými sektormi, zatiaľ čo DORA ide výrazne viac do hĺbky vo finančnom sektore.

Základný rozdiel medzi DORA a NIS2

Najjednoduchšie vysvetlenie:

  • NIS2 je horizontálna regulácia (naprieč sektormi)

  • DORA je sektorová regulácia (finančný sektor)

Z toho vyplýva, že NIS2 sa týka širšieho spektra organizácií, zatiaľ čo DORA definuje detailnejšie požiadavky pre konkrétny sektor.

Koho sa týka NIS2

NIS2 sa vzťahuje na organizácie v oblastiach ako:

  • kritická infraštruktúra

  • IT služby

  • výroba

  • logistika

  • zdravotníctvo

Jednou z najväčších zmien je výrazné rozšírenie rozsahu organizácií, ktoré pod reguláciu spadajú.

 

Koho sa týka DORA

DORA sa zameriava výhradne na finančný sektor:

  • banky

  • poisťovne

  • investičné spoločnosti

  • fintech

  • poskytovatelia finančných služieb

Dôležité je, že sa vzťahuje aj na IT dodávateľov týchto organizácií.

Riadenie rizík – spoločný základ

Obe regulácie stoja na rovnakom princípe: riadenie rizík.

Organizácie musia:

  • identifikovať riziká

  • implementovať opatrenia

  • priebežne ich vyhodnocovať

Praktický prístup k riadeniu kybernetických rizík a ich prepojeniu na reálne opatrenia popisujem detailnejšie v článku Riadenie kybernetických rizík efektívne: prečo potrebujete nástroje ako Asign.

Incident management – rozdiel v prísnosti

Obe regulácie riešia incidenty, ale rozdiel je v hĺbke požiadaviek.

NIS2:

  • vyžaduje hlásenie incidentov

  • stanovuje základné lehoty

DORA:

  • presne definuje klasifikáciu incidentov

  • má detailné reportovanie

  • kladie dôraz na prevádzkovú odolnosť

V praxi to znamená, že DORA ide výrazne viac do detailu a kladie vyššie nároky na organizácie.

Testing a odolnosť

V tejto oblasti je rozdiel ešte výraznejší.

NIS2:

  • vyžaduje zavedenie opatrení

  • odporúča testovanie

DORA:

  • vyžaduje pravidelné testovanie

  • zavádza pokročilé scenáre (napr. TLPT)

DORA kladie dôraz na to, aby organizácie vedeli preukázať svoju odolnosť v praxi, nie len na papieri.

Dodávatelia (third-party risk)

Obe regulácie riešia aj bezpečnosť dodávateľov.

NIS2:

  • vyžaduje kontrolu dodávateľov

DORA:

  • ide viac do detailu

  • zavádza dohľad nad kritickými dodávateľmi

  • kladie dôraz na zmluvné zabezpečenie a monitoring

V praxi ide o jednu z najkritickejších oblastí, pretože riziko často nevzniká vo vnútri organizácie, ale u externého dodávateľa.

Zodpovednosť manažmentu

V tejto oblasti sa regulácie zhodujú.

Zodpovednosť je na úrovni vedenia organizácie. To znamená, že:

  • manažment musí byť informovaný o rizikách

  • schvaľuje bezpečnostné opatrenia

  • nesie zodpovednosť za rozhodnutia

Ak sa chcete pozrieť na to, ako túto rolu efektívne pokryť v praxi, rozoberám to detailnejšie v článku Externý CISO: kedy ho firma naozaj potrebuje.

Najčastejšia chyba organizácií

Mnohé organizácie riešia otázku, ktorú reguláciu majú implementovať.

Správna otázka však je, či majú nastavený funkčný systém riadenia bezpečnosti.

Ak áno:

  • NIS2 aj DORA dokážu pokryť systematicky

Ak nie:

  • budú riešiť každú reguláciu samostatne

  • a opakovane

Slovenská realita

Z praxe vidím tri základné prístupy:

  • organizácie, ktoré regulácie ignorujú

  • organizácie, ktoré robia minimum

  • organizácie, ktoré pristupujú k bezpečnosti systematicky

Rozdiel medzi nimi sa prejaví najmä pri auditoch a reálnych incidentoch.

Ako k tomu pristupujeme v ADCORE

Nezačíname reguláciou, ale pochopením fungovania organizácie.

Následne riešime:

  • identifikáciu rizík

  • nastavenie procesov

  • architektúru

  • zodpovednosti

Cieľom je vytvoriť jeden funkčný systém, ktorý pokrýva viacero regulačných požiadaviek naraz.

Záver

DORA a NIS2 nie sú konkurenčné regulácie, ale navzájom sa dopĺňajú.

NIS2 definuje základný rámec pre široké spektrum organizácií.
DORA ide do väčšieho detailu, najmä vo finančnom sektore.

Organizácie, ktoré pochopia tento rozdiel a nastavia si systém riadenia bezpečnosti správne, získajú výhodu v podobe lepšej pripravenosti na audit aj reálne incidenty.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *