NIS2 vs DORA: Ce se aplica pentru sectorul financiar
Cum interactioneaza NIS2 si DORA pentru banci, institutii de plata si alte entitati financiare. Ce obligatii au prioritate si ce trebuie respectat din ambele.
Introducere
Pentru organizatiile din sectorul financiar, peisajul regulatoriu devine complex: NIS2 si DORA (Digital Operational Resilience Act) se suprapun partial, iar intelegerea diferentelor este esentiala pentru conformitate.
Ce este DORA?
DORA (Regulamentul UE 2022/2554) este cadrul european pentru rezilienta operationala digitala in sectorul financiar. Spre deosebire de NIS2 (care este o directiva), DORA este un regulament - se aplica direct, fara transpunere nationala.
Entitati acoperite de DORA:
- Institutii de credit (banci)
- Institutii de plata
- Institutii emitente de moneda electronica
- Firme de investitii
- Depozitari centrali de titluri
- Contraparti centrale
- Platforme de tranzactionare
- Manageri de fonduri alternative
- Societati de administrare
- Furnizori de servicii de raportare
- Agentii de rating de credit
- Furnizori de servicii de crowdfunding
- Furnizori critici de servicii IT pentru sectorul financiar
Cum interactioneaza NIS2 si DORA?
Principiul "lex specialis"
DORA este considerata legislatie speciala pentru sectorul financiar. Conform principiului "lex specialis derogat legi generali":
- Pentru entitatile financiare, DORA are prioritate fata de NIS2
- Totusi, anumite prevederi NIS2 se aplica in continuare
Ce se aplica din NIS2 pentru entitatile financiare?
Conform OUG 155/2024, entitatile reglementate de DORA trebuie sa respecte din NIS2:
- Obligatia de inregistrare la DNSC
- Prevederi privind cooperarea intre autoritati
- Identificarea riscurilor la nivel national
- Schimbul de informatii despre amenintari
Ce NU se aplica din NIS2?
- Cerintele privind masurile de gestionare a riscurilor (capitolul IV NIS2)
- Obligatiile de raportare a incidentelor (se aplica cele din DORA)
- Supravegherea si aplicarea (sunt cele din DORA)
Comparatie practica NIS2 vs DORA
| Aspect | NIS2 | DORA |
|---|---|---|
| Tip | Directiva | Regulament |
| Sector | 18 sectoare | Doar financiar |
| Raportare incidente | 24h/72h/30 zile | Similar, cu specificatii sectoriale |
| Furnizori IT critici | Cerinte generale | Registru si supraveghere directa UE |
| Testare | Cerinte generale | Testare avansata obligatorie (TLPT) |
| Autoritate competenta | DNSC | ASF / BNR |
Cerinte specifice DORA
1. Gestionarea riscurilor TIC
- Cadru cuprinzator de gestionare a riscurilor
- Politici si proceduri documentate
- Alocarea responsabilitatilor la nivel de conducere
- Auditul functiei de risc TIC
2. Incidente TIC si raportare
- Clasificare incidente dupa criterii specifice
- Raportare la autoritatea financiara competenta
- Termene similare cu NIS2 dar cu specificatii sectoriale
3. Testarea rezilentei operationale digitale
- Testare de vulnerabilitati si penetrare
- Testare avansata bazata pe amenintari (TLPT) pentru entitati mari
- Frecventa si metodologie definite
4. Riscul tertilor furnizori TIC
- Registru de furnizori IT
- Evaluarea riscurilor inainte de contractare
- Prevederi contractuale obligatorii
- Strategia de iesire
5. Partajarea informatiilor
- Participarea in mecanisme de partajare informatii
- Notificarea autoritatilor despre amenintari
Ce trebuie sa faca entitatile financiare?
In raport cu DNSC (NIS2):
- Inregistrare obligatorie - Chiar daca sunteti reglementati de DORA
- Furnizare informatii pentru harta riscurilor nationale
- Cooperare in caz de incidente cu impact transsectorial
In raport cu ASF/BNR (DORA):
- Implementare cerinte DORA complete
- Raportare incidente catre autoritatea financiara
- Testare rezilienta conform metodologiei DORA
- Gestionare furnizori conform registrului DORA
Furnizori IT critici - supraveghere UE
Un aspect unic al DORA: furnizorii critici de servicii TIC pentru sectorul financiar vor fi supravegheati direct la nivel european.
Cine este considerat furnizor critic:
- Furnizorii desemnati de Autoritatile Europene de Supraveghere
- Cei care furnizeaza servicii unui numar mare de entitati financiare
- Cei pentru care nu exista alternative viabile
Implicatii:
- Audit si inspectii de la nivel UE
- Sanctiuni directe pentru neconformitate
- Cerinte de raportare specifice
Recomandari pentru entitatile financiare
1. Nu ignorati NIS2 complet
Chiar daca DORA este principalul cadru, inregistrarea la DNSC ramane obligatorie. Folositi NIS2 Manager pentru a va intelege clasificarea.
2. Coordonati eforturile de conformitate
- Multe cerinte se suprapun (ex: gestionarea incidentelor)
- Folositi aceleasi procese si documentatii unde e posibil
- Evitati duplicarea eforturilor
3. Atentie la termenele DORA
- DORA se aplica de la 17 ianuarie 2025
- Unele cerinte au perioade de tranzitie
- Testarea TLPT are cerinte specifice de implementare graduala
4. Gestionati furnizorii proactiv
- Daca sunteti furnizor IT pentru entitati financiare, pregatiti-va
- Registrul DORA va creste transparenta
- Cerintele contractuale vor fi mai stricte
Concluzie
Pentru sectorul financiar, DORA este cadrul principal de conformitate pentru securitatea cibernetica, dar NIS2 ramane relevant pentru inregistrare si cooperare. O abordare integrata, care acopera ambele cadre, va sprijini procesul de conformitate si va optimiza resursele.
Entitatile financiare ar trebui sa colaboreze cu echipele juridice si de conformitate pentru a intelege exact ce obligatii se aplica in situatia lor specifica.
NIS2 Manager este un produs BetterQA, una dintre cele mai bune companii de testare software din Europa.