Wejście w życie regulacji DORA (Digital Operational Resilience Act) i NIS 2 (Directive on Security of Network and Information Systems 2) stawia przed sektorem finansowym i innymi kluczowymi sektorami gospodarki nowe wyzwania. Wiele organizacji zastanawia się jednak, kto dokładnie będzie odpowiedzialny za przestrzeganie tych przepisów i jakie konsekwencje niesie za sobą ich naruszenie. Ten artykuł ma na celu rozwianie tych wątpliwości.
Rozporządzenie DORA
DORA (Digital Operational Resilience Act) to rozporządzenie unijne mające na celu wzmocnienie odporności operacyjnej sektora finansowego w kontekście zależności od technologii informacyjno-komunikacyjnych (ICT). DORA ma na celu wzmocnienie cyberbezpieczeństwa i odporności operacyjnej wszystkich podmiotów funkcjonujących w sektorze finansowym UE. Oznacza to, że nie tylko banki i instytucje finansowe będą musiały dostosować się do nowych regulacji, ale także wszystkie podmioty świadczące usługi kluczowe dla ich działalności, takie jak dostawcy usług chmurowych czy dostawcy oprogramowania.
Odpowiedzialność za przestrzeganie przepisów DORA spoczywa na zarządach tych organizacji. W praktyce oznacza to, że zarządy muszą podejmować decyzje dotyczące polityki bezpieczeństwa, zapewniać odpowiednie zasoby do wdrożenia tej polityki oraz nadzorować jej przestrzeganie. Rozporządzenie DORA zostało opublikowane dnia 14 grudnia 2022 r. Weszło ono w życie 16 stycznia 2023 r., a jego stosowanie rozpocznie się od 17 stycznia 2025 r.
Dyrektywa NIS2
NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) została opublikowana 14 grudnia 2022 r. a jej termin implementacji 2 upływa 17 października 2024 r. Podobnie jak DORA, NIS2 ma na celu zwiększenie odporności cyfrowej kluczowych sektorów gospodarki, jednak skupia się na szerszym spektrum sektorów, nie tylko finansowych. W przypadku NIS 2, odpowiedzialność spoczywa również na zarządach organizacji, które muszą zatwierdzać polityki bezpieczeństwa, monitorować ich przestrzeganie oraz podejmować działania w celu zarządzania ryzykiem.
Konsekwencje naruszenia przepisów NIS2
Naruszenie przepisów dyrektywy NIS 2 niesie ze sobą różnorodne konsekwencje w zależności od rodzaju podmiotu. Dla podmiotów kluczowych, które odgrywają istotną rolę w systemie bezpieczeństwa cyfrowego, przewidziane są bardziej rygorystyczne sankcje. Obejmują one m.in. możliwość dokonywania kontroli i nadzoru zdalnego, przeprowadzania audytów, żądania informacji na temat środków zarządzania ryzykiem oraz polityki cyberbezpieczeństwa. W przypadku stwierdzenia naruszeń, organy mogą wydawać ostrzeżenia, nakładać wiążące polecenia czy też administracyjne kary pieniężne. Dla podmiotów kluczowych maksymalna kara administracyjna wynosi 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu przedsiębiorstwa. W szczególnych okolicznościach istnieje również możliwość tymczasowego zawieszenia certyfikacji lub zezwolenia, a także zakaz pełnienia funkcji zarządczych dla osób odpowiedzialnych. Osoby fizyczne zarządzające przedsiębiorstwem lub je reprezentujące mogą również zostać pociągnięte do odpowiedzialności za nieprzestrzeganie dyrektywy, co dotyczy zarówno podmiotów kluczowych, jak i ważnych. W przypadku podmiotów ważnych kary są nieco niższe, wynosząc 7 000 000 EUR lub 1,4% łącznego rocznego obrotu.
Konsekwencje nie przestrzegania przepisów DORA
Nieprzestrzeganie przepisów DORA może prowadzić do poważnych konsekwencji dla przedsiębiorstwa, w tym do nałożenia sankcji administracyjnych przez organy nadzoru krajowe. Na podstawie art. 50 ust. 4 rozporządzenia DORA, możliwe sankcje obejmują wymaganie zaprzestania pewnych praktyk lub postępowań uważanych za sprzeczne z tymi przepisami, podejmowanie środków mających zapewnić dalsze przestrzeganie wymogów prawnych (w tym sankcji finansowych), udostępnienie rejestrów przesyłu danych oraz wydanie publicznych ogłoszeń wskazujących na tożsamość naruszającego i charakter naruszenia. Skala tych sankcji może znacząco wpłynąć na działalność przedsiębiorstwa, włączając w to potencjalne zakończenie jego operacji. Charakter tych sankcji jest proporcjonalny, skuteczny i odstraszający, a ich zastosowanie zależy od stopnia naruszenia oraz intencji (czy naruszenie było umyślne czy nie). Ostatecznie, w razie naruszenia przepisów przez organizację, odpowiedzialność może spaść nie tylko na całą organizację, ale także na członków organu zarządzającego oraz inne osoby, które ponoszą odpowiedzialność za te naruszenia w świetle prawa krajowego.
Podsumowanie
Podsumowując, za przestrzeganie przepisów DORA i NIS 2 odpowiedzialne są zarządy organizacji. To one muszą zatwierdzić polityki bezpieczeństwa, monitorować ich przestrzeganie oraz zarządzać ryzykiem. Niezależnie od tego, jak duża jest Twoja organizacja, jest to zadanie, które nie może być zaniedbane, zważywszy na potencjalne konsekwencje naruszenia przepisów. Dlatego też zarządy powinny odgrywać kluczową rolę w zapewnieniu, że ich organizacje są gotowe na nowe regulacje.
W obu przypadkach odpowiedzialność jest personalna, co oznacza, że poszczególne osoby w zarządach mogą ponieść konsekwencje za niedopełnienie obowiązków wynikających z tych regulacji. To powinno skłonić zarządy do podjęcia proaktywnych działań w celu zrozumienia, wdrożenia i przestrzegania nowych regulacji.
Odpowiedzialność za przestrzeganie DORA i NIS2 jest więc duża, ale wiedza i odpowiednie przygotowanie mogą pomóc w spełnieniu tych wymogów i zminimalizowaniu ryzyka.
Ebook DORA i NIS2
Już wkrótce opublikujemy obszerny ebook, poświęcony rozporządzeniom DORA i NIS 2, który zostanie opublikowany na stronach Secfense. Z ebooka dowiedzieć się będzie można między innymi takich rzeczy jak:
- Jakie organizacje objęte są DORA i NIS2?
- Kto odpowiada za wdrożenie DORA i NIS2 w organizacjach?
- Jakie są konsekwencje nieprzestrzegania DORA i NIS2? Kto je ponosi?
- Co to jest „size-cap rule” w NIS2? Jak dowiedzieć się, czy organizacja jej podlega?
W Secfense skupiamy się na tym, aby nasi klienci w łatwy i sprawny sposób mogli odejść od haseł i zastąpić je silnym uwierzytelnianiem odpornym na phishing i opartym o passwordless FIDO. Stąd też nie możemy pozostawić tego raportu bez odpowiedzi na kluczowe kwestie dotyczące silnego uwierzytelniania. Stąd też w ebooku znajdą się odpowiedzi na takie pytania jak:
- Czy DORA i NIS2 wymagają silnego uwierzytelniania w aplikacjach organizacji?
- Czy wszystkie aplikacje obięte są regulacją DORA i NIS2?
- Czy DORA ogranicza silne uwierzytelnianie tylko do metod używających kryptografii asymetrycznej?
- Czy każdy dostawca IT to „ICT third-party provider” według DORA i czy muszą oni stosować silne uwierzytelnianie?
Aby pobrać nasz ebook zachęcamy do zapisania się do naszego newslettera, w którym będziemy informować o jego publikacji, jak również do śledzenia naszych publikacji na Linkedin, Facebook oraz Twitter.