Kto odpowiada za przestrzeganie DORA i NIS2? Personalna odpowiedzialność w świetle nowych regulacji.

DORA i NIS2 Personalna odpowiedzialność w świetle nowych regulacji 01

Wejście w życie regulacji DORA (Digital Operational Resilience Act) i NIS 2 (Directive on Security of Network and Information Systems 2) stawia przed sektorem finansowym i innymi kluczowymi sektorami gospodarki nowe wyzwania. Wiele organizacji zastanawia się jednak, kto dokładnie będzie odpowiedzialny za przestrzeganie tych przepisów i jakie konsekwencje niesie za sobą ich naruszenie. Ten artykuł ma na celu rozwianie tych wątpliwości.

Rozporządzenie DORA

DORA (Digital Operational Resilience Act) to rozporządzenie unijne mające na celu wzmocnienie odporności operacyjnej sektora finansowego w kontekście zależności od technologii informacyjno-komunikacyjnych (ICT). DORA ma na celu wzmocnienie cyberbezpieczeństwa i odporności operacyjnej wszystkich podmiotów funkcjonujących w sektorze finansowym UE. Oznacza to, że nie tylko banki i instytucje finansowe będą musiały dostosować się do nowych regulacji, ale także wszystkie podmioty świadczące usługi kluczowe dla ich działalności, takie jak dostawcy usług chmurowych czy dostawcy oprogramowania.

Odpowiedzialność za przestrzeganie przepisów DORA spoczywa na zarządach tych organizacji. W praktyce oznacza to, że zarządy muszą podejmować decyzje dotyczące polityki bezpieczeństwa, zapewniać odpowiednie zasoby do wdrożenia tej polityki oraz nadzorować jej przestrzeganie. Rozporządzenie DORA zostało opublikowane dnia 14 grudnia 2022 r. Weszło ono w życie 16 stycznia 2023 r., a jego stosowanie rozpocznie się od 17 stycznia 2025 r.

DORA i NIS2 Personalna odpowiedzialność w świetle nowych regulacji 03

Dyrektywa NIS2

NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555) została opublikowana 14 grudnia 2022 r. a jej termin implementacji 2 upływa 17 października 2024 r. Podobnie jak DORA, NIS2 ma na celu zwiększenie odporności cyfrowej kluczowych sektorów gospodarki, jednak skupia się na szerszym spektrum sektorów, nie tylko finansowych. W przypadku NIS 2, odpowiedzialność spoczywa również na zarządach organizacji, które muszą zatwierdzać polityki bezpieczeństwa, monitorować ich przestrzeganie oraz podejmować działania w celu zarządzania ryzykiem.

DORA i NIS2 Personalna odpowiedzialność w świetle nowych regulacji 02

Konsekwencje naruszenia przepisów NIS2

Naruszenie przepisów dyrektywy NIS 2 niesie ze sobą różnorodne konsekwencje w zależności od rodzaju podmiotu. Dla podmiotów kluczowych, które odgrywają istotną rolę w systemie bezpieczeństwa cyfrowego, przewidziane są bardziej rygorystyczne sankcje. Obejmują one m.in. możliwość dokonywania kontroli i nadzoru zdalnego, przeprowadzania audytów, żądania informacji na temat środków zarządzania ryzykiem oraz polityki cyberbezpieczeństwa. W przypadku stwierdzenia naruszeń, organy mogą wydawać ostrzeżenia, nakładać wiążące polecenia czy też administracyjne kary pieniężne. Dla podmiotów kluczowych maksymalna kara administracyjna wynosi 10 000 000 EUR lub 2% łącznego rocznego światowego obrotu przedsiębiorstwa. W szczególnych okolicznościach istnieje również możliwość tymczasowego zawieszenia certyfikacji lub zezwolenia, a także zakaz pełnienia funkcji zarządczych dla osób odpowiedzialnych. Osoby fizyczne zarządzające przedsiębiorstwem lub je reprezentujące mogą również zostać pociągnięte do odpowiedzialności za nieprzestrzeganie dyrektywy, co dotyczy zarówno podmiotów kluczowych, jak i ważnych. W przypadku podmiotów ważnych kary są nieco niższe, wynosząc 7 000 000 EUR lub 1,4% łącznego rocznego obrotu.

Konsekwencje nie przestrzegania przepisów DORA

Nieprzestrzeganie przepisów DORA może prowadzić do poważnych konsekwencji dla przedsiębiorstwa, w tym do nałożenia sankcji administracyjnych przez organy nadzoru krajowe. Na podstawie art. 50 ust. 4 rozporządzenia DORA, możliwe sankcje obejmują wymaganie zaprzestania pewnych praktyk lub postępowań uważanych za sprzeczne z tymi przepisami, podejmowanie środków mających zapewnić dalsze przestrzeganie wymogów prawnych (w tym sankcji finansowych), udostępnienie rejestrów przesyłu danych oraz wydanie publicznych ogłoszeń wskazujących na tożsamość naruszającego i charakter naruszenia. Skala tych sankcji może znacząco wpłynąć na działalność przedsiębiorstwa, włączając w to potencjalne zakończenie jego operacji. Charakter tych sankcji jest proporcjonalny, skuteczny i odstraszający, a ich zastosowanie zależy od stopnia naruszenia oraz intencji (czy naruszenie było umyślne czy nie). Ostatecznie, w razie naruszenia przepisów przez organizację, odpowiedzialność może spaść nie tylko na całą organizację, ale także na członków organu zarządzającego oraz inne osoby, które ponoszą odpowiedzialność za te naruszenia w świetle prawa krajowego.

Podsumowanie

Podsumowując, za przestrzeganie przepisów DORA i NIS 2 odpowiedzialne są zarządy organizacji. To one muszą zatwierdzić polityki bezpieczeństwa, monitorować ich przestrzeganie oraz zarządzać ryzykiem. Niezależnie od tego, jak duża jest Twoja organizacja, jest to zadanie, które nie może być zaniedbane, zważywszy na potencjalne konsekwencje naruszenia przepisów. Dlatego też zarządy powinny odgrywać kluczową rolę w zapewnieniu, że ich organizacje są gotowe na nowe regulacje.

W obu przypadkach odpowiedzialność jest personalna, co oznacza, że poszczególne osoby w zarządach mogą ponieść konsekwencje za niedopełnienie obowiązków wynikających z tych regulacji. To powinno skłonić zarządy do podjęcia proaktywnych działań w celu zrozumienia, wdrożenia i przestrzegania nowych regulacji.

Odpowiedzialność za przestrzeganie DORA i NIS2 jest więc duża, ale wiedza i odpowiednie przygotowanie mogą pomóc w spełnieniu tych wymogów i zminimalizowaniu ryzyka.

Ebook DORA i NIS2

Już wkrótce opublikujemy obszerny ebook, poświęcony rozporządzeniom DORA i NIS 2, który zostanie opublikowany na stronach Secfense. Z ebooka dowiedzieć się będzie można między innymi takich rzeczy jak: 

  • Jakie organizacje objęte są DORA i NIS2?
  • Kto odpowiada za wdrożenie DORA i NIS2 w organizacjach?
  • Jakie są konsekwencje nieprzestrzegania DORA i NIS2? Kto je ponosi?
  • Co to jest „size-cap rule” w NIS2? Jak dowiedzieć się, czy organizacja jej podlega?

W Secfense skupiamy się na tym, aby nasi klienci w łatwy i sprawny sposób mogli odejść od haseł i zastąpić je silnym uwierzytelnianiem odpornym na phishing i opartym o passwordless FIDO. Stąd też nie możemy pozostawić tego raportu bez odpowiedzi na kluczowe kwestie dotyczące silnego uwierzytelniania. Stąd też w ebooku znajdą się odpowiedzi na takie pytania jak:

  • Czy DORA i NIS2 wymagają silnego uwierzytelniania w aplikacjach organizacji?
  • Czy wszystkie aplikacje obięte są regulacją DORA i NIS2? 
  • Czy DORA ogranicza silne uwierzytelnianie tylko do metod używających kryptografii asymetrycznej?
  • Czy każdy dostawca IT to „ICT third-party provider” według DORA i czy muszą oni stosować silne uwierzytelnianie?

Aby pobrać nasz ebook zachęcamy do zapisania się do naszego newslettera, w którym będziemy informować o jego publikacji, jak również do śledzenia naszych publikacji na Linkedin, Facebook oraz Twitter

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Nie jestem gotowy na rozporządzenie DORA. Co mi grozi?

Rozporządzenie DORA zobowiązuje banki do wdrożenia mechanizmów silnego uwierzytelniania, czyli MFA. Czasu na to jest coraz mniej. Czy Komisja Nadzoru Finansowego rzeczywiście będzie wymagać takich…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 4 MIN

Państwowy Instytut Geologiczny wzmacnia bezpieczeństwo cyfrowe dzięki współpracy z Secfense

Państwowy Instytut Geologiczny zdecydował się na strategiczną współpracę z firmą Secfense, specjalizującą się w rozwiązaniach z zakresu bezpieczeństwa informatycznego. Kluczowym elementem tej współpracy jest wdrożenie…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Wprowadzenie do Passkeys – nagranie z SEMAFORa

Prezentacja Bartka Cieszewskiego i Damian Kuźma na konferencji Semafor Autor: Bartosz Cieszewski | Solutions Architect w Secfense W marcu tego roku miałem zaszczyt współprezentować z…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.