DORA i NIS 2 zostały opublikowane w Dzienniku Urzędowym UE

Koniec 2022 roku zbiega się z opublikowaniem w Dzienniku Urzędowym UE DORA i NIS 2, a tym samym formalnym ustanowieniem nowych, przyszłych ram cyberbezpieczeństwa w UE.

Rozporządzenie DORA:

• Będzie stosowane bezpośrednio na terenie całej UE od 17 stycznia 2025 r.
• Będzie miało znaczący wpływ na przedsiębiorstwa z sektora finansowego oraz na kluczowych dostawców usług ICT dla sektora finansowego

Dyrektywa NIS2:

• Zastąpi obecnie obowiązującą dyrektywę NIS
• Będzie wymagała implementacji do prawa krajowego, która powinna zostać przeprowadzona do 17 października 2024 r. (może to nastąpić poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa lub poprzez uchwalenie nowej ustawy lub ustaw implementujących NIS2)
• Będzie miała znaczący wpływ na podmioty kluczowe i ważne zdefiniowane w NIS2 (zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne)

Regulacje te będą niezwykle istotne dla spółek IT świadczących usługi SOC lub inne usługi IT dla podmiotów podlegających pod zakres DORA i NIS 2.

Można powiedzieć, że wraz z obowiązującymi już RODO oraz aktem o cyberbezpieczeństwie, a także z wciąż procedowanym aktem w sprawie sztucznej inteligencji oraz aktem dotyczącym cyberodporności, regulacje te będą tworzyć zręby unijnego systemu compliance dla podmiotów z sektora IT.

Nowych reagulacji dotykających bezpośrednio branży IT jest coraz więcej. W najbliższych latach dostawców IT czeka zatem wiele wyzwań związanych z dostosowaniem się do nowych regulacji.

Wymagać to może od nich często wdrożenia nowych procesów organizacyjnych, nowych rozwiązań technicznych, a także przygotowania się od strony formalnej (odpowiedniego udokumentowania procesów, a także przygotowania odpowiednich warunków kontraktowych).

Można spodziewać się, że lata 2023-2024 to będzie czas intesywnego analizownia i przygotowywania się przez spółki IT do zapewnianie odpowiedniej zgodności (compliance IT).