DORA i NIS 2 zostały opublikowane w Dzienniku Urzędowym UE
Koniec 2022 roku zbiega się z opublikowaniem w Dzienniku Urzędowym UE DORA i NIS 2, a tym samym formalnym ustanowieniem nowych, przyszłych ram cyberbezpieczeństwa w UE.
Rozporządzenie DORA:
- Będzie stosowane bezpośrednio na terenie całej UE od 17 stycznia 2025 r.
- Będzie miało znaczący wpływ na przedsiębiorstwa z sektora finansowego oraz na kluczowych dostawców usług ICT dla sektora finansowego
Dyrektywa NIS2:
- Zastąpi obecnie obowiązującą dyrektywę NIS
- Będzie wymagała implementacji do prawa krajowego, która powinna zostać przeprowadzona do 17 października 2024 r. (może to nastąpić poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa lub poprzez uchwalenie nowej ustawy lub ustaw implementujących NIS2)
- Będzie miała znaczący wpływ na podmioty kluczowe i ważne zdefiniowane w NIS2 (zniknie dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne)
Regulacje te będą niezwykle istotne dla spółek IT świadczących usługi SOC lub inne usługi IT dla podmiotów podlegających pod zakres DORA i NIS 2.
Można powiedzieć, że wraz z obowiązującymi już RODO oraz aktem o cyberbezpieczeństwie, a także z wciąż procedowanym aktem w sprawie sztucznej inteligencji oraz aktem dotyczącym cyberodporności, regulacje te będą tworzyć zręby unijnego systemu compliance dla podmiotów z sektora IT.
Nowych reagulacji dotykających bezpośrednio branży IT jest coraz więcej. W najbliższych latach dostawców IT czeka zatem wiele wyzwań związanych z dostosowaniem się do nowych regulacji.
Wymagać to może od nich często wdrożenia nowych procesów organizacyjnych, nowych rozwiązań technicznych, a także przygotowania się od strony formalnej (odpowiedniego udokumentowania procesów, a także przygotowania odpowiednich warunków kontraktowych).
Można spodziewać się, że lata 2023-2024 to będzie czas intesywnego analizownia i przygotowywania się przez spółki IT do zapewnianie odpowiedniej zgodności (compliance IT).