Hlavní rozdíly mezi oběma regulacemi
Největší rozdíl mezi předpisy spočívá v tom, koho se pravidla o kyberbezpečnosti týkají a jak se zavádějí do praxe. Zatímco NIS2 je jakýmsi „všeobecným štítem“ pro mnoho důležitých odvětví, DORA je „specializované brnění“ ušité na míru finančnímu světu.
| NIS 2 (Směrnice/nZKB) | DORA (Nařízení) |
Právní forma | Směrnice: Určuje cíle, které státy EU musí zapracovat do vlastních zákonů. V ČR jde o nový zákon o kybernetické bezpečnosti (nZKB). | Nařízení: Přímo závazné a jednotně platné v celé EU bez nutnosti národních úprav. Má přednost před národními zákony. |
Rozsah (Sektory) | Horizontální: Pokrývá 18 širokých sektorů (energetika, doprava, zdravotnictví, veřejná správa, výroba atd.). | Vertikální: Zaměřuje se výhradně na finanční sektor (21 typů entit jako banky, pojišťovny) a jejich kritické ICT dodavatele. |
Hlavní cíl | Zvýšení celkové úrovně kyberbezpečnosti a odolnosti kritické infrastruktury a služeb napříč EU. | Zajištění digitální provozní odolnosti finančního sektoru, schopnost odolat hrozbám a rychle se zotavit z IT výpadků. |
Vztah k druhému předpisu | Považuje se za obecný rámec (lex generalis). | Považuje se za lex specialis, který má ve finančním sektoru přednost před NIS2. |
Třetí strany a dodavatelé | Vyžaduje řízení rizik v dodavatelském řetězci, ale nedohlíží přímo na dodavatele. | Zavádí přímý dohled EU nad kritickými ICT dodavateli (např. cloudové služby Amazon, Oracle). |
Hlášení incidentů | Vyžaduje včasné varování do 24 hodin u významných incidentů. | Standardizuje klasifikaci a hlášení ICT incidentů dle specifických pravidel finančního trhu. |
Sankce a pokuty | Stanovuje pevné stropy: až 10 mil. EUR nebo 2 % z celkového ročního obratu (dle typu subjektu).
| Výši sankcí určují národní orgány, u ICT dodavatelů hrozí denní penále až do výše 1 % průměrného denního obratu. |
Odpovědnost managementu | Členové vedení jsou osobně odpovědní za schvalování a dohled nad opatřeními; povinné školení managementu. | Vrcholový orgán nese plnou odpovědnost za řízení ICT rizik a strategii digitální odolnosti. |
Implementace | Účinnost českého nZKB je od 1. 11. 2025 (s následnou 12měsíční přechodnou lhůtou ke splnění povinností). | Plná vymahatelnost v celé EU od 17. ledna 2025. |
Co mají oba předpisy společného?
I když se liší v detailech, oba předpisy stojí na stejných základech:
Bezpečnost už není jen věcí „ajťáků“. Nejvyšší vedení firmy nese za kyberbezpečnost přímou odpovědnost a musí se v ní i vzdělávat.
Pokud dojde k vážnému útoku nebo výpadku, společnosti mají povinnost takový incident velmi rychle nahlásit úřadům.
Firmy musí mít jasný plán, jak hrozby vyhledávat, jak se proti nim bránit a jak se z útoku co nejrychleji vzpamatovat.
Nestačí mít zabezpečenou vlastní firmu, musíte si hlídat i to, jaká bezpečnostní opatření zavedli vaši IT dodavatelé (např. cloudové služby).
Lidé si DORA a NIS2 často pletou hlavně proto, že vznikly ve stejném období a jejich přijetí provázel výrazný mediální zájem, který oba předpisy prezentoval společně. V důsledku toho se o nich začalo mluvit jako o jedné „vlně“ regulace kybernetické bezpečnosti. Navíc používají podobné pojmy a ukládají firmám obdobné povinnosti, například v oblasti řízení rizik nebo hlášení incidentů. Na první pohled tak mohou působit jako totožné předpisy. Ve skutečnosti mezi nimi existují podstatné rozdíly (viz tabulka výše), a proto je klíčové se v nich zorientovat a správně vyhodnotit, jak se konkrétně dotýkají vaší firmy.
