NIS2 vs DORA: Mida teada?

Sissejuhatus

Kaks hiljutist küberturvalisuse ja regulatiivse vastavuse raamistikku on esile kerkinud: Võrkude ja infosüsteemide turvalisuse direktiiv 2 (NIS2) ja Digitaalse tegevuskerksuse määrus (DORA). Mõlema eesmärk on tugevdada EL-i kaitset küberohtude vastu, kuid nad erinevad seadusandliku tüübi, reguleerimisala, kohaldatavuse ja konkreetsete nõuete poolest. Vaatame lähemalt, kuidas NIS2 ja DORA erinevad ning milliseid organisatsioone need mõjutavad.

Ülevaade NIS2 direktiivist

NIS2 on algse NIS direktiivi (2016) teine versioon, mille eesmärk on tugevdada elutähtsate ja oluliste sektorite küberturvalisust kogu EL-is nii avalikus kui ka erasektoris. Direktiiv hõlmab laia valikut sektoreid, sealhulgas energiat, transporti, tervishoidu, digitaalset taristut ja muud. Loe NIS2 kohta lähemalt siit: https://risksight.io/et/lisamaterjalid/nis2-direktiiv-mis-see-on-ja-kuidas-valmistuda/

Ülevaade digitaalse tegevuskerksusse määrusest (DORA)

DORA on seevastu määrus, mis keskendub spetsiaalselt finantssektorile. Selle eesmärk on tagada, et finantsasutused suudavad taluda, reageerida ja taastuda kõigist info- ja kommunikatsioonitehnoloogiaga (IKT) seotud häiretest ja ohtudest. DORA püüab ühtlustada nõudeid kogu EL-i finantssektoris, hõlmates selliseid üksusi nagu pangad, kindlustusandjad, investeerimisühingud ja kriitilised kolmandatest osapooltest teenusepakkujad. Loe DORA kohta lähemalt siit: https://risksight.io/et/lisamaterjalid/digitaalse-tegevuskerksuse-maaruse-dora/

Peamised erinevused NIS2 ja DORA vahel

Seadusandlik tüüp ja tähtajad

NIS2: NIS2 on direktiiv, mis tähendab, et see sätestab eesmärgid, mille EL-i liikmesriigid peavad saavutama omaenda siseriikliku õiguse kaudu. Igal liikmesriigil on paindlikkus direktiivi rakendada vastavalt oma õigusraamistikule. NIS2 ülevõtmise tähtaeg siseriiklikku õigusesse oli oktoober 2024 ning ettevõtetel on kuni kaks aastat aega uute nõuetega vastavuse saavutamiseks.

DORA: DORA on määrus, mis tähendab, et see kehtib otse kõikides EL-i liikmesriikides ilma vajaduseta siseriiklikuks rakendamiseks. See jõustus täielikult 17. jaanuaril 2025, täpselt 24 kuud pärast selle avaldamist EL-i ametlikus väljaandes. Ettevõtted peavad sellest kuupäevast alates DORA nõudeid järgima.

Reguleerimisala ja kohaldatavus

NIS2: Kohaldub laiale sektorite valikule, mida peetakse elutähtsaks või oluliseks, sealhulgas energia, transport, pangandus, finantsturu infrastruktuurid, tervishoid, joogivesi, reovesi, digitaalne taristu, avalik haldus ja kosmos. Direktiiv kehtestab suurusepõhise reegli, mis tähendab, et kõik keskmise suurusega ja suured ettevõtted nendes sektorites kuuluvad selle alla. Loe täpsematest kriteeriumitest siit: https://risksight.io/et/lisamaterjalid/nis2-vastavusnimekiri/#:~:text=Kas%20minu%20organisatsioon%20kuulub%20NIS2%20direktiivi%20alla%3F

DORA: Keskendub konkreetselt finantssektorile, hõlmates selliseid üksusi nagu krediidiasutused, makseasutused, elektroonilise raha asutused, investeerimisühingud, krüptovarateenuste pakkujad, kindlustus- ja edasikindlustusandjad ning IKT kolmandatest osapooltest teenusepakkujad.

Järelvalveraamistik

NIS2: Järelevalvet teostavad iga liikmesriigi määratud riiklikud asutused. Need asutused vastutavad vastavuse jälgimise, auditite läbiviimise ja direktiivi jõustamise eest oma jurisdiktsioonis.

DORA: Kuigi vastavuse järelevalvet teostavad riiklikud asutused, on olulisel kohal ka Euroopa järelevalveasutused (ESAd), näiteks Euroopa Pangandusjärelevalve (EBA), Euroopa Väärtpaberiturujärelevalve (ESMA) ja Euroopa Kindlustus- ja Tööandjapensionide Järelevalve (EIOPA). Selline koostööpõhine lähenemine tagab järelevalve ühtluse kogu EL-i finantssektoris.

Intsidentidest raporteerimise nõuded

NIS2: Ettevõtted peavad olulistest intsidentidest teavitama oma riiklikku järelevalveasutust 24 tunni jooksul pärast avastamist ning esitama üksikasjaliku aruande 72 tunni jooksul.

DORA: Finantsasutused peavad olulisematest IKT-ga seotud intsidentidest viivitamata teavitama pädevaid asutusi, kuigi konkreetsed tähtajad võivad varieeruda. Rõhk on õigeaegsel suhtlusel, et leevendada võimalikke süsteemseid riske.

Mittejärgimise eest määratavad karistused

NIS2: NIS2 nõuete mittejärgimine võib kaasa tuua märkimisväärseid trahve. Elutähtsad asutused, näiteks energia- ja transpordisektoris tegutsevad ettevõtted, võivad saada kuni 10 miljoni euro suuruse trahvi või 2% ulatuses oma ülemaailmsest aastakäibest. Olulistele organisatsioonidele, näiteks digitaalteenuste pakkujatele, võib määrata kuni 7 miljoni euro suuruse trahvi või 1,4% nende ülemaailmsest aastakäibest.

DORA: Kuigi DORA ei sätesta täpseid trahvisummasid, annab see pädevatele asutustele õiguse määrata tõhusaid ja proportsionaalseid karistusi. Lisaks võivad kriitilised IKT kolmanda osapoole teenusepakkujad saada kuni 1% suuruse trahvi oma keskmisest päevakäibest kogu maailmas, kui nad ei täida nõudeid.

Nii NIS2 kui ka DORA panevad juhtkonnale isikliku vastutuse raske hooletuse või tahtliku rikkumise puhul.

Kokkuvõte

Kuigi NIS2 ja DORA keskenduvad erinevatele valdkondadele, täiendavad need teineteist EL-i küberturvalisuse raamistiku tugevdamisel. NIS2 eesmärk on tugevdada küberturvalisust erinevates kriitilistes sektorites, samal ajal kui DORA tagab finantssektori tegevuskerksuse. Organisatsioonide jaoks, kellele kohaldatakse mõlemat regulatsiooni, on DORA esimene prioriteet, kuna see keskendub konkreetselt finantssektorile. Samas tuleb siiski järgida ka NIS2 üldnõudeid nendes valdkondades, mida DORA täielikult ei kata.