DORA – Czym jest i kogo dotyczy?

utworzone przez | wtorek, 21.01.2025, 10:55 | blog, cybersecurity, nauka i technika, prawo

DORA weszła w życie. Co to oznacza dla sektora finansowego?

Od 17 stycznia 2025 roku sektor finansowy w Unii Europejskiej wkracza w nową erę – czas Rozporządzenia DORA (Digital Operational Resilience Act). To przełomowy akt prawny, który wymusi na instytucjach finansowych i dostawcach usług ICT radykalną zmianę podejścia do cyberbezpieczeństwa. Jako eksperci z Elite Corp, którzy od lat wspieramy firmy w adaptacji do nowych regulacji. Podzielimy się z Tobą kluczowymi informacjami, praktycznymi poradami i naszym spojrzeniem na wyzwania związane z DORA.

Czym jest DORA?

DORA to unijne rozporządzenie (UE) 2022/2554, które weszło w życie 16 stycznia 2023 roku, ale zaczyna obowiązywać dopiero od 17 stycznia 2025 po 24-miesięcznym okresie przejściowym . Jego głównym celem jest zwiększenie odporności operacyjnej sektora finansowego na cyberzagrożenia poprzez:

  • Ujednolicenie standardów zarządzania ryzykiem ICT w całej UE.
  • Wprowadzenie obowiązkowych testów odporności cyfrowej.
  • Ścisłą kontrolę współpracy z dostawcami usług ICT .

Kogo dotyczy DORA?
Regulacja obejmuje m.in.:

  • Banki, firmy inwestycyjne, zakłady ubezpieczeń.
  • Instytucje płatnicze, fintechy, fundusze emerytalne.
  • Dostawców usług ICT wspierających funkcje krytyczne dla sektora finansowego.

DORA kładzie nacisk na 5 kluczowych filarów:

Rozporządzenie opiera się na pięciu kluczowych obszarach:

  1. Zarządzanie ryzykiem ICT
    • Wymaga opracowania kompleksowych ram zarządzania ryzykiem, identyfikacji kluczowych funkcji biznesowych oraz dokumentacji zagrożeń .
    • Przykład z praktyki: Bank musi zmapować wszystkie systemy ICT wspierające płatności online i ocenić ich podatność na ataki.
  2. Testowanie odporności cyfrowej
    • Obowiązkowe regularne testy penetracyjne, symulacje ataków i ocena skuteczności zabezpieczeń .
    • Statystyka: Według raportów ESMA, 43% instytucji finansowych w UE w 2024 roku nie przeprowadzało testów zgodnych z DORA .
  3. Zarządzanie dostawcami ICT
    • Kontrola umów z dostawcami, weryfikacja ich standardów bezpieczeństwa oraz utrzymywanie rejestru współpracujących podmiotów .
    • Case study: Firma ubezpieczeniowa musi zapewnić, że jej dostawca chmury spełnia wymogi DORA, w tym mechanizmy szybkiego przywracania danych.
  4. Raportowanie incydentów
    • Zgłaszanie poważnych incydentów ICT do organów nadzoru (np. KNF) w ciągu 24 godzin oraz informowanie klientów o znaczących zagrożeniach .
  5. Wymiana informacji o zagrożeniach
    • Budowanie wspólnej świadomości zagrożeń poprzez współpracę między instytucjami i organami nadzoru .

Wyzwania dla instytucji finansowych: Gdzie tkwią pułapki?

Wdrożenie DORA to nie tylko formalność – to transformacja kultury organizacyjnej. Największe wyzwania obejmują:

  • Automatyzacja procesów:
    Jak podkreśla Mikołaj Otmianowski z DAPR, „próby zarządzania setkami umów z dostawcami w Excelu prowadzą do chaosu” . Rozwiązaniem są systemy GRC (Governance, Risk & Compliance), które skracają czas przygotowania dokumentacji nawet o 66% .
  • Koszty i zasoby:
    Małe instytucje mogą mieć trudności z finansowaniem zaawansowanych narzędzi ICT. Szacuje się, że wdrożenie DORA kosztuje średnio 1,2-2 mln zł dla średniej wielkości banku .
  • Sankcje:
    Za brak zgodności grożą kary do 21 mln zł lub 10% rocznego przychodu netto . W 2024 roku KNF już rozpoczął audyty przygotowawcze, co wskazuje na zero tolerancji dla opóźnień .

Nasze spojrzenie na DORA

W Elite Corp odbieramy DORA nie jako przymus, ale szansę na budowę przewagi konkurencyjnej. Oto nasze rekomendacje:

  1. Analiza luki zgodności
    Przeprowadzamy audyty, które identyfikują słabe punkty w infrastrukturze ICT i procesach zarządzania ryzykiem.
  2. Wdrażanie systemów GRC
    Polecamy rozwiązania takie jak ServiceNow czy IBM OpenPages, które automatyzują raportowanie i monitorowanie zgodności z DORA.
  3. Szkolenia i symulacje
    Organizujemy warsztaty z reagowania na incydenty, ucząc zespoły, jak wykorzystywać procedury DORA w praktyce.
  4. Wsparcie prawne
    Nasi eksperci pomagają negocjować umowy z dostawcami ICT, aby spełniały wymogi Art. 28 DORA .

DORA – I co teraz?

DORA to nie chwilowy trend – to kamień milowy w ewolucji cyberbezpieczeństwa. Instytucje, które już teraz zainwestują w zgodność z tym rozporządzeniem, zyskają:

  • Większe zaufanie klientów.
  • Ochronę przed kosztownymi karami.
  • Przygotowanie na przyszłe regulacje, takie jak AI Act czy CRA.

Potrzebujesz wsparcia? Skontaktuj się z nami w Elite Corp – pomożemy Ci przejść przez DORA bez stresu.

Źródła i dodatkowe materiały:

Autor: Kamil Drozdowicz
Ekspert ds. cyberbezpieczeństwa, Elite Corp

Materiał został zaktualizowany 26.01.2025 r. i uwzględnia najnowsze wytyczne UE.
Artykuł powstał we współpracy z ekspertami Elite Corp – specjaliście we wdrażaniu DORA w Polsce.

'