cyberbezpieczenstwo strona www

DORA – co to jest, kogo dotyczy i dlaczego jest ważna?

Rozporządzenie DORA (Digital Operational Resilience Act) ujednolica zasady cyfrowej odporności w sektorze finansowym. To odpowiedź Unii Europejskiej na rosnące zagrożenia technologiczne i cybernetyczne oraz dotychczasowe, niespójne przepisy dotyczące ryzyka ICT.

Sprawdź, co musisz zrobić, aby się dostosować, bo regulacje obowiązują Cię już od 17 stycznia 2025 roku.

cyberbezpieczenstwo strona www

Kogo obejmuje DORA? Sprawdź, czy dotyczy Twojej organizacji

Przepisy dotyczą praktycznie całego sektora finansowego, w tym:

  • Banków i funduszy inwestycyjnych,
  • Firm ubezpieczeniowych,
  • Instytucji płatniczych i operatorów pieniądza elektronicznego,
  • Dostawców usług w zakresie kryptoaktywów.


WAŻNE! DORA obejmuje również Twoich zewnętrznych dostawców usług ICT (technologii informacyjno-komunikacyjnych), którzy wspierają funkcjonowanie instytucji finansowych. To nowość, która znacząco rozszerza zakres odpowiedzialności. 

DORA: Od czego zacząć?

Rozporządzenie DORA nakłada na Ciebie konkretne obowiązki. Twoja organizacja musi wdrożyć kompleksowy system zarządzania ryzykiem technologicznym, w tym zgłaszać poważne incydenty do organów nadzoru.

Oto 4 kluczowe zadania, które musisz zrealizować, aby zapewnić zgodność z DORA:

  1. Stwórz solidny system zarządzania ryzykiem ICT i ciągłością działania: 
    Opracuj kompleksowe ramy, strategie, polityki bezpieczeństwa oraz plany ciągłości działania i strategie backupowe.
  2. Testuj odporność systemów: 
    Regularnie przeprowadzaj zaawansowane testy odporności na incydenty.
  3. Nadzoruj dostawców: 
    Wprowadź szczegółowe umowy, przeprowadzaj audyty i kontrole jakości usług oraz przygotuj strategie zakończenia współpracy w razie zagrożenia.
  4. Raportuj poważne incydenty: 
    Zgłaszaj poważne incydenty ICT bezpośrednio do organów nadzoru i dziel się informacjami o zagrożeniach z innymi podmiotami finansowymi.
cyberbezpieczenstwo strona www

Poznaj techniczne fundamenty DORA

RTS i ITS — o co chodzi? 

Procedury, formularze, progi istotności i harmonogramy raportowania są precyzyjnie określone w standardach technicznych (RTS i ITS), co zapewnia spójność w całej Unii Europejskiej. To szczegółowe standardy techniczne (Regulacyjne – RTS i Wykonawcze – ITS) tworzone przez europejskie urzędy nadzoru (EBA, ESMA, EIOPA).
Co zawierają RTS i ITS? 

RTS (Regulacyjne Standardy Techniczne): Określają szczegółowe wymagania, np. dotyczące ram zarządzania ryzykiem ICT, kryteriów klasyfikacji incydentów czy nadzoru nad zewnętrznymi dostawcami usług ICT. 
ITS (Implementacyjne Standardy Techniczne): Ustanawiają jednolite szablony i formularze, np. do raportowania poważnych incydentów ICT oraz rejestru umów z dostawcami usług ICT.


WAŻNE! Są publikowane etapami w formie pakietów i musisz je wdrożyć w wyznaczonych terminach. Ich stosowanie jest obowiązkowe we wszystkich państwach członkowskich UE, w tym w Polsce. 

Sankcje i kary za brak zgodności z DORA

Brak zgodności z DORA wiąże się z poważnymi konsekwencjami. W Polsce Komisja Nadzoru Finansowego (KNF) może:

  • Nałożyć kary finansowe do 20 mln zł lub 10% rocznego przychodu.
  • Wydać czasowy zakaz pełnienia funkcji dla kadry kierowniczej.
  • Nakazać zaprzestanie działań niezgodnych z DORA.
  • Wprowadzić sankcje również dla Ciebie i Twoich kluczowych dostawców usług ICT (np. za brak procedur zarządzania ryzykiem, błędne raportowanie incydentów lub niedostosowanie systemów IT).

DORA: Czy Twoja organizacja jest gotowa na cyfrową odporność? Co warto sprawdzić?

Oto Twoja mini-checklista, która pomoże Ci w przygotowaniach:

  1. Zrób analizę luk (gap assessment) wobec wymagań DORA oraz standardów RTS/ITS.
  2. Uporządkuj rejestr incydentów i wewnętrzny proces ich zgłaszania.
  3. Zrób przegląd umów z dostawcami ICT i zweryfikuj plany wyjścia.
  4. Zaplanuj testy planów ciągłości działania (BCP/DR) w oparciu o realistyczne scenariusze awarii.

To wybrane, kluczowe elementy, na które warto zwrócić uwagę. Nie zwlekaj i użyj tej listy już dziś, aby ocenić swoją gotowość, zidentyfikować obszary do poprawy i wzmocnić cyfrową odporność.

LEX Cyberbezpieczeństwo

Umów prezentację
Back To Top