Rozporządzenie DORA – czym jest, kogo dotyczy i jakie wymogi nakłada na sektor finansowy?

DORA, czyli Digital Operational Resilience Act, to jedna z najważniejszych regulacji technologicznych dla europejskiego sektora finansowego ostatnich lat. Nie chodzi w niej o kolejną formalność do odhaczenia w tabeli compliance. Chodzi o coś znacznie bardziej praktycznego: o zdolność banków, firm inwestycyjnych, ubezpieczycieli, fintechów i innych instytucji finansowych do działania wtedy, gdy zawodzi technologia.

A technologia zawodzi. Czasem przez cyberatak. Czasem przez błąd aktualizacji, awarię centrum danych, problem po stronie dostawcy chmury albo źle zaprojektowany proces odzyskiwania systemów. DORA porządkuje ten obszar i wprowadza wspólne unijne zasady dotyczące odporności operacyjnej cyfrowej. Od 17 stycznia 2025 r. podmioty objęte regulacją muszą nie tylko dbać o bezpieczeństwo systemów ICT, ale też umieć udowodnić, że potrafią przewidywać ryzyka, reagować na incydenty, testować zabezpieczenia i kontrolować technologicznych partnerów.

Czym jest DORA i dlaczego sektor finansowy musiał potraktować ją poważnie?

DORA to rozporządzenie Parlamentu Europejskiego i Rady UE 2022/2554 dotyczące operacyjnej odporności cyfrowej sektora finansowego. W praktyce jest to wspólny zestaw zasad dla instytucji finansowych działających w Unii Europejskiej. Regulacja została przyjęta po to, aby sektor finansowy był lepiej przygotowany na awarie, cyberataki i zakłócenia związane z wykorzystywaniem technologii informacyjno-komunikacyjnych, czyli ICT.

Najważniejsza zmiana polega na tym, że DORA przesuwa ciężar z samej ochrony systemów na całościową odporność organizacji. Nie wystarczy mieć firewalla, kopii zapasowej i procedury reagowania na incydenty. Instytucja musi rozumieć, które procesy są krytyczne, jakie systemy je obsługują, kto odpowiada za ich utrzymanie, jak szybko można je przywrócić i jaki wpływ awaria będzie miała na klientów, płynność operacyjną oraz stabilność usług.

DORA obejmuje kilka filarów:

  • zarządzanie ryzykiem ICT, czyli identyfikację, ochronę, wykrywanie, reagowanie i odtwarzanie systemów;
  • raportowanie poważnych incydentów ICT do właściwych organów nadzoru;
  • testowanie odporności cyfrowej, w tym bardziej zaawansowane testy dla wybranych podmiotów;
  • zarządzanie ryzykiem dostawców zewnętrznych ICT, zwłaszcza dostawców chmury, hostingu, infrastruktury, systemów transakcyjnych i usług cyberbezpieczeństwa;
  • wymianę informacji o cyberzagrożeniach pomiędzy podmiotami finansowymi, jeżeli odbywa się zgodnie z zasadami bezpieczeństwa i ochrony danych.

To regulacja bezpośrednio stosowana w państwach członkowskich UE. Oznacza to, że nie jest wyłącznie zaleceniem ani branżową dobrą praktyką. Dla objętych nią firm to realny obowiązek organizacyjny, technologiczny i kontraktowy.

DORA jest ważna także dlatego, że sektor finansowy działa dziś w układzie silnych zależności. Bank może mieć własną aplikację mobilną, ale korzystać z chmury, zewnętrznego centrum danych, dostawcy monitoringu bezpieczeństwa, operatorów płatności, systemów antyfraudowych i dziesiątek mniejszych usług ICT. Awaria jednego dostawcy może więc zatrzymać znacznie większy fragment rynku, niż wynikałoby to z samej umowy między dwiema firmami.

Kogo dotyczy rozporządzenie DORA i które firmy muszą spełnić nowe obowiązki?

DORA dotyczy szerokiego katalogu podmiotów finansowych. W jej zakresie znajdują się między innymi banki, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji, pośrednicy ubezpieczeniowi, zarządzający funduszami, platformy crowdfundingowe, agencje ratingowe, administratorzy kluczowych wskaźników referencyjnych, depozyty papierów wartościowych, kontrahenci centralni, systemy obrotu oraz wybrane podmioty z rynku kryptoaktywów.

W praktyce regulacja uderza nie tylko w największe instytucje. Dotyczy również wielu mniejszych organizacji, jeżeli prowadzą działalność regulowaną i korzystają z technologii w sposób istotny dla świadczenia usług finansowych. DORA stosuje jednak zasadę proporcjonalności. Oznacza to, że skala obowiązków powinna odpowiadać wielkości podmiotu, profilowi ryzyka, charakterowi działalności i znaczeniu systemów ICT dla wykonywanych usług.

Osobną grupą są zewnętrzni dostawcy usług ICT. To firmy technologiczne, które świadczą usługi na rzecz sektora finansowego. Mogą to być dostawcy chmury, infrastruktury serwerowej, oprogramowania, usług cyberbezpieczeństwa, centrów danych, narzędzi komunikacyjnych, analityki danych czy systemów krytycznych dla obsługi klientów. Szczególne znaczenie mają dostawcy uznani za krytycznych, ponieważ ich awaria mogłaby mieć szersze skutki dla rynku finansowego.

Dla wielu firm technologicznych DORA oznacza zmianę w relacjach z klientami finansowymi. Instytucje objęte regulacją muszą dokładniej sprawdzać dostawców, wymagać konkretnych zapisów w umowach i monitorować jakość świadczonych usług. Dostawca ICT nie może być już tylko „zewnętrznym wykonawcą”. Staje się częścią łańcucha odporności operacyjnej.

W umowach z dostawcami coraz większe znaczenie mają takie elementy jak:

  • opis usług ICT i ich znaczenie dla funkcji krytycznych lub ważnych;
  • poziomy dostępności i jakości usług;
  • zasady raportowania incydentów;
  • lokalizacja przetwarzania danych;
  • warunki podwykonawstwa;
  • prawo audytu i kontroli;
  • obowiązki dotyczące ciągłości działania;
  • scenariusze zakończenia współpracy i migracji usług do innego dostawcy.

To ważne, bo DORA nie pozwala instytucji finansowej przerzucić odpowiedzialności na dostawcę. Nawet jeśli system działa w chmurze, odpowiedzialność regulacyjna nadal pozostaje po stronie podmiotu finansowego.

Jakie wymogi nakłada DORA: od ryzyka ICT po raportowanie incydentów i kontrolę dostawców?

Najbardziej praktyczna część DORA dotyczy codziennego zarządzania ryzykiem technologicznym. Instytucje finansowe muszą posiadać ramy zarządzania ryzykiem ICT, które obejmują polityki, procedury, role, odpowiedzialności, narzędzia monitorowania, mechanizmy ochronne i plany odtwarzania działania po awarii.

Zarząd i kierownictwo wyższego szczebla nie mogą traktować cyberbezpieczeństwa jako wyłącznie technicznego tematu działu IT. DORA wyraźnie wzmacnia odpowiedzialność organów zarządzających. To one powinny zatwierdzać strategię odporności cyfrowej, nadzorować ryzyka, zapewniać zasoby i rozumieć konsekwencje poważnych incydentów.

Wymogi DORA można sprowadzić do kilku bardzo konkretnych obszarów.

Po pierwsze, instytucja musi wiedzieć, co chroni. To oznacza identyfikację systemów, zasobów informacyjnych, procesów biznesowych, zależności technologicznych i połączeń z dostawcami. Bez takiej mapy trudno ocenić, który system jest naprawdę krytyczny, a który tylko pomocniczy.

Po drugie, trzeba wdrożyć mechanizmy ochrony i prewencji. Chodzi między innymi o kontrolę dostępu, segmentację środowisk, aktualizacje, szyfrowanie, monitoring, zarządzanie podatnościami i bezpieczne projektowanie systemów. DORA nie narzuca jednego narzędzia, ale oczekuje spójnego podejścia.

Po trzecie, instytucja musi umieć wykrywać anomalie i incydenty. Samo posiadanie procedury nie wystarczy. Liczy się realna zdolność zauważenia problemu, sklasyfikowania go i uruchomienia właściwej ścieżki reakcji.

Po czwarte, ważne jest odtwarzanie działania. Plany ciągłości działania, kopie zapasowe, procedury awaryjne i testy przywracania systemów powinny być regularnie sprawdzane. Papierowy plan, którego nikt nie testował, ma niewielką wartość w chwili prawdziwego kryzysu.

Jednym z najbardziej odczuwalnych obowiązków jest raportowanie poważnych incydentów ICT. Gdy incydent zostanie sklasyfikowany jako poważny, podmiot finansowy musi działać szybko. Pierwsze zgłoszenie powinno zostać przekazane co do zasady w ciągu 4 godzin od klasyfikacji incydentu jako poważnego, ale nie później niż 24 godziny od momentu, w którym instytucja dowiedziała się o incydencie. Następnie wymagany jest raport pośredni w terminie 72 godzin oraz raport końcowy w ciągu miesiąca.

To bardzo wymagający rytm. W praktyce oznacza konieczność wcześniejszego przygotowania:

  • jasnych kryteriów klasyfikacji incydentów;
  • zespołu odpowiedzialnego za decyzję o zgłoszeniu;
  • gotowych szablonów raportowania;
  • kontaktów do właściwych organów nadzoru;
  • procedur komunikacji z klientami, jeżeli incydent wpływa na ich interesy finansowe;
  • dokumentacji działań naprawczych i wniosków po incydencie.

DORA nakłada też obowiązek testowania operacyjnej odporności cyfrowej. Testy powinny sprawdzać, czy systemy, procedury i zespoły działają w warunkach zakłócenia. Mogą obejmować testy podatności, przeglądy bezpieczeństwa, testy scenariuszowe, testy ciągłości działania, testy odzyskiwania danych czy symulacje cyberataków. Dla wybranych, bardziej istotnych podmiotów przewidziano zaawansowane testy penetracyjne oparte na analizie zagrożeń, znane jako TLPT.

Dużym wyzwaniem jest również zarządzanie dostawcami ICT. Instytucja finansowa musi prowadzić rejestr informacji o umowach z dostawcami usług ICT, oceniać ryzyko koncentracji, analizować podwykonawstwo i zadbać o możliwość wyjścia z umowy bez paraliżu działalności. To szczególnie istotne przy usługach chmurowych, gdzie zależność od jednego dużego dostawcy może być wygodna operacyjnie, ale ryzykowna z punktu widzenia odporności.

Warto dodać, że DORA nie określa jednego uniwersalnego „cennika wdrożenia”. Koszty zależą od wielkości organizacji, liczby systemów, stopnia zależności od dostawców, dojrzałości cyberbezpieczeństwa i skali dokumentacji. Dla mniejszych podmiotów głównym kosztem może być audyt luk, aktualizacja procedur i dostosowanie umów. Dla dużych instytucji koszty mogą obejmować rozbudowę zespołów bezpieczeństwa, narzędzia monitoringu, testy odporności, przebudowę architektury ICT i wielomiesięczne programy zgodności.

Największy plus DORA jest oczywisty: sektor finansowy ma działać stabilniej i bezpieczniej. Największy minus? Regulacja wymaga czasu, pieniędzy i dobrej koordynacji między prawnikami, compliance, IT, cyberbezpieczeństwem, zakupami, zarządem oraz dostawcami. Kto potraktuje DORA wyłącznie jako dokumentacyjny obowiązek, może spełnić wymogi na papierze, ale niekoniecznie zbudować realną odporność.

FAQ

Od kiedy obowiązuje DORA?
DORA jest stosowana od 17 stycznia 2025 r. Rozporządzenie weszło w życie wcześniej, ale właśnie ta data była kluczowa dla praktycznego rozpoczęcia stosowania nowych obowiązków.

Czy DORA dotyczy tylko banków?
Nie. Banki są jedną z najważniejszych grup objętych regulacją, ale DORA dotyczy również między innymi firm inwestycyjnych, instytucji płatniczych, ubezpieczycieli, pośredników ubezpieczeniowych, zarządzających funduszami, platform crowdfundingowych i części podmiotów z rynku kryptoaktywów.

Czy mała firma finansowa też musi wdrożyć DORA?
Tak, jeżeli znajduje się w zakresie regulacji. Zakres obowiązków powinien być jednak proporcjonalny do skali działalności, profilu ryzyka i znaczenia wykorzystywanych systemów ICT.

Czy dostawca chmury podlega DORA?
Dostawcy usług ICT, w tym dostawcy chmury, są istotnym elementem DORA. Szczególne znaczenie mają dostawcy krytyczni, ale nawet zwykły dostawca technologiczny może zostać objęty dodatkowymi wymaganiami kontraktowymi ze strony klienta finansowego.

Co trzeba zgłaszać do organu nadzoru?
Zgłasza się poważne incydenty związane z ICT. Chodzi o takie zdarzenia, które mogą istotnie wpływać na działalność podmiotu, bezpieczeństwo usług, klientów, dane, dostępność systemów lub stabilność operacyjną.

Jak szybko trzeba zgłosić poważny incydent ICT?
Pierwsze zgłoszenie powinno nastąpić zasadniczo w ciągu 4 godzin od klasyfikacji incydentu jako poważnego i nie później niż 24 godziny od momentu uzyskania wiedzy o incydencie. Potem składany jest raport pośredni w ciągu 72 godzin oraz raport końcowy w ciągu miesiąca.

Czy DORA wymaga testów cyberbezpieczeństwa?
Tak. Podmioty objęte regulacją muszą testować swoją odporność cyfrową. Zakres testów zależy od skali i profilu działalności, a dla wybranych instytucji przewidziano bardziej zaawansowane testy TLPT.

Czy DORA zastępuje RODO albo NIS2?
Nie. DORA funkcjonuje obok innych regulacji. RODO dotyczy ochrony danych osobowych, NIS2 cyberbezpieczeństwa wybranych sektorów, a DORA koncentruje się na operacyjnej odporności cyfrowej sektora finansowego.

Co grozi za brak zgodności z DORA?
Konsekwencje zależą od przepisów krajowych i decyzji właściwych organów nadzoru. Mogą obejmować środki nadzorcze, nakazy usunięcia naruszeń, sankcje administracyjne oraz zwiększoną kontrolę działalności.

Jaki jest najważniejszy pierwszy krok we wdrożeniu DORA?
Najrozsądniej zacząć od analizy luk. Trzeba sprawdzić, jakie systemy ICT wspierają kluczowe procesy, jakie incydenty mogą zakłócić działalność, jakie umowy z dostawcami wymagają zmian i które procedury istnieją tylko formalnie, a nie działają w praktyce.

Categories: Prawo finansowe i regulacyjne
Tags:
S. Miler

Written by:S. Miler All posts by the author

Staram się zawsze starać. Projektować, produkować i dostarczać wysokiej jakości content bazując na własnej wiedzy lub zweryfikowanych źródłach. Przedstawiać w sposób rzetelny i ciekawy opisywane zagadnienie.

Leave a reply

Your email address will not be published. Required fields are marked *

You may also like

Search:

Ciasteczka

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie plików Cookies. Więcej informacji znajdziesz w polityce prywatności.