DORA: co musi spełnić sektor finansowy i jego dostawcy IT
DORA (Digital Operational Resilience Act) to europejskie rozporządzenie o cyfrowej odporności operacyjnej sektora finansowego. W przeciwieństwie do dyrektywy NIS2 obowiązuje bezpośrednio, bez krajowej transpozycji, i jest stosowane od stycznia 2025 r. Nadzór nad polskimi podmiotami finansowymi sprawuje Komisja Nadzoru Finansowego (KNF).
Kogo dotyczy DORA
Praktycznie całego ekosystemu finansowego — rozporządzenie wymienia ponad 20 typów podmiotów: banki, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne, towarzystwa funduszy inwestycyjnych, instytucje płatnicze, instytucje pieniądza elektronicznego, dostawców usług w zakresie kryptoaktywów, fundusze emerytalne oraz pośredników ubezpieczeniowych (powyżej określonej wielkości).
Kluczowa osobliwość: DORA obejmuje także dostawców ICT dla instytucji finansowych. Jeśli dostarczasz bankowi lub ubezpieczycielowi oprogramowanie, hosting, chmurę albo usługi IT, jego obowiązki z DORA przenikną do Twojej umowy — a krytyczni dostawcy usług ICT mogą trafić pod bezpośredni nadzór organów europejskich.
Pięć filarów DORA
1. Zarządzanie ryzykiem ICT
Ramy zarządzania ryzykiem zatwierdzone przez kierownictwo: identyfikacja aktywów, ochrona, wykrywanie, reagowanie i odzyskiwanie. Kierownictwo ponosi pełną odpowiedzialność — tak samo jak w NIS2.
2. Zgłaszanie incydentów ICT
Klasyfikacja incydentów według jednolitych kryteriów i zgłaszanie poważnych incydentów regulatorowi w wyznaczonych terminach (zgłoszenie wstępne, raport pośredni, raport końcowy). Wymaga sprawnej ewidencji incydentów ze znacznikami czasu.
3. Testowanie cyfrowej odporności operacyjnej
Regularne testy — od skanów podatności po testy penetracyjne. Największe instytucje muszą raz na trzy lata przejść zaawansowane testy oparte na analizie zagrożeń (TLPT).
4. Zarządzanie ryzykiem stron trzecich
Dla większości firm najbardziej pracochłonny filar: rejestr informacji o wszystkich umowach z dostawcami ICT (Register of Information), ocena ryzyka koncentracji, obowiązkowe klauzule umowne i strategie wyjścia dla usług krytycznych. Rejestr przekazuje się regulatorowi.
5. Wymiana informacji
Dobrowolna wymiana informacji o zagrożeniach w ramach sektora.
DORA i ISO 27001: pokrycie, które warto wykorzystać
DORA nie wymaga certyfikacji, ale jej wymagania odwzorowują strukturę ISMS według ISO 27001: zarządzanie ryzykiem (klauzula 6), incydenty (A.5.24–A.5.27), dostawcy (A.5.19–A.5.22), ciągłość działania (A.5.29–A.5.30), testowanie i monitorowanie. Instytucja z działającym ISO 27001 spełnia znaczną część wymagań DORA i potrafi to wykazać dokumentacją.
Praktyczna ścieżka dla mniejszych podmiotów finansowych i ich dostawców IT:
- Dokumentacja ISMS — polityki, zarządzanie ryzykiem, plany reagowania na incydenty. ISOForge wygeneruje ją dopasowaną do Twojej organizacji, w języku polskim.
- Rejestr dostawców ICT — ewidencjonuj dostawców, ich krytyczność i terminy przeglądów umów (ISOForge ma do tego osobny moduł z oznaczaniem dostawców ICT według DORA).
- Ewidencja incydentów — ze śledzeniem terminów i zapisami dla regulatora.
- Cykl roczny — przeglądy dokumentów, ponowna ocena ryzyka, szkolenia i audyty wewnętrzne w kalendarzu zgodności.
Podsumowanie
- DORA obowiązuje bezpośrednio i już jest stosowana — podmioty finansowe i ich dostawcy ICT powinni działać.
- Najbardziej niedoceniany obowiązek: rejestr informacji o umowach ICT.
- ISO 27001 to najefektywniejsze ramy, by systematycznie pokryć i udokumentować wymagania DORA.