Wypróbuj za darmo

DORA: co musi spełnić sektor finansowy i jego dostawcy IT

DORA (Digital Operational Resilience Act) to europejskie rozporządzenie o cyfrowej odporności operacyjnej sektora finansowego. W przeciwieństwie do dyrektywy NIS2 obowiązuje bezpośrednio, bez krajowej transpozycji, i jest stosowane od stycznia 2025 r. Nadzór nad polskimi podmiotami finansowymi sprawuje Komisja Nadzoru Finansowego (KNF).

Kogo dotyczy DORA

Praktycznie całego ekosystemu finansowego — rozporządzenie wymienia ponad 20 typów podmiotów: banki, zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne, towarzystwa funduszy inwestycyjnych, instytucje płatnicze, instytucje pieniądza elektronicznego, dostawców usług w zakresie kryptoaktywów, fundusze emerytalne oraz pośredników ubezpieczeniowych (powyżej określonej wielkości).

Kluczowa osobliwość: DORA obejmuje także dostawców ICT dla instytucji finansowych. Jeśli dostarczasz bankowi lub ubezpieczycielowi oprogramowanie, hosting, chmurę albo usługi IT, jego obowiązki z DORA przenikną do Twojej umowy — a krytyczni dostawcy usług ICT mogą trafić pod bezpośredni nadzór organów europejskich.

Pięć filarów DORA

1. Zarządzanie ryzykiem ICT

Ramy zarządzania ryzykiem zatwierdzone przez kierownictwo: identyfikacja aktywów, ochrona, wykrywanie, reagowanie i odzyskiwanie. Kierownictwo ponosi pełną odpowiedzialność — tak samo jak w NIS2.

2. Zgłaszanie incydentów ICT

Klasyfikacja incydentów według jednolitych kryteriów i zgłaszanie poważnych incydentów regulatorowi w wyznaczonych terminach (zgłoszenie wstępne, raport pośredni, raport końcowy). Wymaga sprawnej ewidencji incydentów ze znacznikami czasu.

3. Testowanie cyfrowej odporności operacyjnej

Regularne testy — od skanów podatności po testy penetracyjne. Największe instytucje muszą raz na trzy lata przejść zaawansowane testy oparte na analizie zagrożeń (TLPT).

4. Zarządzanie ryzykiem stron trzecich

Dla większości firm najbardziej pracochłonny filar: rejestr informacji o wszystkich umowach z dostawcami ICT (Register of Information), ocena ryzyka koncentracji, obowiązkowe klauzule umowne i strategie wyjścia dla usług krytycznych. Rejestr przekazuje się regulatorowi.

5. Wymiana informacji

Dobrowolna wymiana informacji o zagrożeniach w ramach sektora.

DORA i ISO 27001: pokrycie, które warto wykorzystać

DORA nie wymaga certyfikacji, ale jej wymagania odwzorowują strukturę ISMS według ISO 27001: zarządzanie ryzykiem (klauzula 6), incydenty (A.5.24–A.5.27), dostawcy (A.5.19–A.5.22), ciągłość działania (A.5.29–A.5.30), testowanie i monitorowanie. Instytucja z działającym ISO 27001 spełnia znaczną część wymagań DORA i potrafi to wykazać dokumentacją.

Praktyczna ścieżka dla mniejszych podmiotów finansowych i ich dostawców IT:

  1. Dokumentacja ISMS — polityki, zarządzanie ryzykiem, plany reagowania na incydenty. ISOForge wygeneruje ją dopasowaną do Twojej organizacji, w języku polskim.
  2. Rejestr dostawców ICT — ewidencjonuj dostawców, ich krytyczność i terminy przeglądów umów (ISOForge ma do tego osobny moduł z oznaczaniem dostawców ICT według DORA).
  3. Ewidencja incydentów — ze śledzeniem terminów i zapisami dla regulatora.
  4. Cykl roczny — przeglądy dokumentów, ponowna ocena ryzyka, szkolenia i audyty wewnętrzne w kalendarzu zgodności.

Podsumowanie

Potrzebujesz dokumentacji ISO?

ISOForge generuje gotową do audytu dokumentację dopasowaną do Twojej firmy — po polsku, za ułamek ceny konsultanta.

Dowiedz się więcej