DORA (Digital Operational Resilience Act) to unijne rozporządzenie, które ujednolica wymagania w zakresie cyfrowej odporności operacyjnej sektora finansowego. Obowiązuje od 17 stycznia 2025 roku i, w odróżnieniu od dyrektyw, stosuje się bezpośrednio we wszystkich państwach UE.
Kogo obowiązuje DORA?
Rozporządzenie obejmuje szeroko rozumiany sektor finansowy oraz jego dostawców ICT, m.in.:
- banki i instytucje kredytowe,
- firmy inwestycyjne i zarządzające aktywami,
- zakłady ubezpieczeń i reasekuracji,
- dostawców usług płatniczych i instytucje pieniądza elektronicznego,
- dostawców usług w zakresie kryptoaktywów,
- kluczowych zewnętrznych dostawców usług ICT (np. chmura).
Pięć filarów DORA
- Zarządzanie ryzykiem ICT – ramy, role i odpowiedzialność zarządu,
- Zgłaszanie incydentów – klasyfikacja i raportowanie poważnych incydentów ICT,
- Testowanie odporności cyfrowej – w tym zaawansowane testy penetracyjne typu TLPT (threat-led penetration testing),
- Zarządzanie ryzykiem stron trzecich – nadzór nad dostawcami ICT,
- Wymiana informacji o cyberzagrożeniach.
DORA a NIS2, czym się różnią?
NIS2 obejmuje szerokie spektrum sektorów kluczowych i ważnych, natomiast DORA jest dedykowana sektorowi finansowemu i ma charakter lex specialis. Dla wielu instytucji finansowych to właśnie DORA wyznacza najbardziej szczegółowe wymagania.
Jak przygotować organizację do DORA?
Punktem wyjścia jest audyt zgodności i analiza luk, a następnie wdrożenie ram zarządzania ryzykiem ICT, procedur zgłaszania incydentów oraz regularnych testów odporności. Skontaktuj się z Octopus Lab, aby ocenić, w jakim stopniu Twoja organizacja spełnia wymagania DORA.
DORA w pigułce, kogo i czego dotyczy
| Element | Szczegół |
|---|---|
| Kogo dotyczy | Podmioty finansowe: banki, ubezpieczyciele, firmy inwestycyjne, dostawcy usług kryptoaktywów oraz kluczowi zewnętrzni dostawcy ICT |
| Data stosowania | Od 17 stycznia 2025 r. |
| Kluczowe obszary | Zarządzanie ryzykiem ICT, zgłaszanie incydentów, testy odporności (w tym TLPT), ryzyko stron trzecich |
| Nadzór | Krajowe organy nadzoru oraz europejskie urzędy (EBA, ESMA, EIOPA) |
Źródła i standardy
Powiązane: obowiązki, terminy i kary NIS2, wdrożenie NIS2 i DORA, audyt zgodności.
Autor
Dominik Rulkiewicz
IT Security Manager · Octopus Lab
Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.
Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)