Bezpłatna konsultacja

Rozporządzenie DORA

Rozporządzenie DORA wprowadza nowe wymagania dotyczące odporności cyfrowej w sektorze finansowym oraz zarządzania ryzykiem związanym z technologiami informacyjnymi. Organizacje objęte regulacją muszą zapewnić odpowiednie procedury, kontrolę nad dostawcami ICT oraz skuteczne zarządzanie incydentami.

Czy Twoja firma jest przygotowana na spełnienie wymagań wynikających z regulacji DORA?

Paweł Markiewicz

CEO / Data Protection
+48 508 047 098


Rozporządzenie DORA (Digital Operational Resilience Act) to kluczowy akt prawny Unii Europejskiej, który podnosi standardy bezpieczeństwa cyfrowego w sektorze finansowym. Nowe regulacje obejmują banki, instytucje kredytowe, firmy FinTech, dostawców usług płatniczych, a także zewnętrznych dostawców usług ICT, takich jak chmura obliczeniowa i infrastruktura IT.

Od kiedy obowiązuje Rozporządzenie DORA?

Rozporządzenie wchodzi w życie 17 stycznia 2025 r. Instytucje finansowe i dostawcy technologii muszą dostosować swoje systemy i procedury do nowych wymagań, wdrażając odpowiednie mechanizmy zarządzania ryzykiem cyfrowym, systemy odporności operacyjnej oraz plany reagowania na incydenty cybernetyczne.

Kogo dotyczy DORA?

Nowe regulacje obejmują szeroki zakres podmiotów, w tym:

  • Banki i instytucje kredytowe
  • Firmy FinTech i instytucje pieniądza elektronicznego
  • Dostawców usług płatniczych i kryptoaktywów
  • Firmy ubezpieczeniowe i reasekuracyjne
  • Fundusze inwestycyjne i zarządzające
  • Zewnętrznych dostawców usług ICT, w tym chmury obliczeniowej i infrastruktury IT

Główne wymagania Rozporządzenia DORA

DORA koncentruje się na pięciu kluczowych obszarach, mających na celu zwiększenie odporności cyfrowej sektora finansowego:

Zarządzanie ryzykiem ICT

  • Wdrożenie strategii i polityk bezpieczeństwa IT
  • Mechanizmy wykrywania zagrożeń i planów ciągłości działania
  • Strategia backupów i planów reagowania na incydenty

Zarządzanie incydentami cybernetycznymi

  • Klasyfikacja incydentów i ocena ich wpływu na operacje
  • Procedury szybkiego reagowania i zgłaszania naruszeń

Testowanie odporności operacyjnej

  • Regularne testy bezpieczeństwa, w tym testy penetracyjne
  • Ocena infrastruktury IT i analiza podatności

Zarządzanie ryzykiem stron trzecich (dostawców ICT)

  • Kontrola bezpieczeństwa dostawców
  • Opracowanie strategii wyjścia i planów przejściowych

Wymiana informacji o zagrożeniach cybernetycznych

  • Standaryzacja raportowania incydentów
  • Współpraca między instytucjami w zakresie cyberbezpieczeństwa

Kary za nieprzestrzeganie DORA

Instytucje finansowe oraz ich kluczowi dostawcy ICT, którzy nie spełnią wymagań DORA, narażają się na surowe sankcje:

  • Kary finansowe do 10% rocznego obrotu dla instytucji finansowych
  • Kary do 1% średniego dziennego obrotu dla dostawców ICT za każdy dzień naruszenia

Jak M3M może pomóc w dostosowaniu do DORA?

M3M oferuje kompleksowe wsparcie w zakresie wdrożenia wymagań DORA, obejmujące:

  • Analizę gotowości do wdrożenia DORA – ocena luk w procedurach i systemach IT
  • Tworzenie polityk zarządzania ryzykiem i odporności operacyjnej
  • Przygotowanie strategii testowania odporności i przeprowadzanie testów penetracyjnych
  • Wsparcie w zarządzaniu ryzykiem dostawców ICT i opracowywaniu planów awaryjnych
  • Szkolenia dla pracowników i zarządów w zakresie cyberbezpieczeństwa