Sektor finansowy to obszar szczególnie narażony na wyzwania związane z dynamicznym rozwojem technologii informacyjno-komunikacyjnych (ICT). W odpowiedzi na to Unia Europejska wprowadziła rozporządzenie DORA, którego celem jest zwiększenie odporności cyfrowej instytucji finansowych. O co chodzi z DORA i jak aplikacja growAp wspiera organizacje w dostosowywaniu się do nowych wymogów?
Co to jest rozporządzenie DORA?
DORA to akt prawny Unii Europejskiej, które nakłada na instytucje finansowe i ich dostawców usług ICT obowiązki związane z zarządzaniem ryzykiem cyfrowym. Jego zadaniem jest zwiększenie odporności operacyjnej organizacji, zapewniając przy tym ciągłość działalności w przypadku kryzysów cyfrowych. Rozporządzenie obejmuje m.in. zasady monitorowania, raportowania i reagowania na incydenty związane z bezpieczeństwem cyfrowym.
Co oznacza skrót DORA?
DORA to skrót pochodzący od angielskiej nazwy Digital Operational Resilience Act i oznacza Rozporządzenie Unii Europejskiej 2022/2554 o cyfrowej odporności operacyjnej.
Jaki jest główny cel DORA?
Celem DORA jest zwiększenie odporności cyfrowej instytucji finansowych, co jest możliwe poprzez:
- standaryzację wymogów dotyczących zarządzania ryzykiem ICT;
- ustanowienie zasad monitorowania, raportowania i reagowania na incydenty cyfrowe;
- zapewnienie ciągłości działań i skutecznych procedur awaryjnych;
- testowanie odporności cyfrowej instytucji finansowych, by mogły sprostać zagrożeniom w sytuacjach kryzysowych.
Od kiedy obowiązuje rozporządzenie DORA?
Rozporządzenie DORA opublikowano w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 r., a jego przepisy weszły w życie 16 stycznia 2023 r. Zgodnie z regulacjami instytucje finansowe miały 2-letni okres przejściowy, który trwał do 16 stycznia 2025 r. Dzięki temu mogły dostosować swoje systemy, procesy oraz polityki do nowych wymogów w zakresie odporności operacyjnej.
Warto jednak pamiętać, że niektóre obowiązki, takie jak zgłaszanie poważnych incydentów, zaczęły obowiązywać wraz z dniem wejścia w życie Rozporządzenia, czyli od 16 stycznia 2023 r.
Jakie obszary obejmuje rozporządzenie DORA?
Rozporządzenie DORA koncentruje się na kilku obszarach:
- zarządzanie ryzykiem ICT – DORA zawiera wytyczne dotyczące identyfikacji, ochrony, wykrywania i reagowania na incydenty cyfrowe oraz sposobów odzyskiwania systemów po wystąpieniu awarii;
- raportowanie i reagowanie na incydenty cyfrowe – rozporządzenie wprowadza ujednolicone zasady zgłaszania poważnych incydentów cyfrowych do właściwych organów nadzorczych;
- zarządzanie ryzykiem stron trzecich – DORA nakłada m.in. obowiązek oceny ryzyka, przeprowadzenia due diligence oraz ujęcia odpowiednich postanowień umownych;
- testowanie odporności cyfrowej – rozporządzenie zobowiązuje instytucje do regularnego testowania systemów ICT, w celu identyfikacji słabych punktów w infrastrukturze IT;
- nadzór nad dostawcami usług ICT – DORA wprowadza bezpośredni nadzór Europejskich Urzędów Nadzoru nad krytycznymi dostawcami usług ICT, szczególnie tymi, którzy świadczą usługi dla sektora finansowego.
Kogo obejmuje DORA?
Rozporządzenie DORA ma szeroki zasięg i dotyczy nie tylko instytucji finansowych, ale także firm, które świadczą usługi na rzecz sektora finansowego. Obejmuje m.in.:
- banki;
- firmy ubezpieczeniowe;
- instytucje płatnicze;
- firmy inwestycyjne;
- instytucje pieniądza elektronicznego;
- dostawców usług w zakresie kryptoaktywów;
- agencje ratingowe;
- firmy zarządzające funduszami inwestycyjnymi.
Zgodność z DORA a dostawcy usług ICT
DORA nakłada nowe obowiązki także na wszystkie podmioty, które dostarczają instytucjom finansowym usługi ICT, w tym:
- systemy IT;
- aplikacje mobilne;
- usługi chmurowe;
- rozwiązania z zakresu sztucznej inteligencji (AI);
- inne technologie cyfrowe.
Każdy dostawca usług ICT, który współpracuje z instytucjami finansowymi, zobowiązany jest zatem do dostosowania swoich rozwiązań do wymagań DORA. Warto również zaznaczyć, że rozporządzenie nie dotyczy wyłącznie dużych, doświadczonych graczy rynkowych. Obejmuje także firmy z sektora:
- fintech;
- insurtech;
- lendtech;
- rozwiązania paperless.
Oznacza to, że jeśli dana firma świadczy usługi cyfrowe na rzecz podmiotów finansowych, istnieje duża szansa, że musi przestrzegać regulacji wynikających z DORA. Jeśli z kolei zarządzasz instytucją finansową i szukasz dostawcy usług ICT, który spełnia wymogi DORA, nasza aplikacja jest odpowiedzią na Twoje potrzeby!
Dostawcy software a DORA
Software house’y, firmy zajmujące się cyberbezpieczeństwem, konsultingiem IT, czy integracją systemów również muszą dostosować swoje usługi do wymogów DORA. Obejmuje to m.in.:
- rozwój oprogramowania;
- zarządzanie infrastrukturą chmurową;
- testowanie systemów IT;
- rozwój modeli AI;
- projektowanie interfejsów użytkownika (UI/UX).
W każdej z tych dziedzin wymaga się, by dostawcy usług ICT zapewniali nieprzerwaną dostępność systemów oraz spełniali normy bezpieczeństwa, a w razie problemów mieli gotowe plany awaryjne, zgodne z regulacjami.
growAp – aplikacja do zarządzania Profilami Firmowymi zgodna z rozporządzeniem DORA
growAp to nowoczesna aplikacja do zarządzania Profilami Firmowymi dla branży finansowej. Dzięki niej instytucje finansowe mogą:
- automatyzować procesy publikacji treści na wizytówce Google;
- monitorować zmiany na Profilu Firmowym i odpowiadać na opinie użytkowników;
- blokować nieautoryzowane zmiany, które mogą wskazywać na potencjalne zagrożenia lub błędy;
- utrzymać ciągłość operacyjną w zakresie obecności cyfrowej poprzez bieżący nadzór i szybką reakcję na incydenty.
growAp pomaga organizacjom finansowym w utrzymaniu pełnej zgodności z wymogami DORA, wspiera zarządzanie ryzykiem ICT oraz zabezpiecza ich obecność w Internecie.
Rozporządzenie DORA – podsumowanie
Rozporządzenie DORA stanowi ważny krok w kierunku zwiększenia odporności cyfrowej sektora finansowego w Unii Europejskiej. Wymaga, aby instytucje finansowe oraz ich dostawcy usług ICT przestrzegali jednolitych zasad zarządzania ryzykiem cyfrowym, reagowania na incydenty i utrzymywania ciągłości działania. Aplikacja growAp spełnia te wszystkie wymogi, umożliwiając skuteczne monitorowanie i szybkie reagowanie na potencjalne zagrożenia.
Źródła:
- Rozporządzenie DORA, https://www.knf.gov.pl/dla_rynku/dora, [dostęp online: 5.11.2025].
- Rozporządzenie DORA, https://pl.wikipedia.org/wiki/Rozporz%C4%85dzenie_DORA, [dostęp online: 5.11.2025].
- Rozporządzenie z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022R2554, [dostęp online: 5.11.2025].
