- 🛡Programy dla firm i urzędów↓
- 🖥️Sprzęt IT dla urzędów i firm↓
- 🛠️Usługi IT↓
- 🏭Dostawcy technologii
- 📝Poradniki
- ❓FAQ↓ 👤O nas↓
- ☎ ✉ Kontakt
-
- ⏱Bezpłatne testy
DORA — co rozporządzenie UE o cyberodporności oznacza dla dostawców IT obsługujących sektor finansowy
Prowadzisz firmę IT i obsługujesz bank, ubezpieczyciela, dom maklerski albo instytucję płatniczą? Nawet jeśli nigdy nie słyszałeś o DORA, Twoi klienci już na pewno o niej słyszeli — i powoli zaczynają zadawać Ci bardzo konkretne pytania. Czy masz wdrożone procedury zarządzania incydentami? Czy możesz przedstawić raport z ostatniego audytu bezpieczeństwa? Czy Twoje umowy zawierają klauzule zgodne z DORA?
Rozporządzenie DORA, czyli Digital Operational Resilience Act, obowiązuje bezpośrednio we wszystkich państwach UE od 17 stycznia 2025 roku. Formalnie nakłada obowiązki na instytucje finansowe. Ale — i to jest kluczowe — na zasadzie kaskady odpowiedzialności przenoszone są one na dostawców usług IT obsługujących sektor finansowy. Jeśli Twoi klienci to banki, fintechy lub ubezpieczyciele, DORA dotyczy Cię pośrednio — i z każdym miesiącem ta pośredniość staje się coraz bardziej bezpośrednia.
Czym jest DORA i dlaczego powstało
DORA to rozporządzenie Parlamentu Europejskiego i Rady UE 2022/2554, które weszło w życie 16 stycznia 2023 roku, a stało się w pełni stosowalne od 17 stycznia 2025 roku. Jego celem jest ujednolicenie zasad cyfrowej odporności operacyjnej w całym sektorze finansowym UE — zastąpienie dotychczasowej mozaiki krajowych regulacji jednym, spójnym standardem.
Przed DORA każde państwo UE miało własne podejście do bezpieczeństwa IT instytucji finansowych. Efektem była niekompatybilność wymogów, luki w ochronie i brak spójnych mechanizmów reagowania na incydenty transgraniczne. DORA to odpowiedź na konkretne zagrożenie: cyberatak na jedną dużą instytucję finansową może wywołać efekt domina w całym systemie finansowym, dlatego Komisja Europejska zdecydowała się ustandaryzować minimalny poziom odporności.
DORA stanowi lex specialis wobec dyrektywy NIS2 — przepisy DORA są nadrzędne i bardziej szczegółowe dla podmiotów finansowych. Jeśli Twoja instytucja podlega DORA, wymagania DORA zastępują odpowiednie fragmenty NIS2 w obszarze ICT. Jeśli jesteś dostawcą IT dla sektora finansowego, możesz podlegać jednocześnie obu regulacjom.
Kogo obejmuje DORA bezpośrednio
Instytucje finansowe objęte DORA: banki i instytucje kredytowe, firmy inwestycyjne, instytucje płatnicze i pieniądza elektronicznego, dostawcy usług kryptoaktywów, zakłady ubezpieczeń i reasekuracji, fundusze emerytalne, agencje ratingowe, dostawcy usług w zakresie crowdfundingu, repozytoria transakcji i sekurytyzacyjne.
Ważne: dla małych instytucji finansowych obowiązuje zasada proporcjonalności — wymagania są dostosowane do skali i złożoności działalności. Mały SKOK lub mała fintechowa spółka płatnicza nie musi wypełniać takich samych wymogów jak PKO Bank Polski. Zakres wymagań jest jednak wyraźnie zdefiniowany i nie można go pomijać z powołaniem się na małą skalę.
Kaskada odpowiedzialności — dlaczego DORA dotyczy dostawców IT
Tu kryje się najważniejszy aspekt DORA dla polskich firm IT. Artykuł 28 rozporządzenia nakłada na instytucje finansowe obowiązek zarządzania ryzykiem zewnętrznych dostawców usług ICT. Oznacza to: instytucja finansowa jest odpowiedzialna za bezpieczeństwo dostawcy IT, z którym współpracuje. Aby sama mogła wykazać zgodność z DORA, musi wymagać jej od swoich podwykonawców.
W praktyce oznacza to, że banki, ubezpieczyciele i fintechy zaczęły masowo wysyłać kwestionariusze bezpieczeństwa do dostawców IT. Pytają o polityki bezpieczeństwa, wyniki audytów, procedury obsługi incydentów, plany ciągłości działania i umowy SLA. Dostawca, który nie ma odpowiedzi na te pytania, ryzykuje utratę kontraktu — niezależnie od jakości świadczonej usługi IT.
Pięć filarów DORA — co to oznacza dla dostawcy IT
| Filar DORA | Wymóg dla instytucji finansowej | Co oznacza dla Ciebie jako dostawcy IT |
|---|---|---|
| Zarządzanie ryzykiem ICT | Wdrożenie frameworku zarządzania ryzykiem ICT | Musisz udowodnić, że Twoje usługi nie wprowadzają nowego ryzyka do środowiska klienta |
| Raportowanie incydentów | Zgłaszanie poważnych incydentów do KNF w ciągu 24 h | Musisz mieć procedury szybkiego informowania klientów o incydentach po Twojej stronie |
| Testowanie odporności | Regularne testy penetracyjne i funkcjonalne systemów ICT | Klienci mogą wymagać udziału Twoich systemów w testach lub przedstawienia wyników własnych testów |
| Zarządzanie ryzykiem dostawców (TPRM) | Ocena i monitoring wszystkich dostawców ICT | Musisz dostarczyć klientowi dokumentację bezpieczeństwa, certyfikaty i wyniki audytów |
| Wymiana informacji | Udział w mechanizmach wymiany informacji o zagrożeniach | Gotowość do współpracy i transparentność w razie incydentów wpływających na klienta |
Co dostawca IT powinien przygotować — lista działań
Polityka bezpieczeństwa informacji i zarządzanie ryzykiem: Wdrożenie dokumentowanego systemu zarządzania bezpieczeństwem, najlepiej opartego na normie ISO 27001 lub równoważnej. Klienci z sektora finansowego coraz częściej wymagają certyfikatu lub co najmniej dowodu przeprowadzonego audytu wewnętrznego. Wsparcie we wdrożeniu systemu zarządzania bezpieczeństwem to usługa, od której warto zacząć.
Procedury obsługi incydentów: Muszą obejmować: definicję krytycznych incydentów, ścieżkę eskalacji, termin powiadomienia klienta (zazwyczaj wymagany w ciągu 24 do 72 godzin), sposób dokumentowania przebiegu incydentu i wdrożonych działań naprawczych.
Plan ciągłości działania i Disaster Recovery: Klienci z sektora finansowego będą pytać o Twoje RTO i RPO. Muszą być one zdefiniowane, udokumentowane i przetestowane. Rozwiązania backupowe z możliwością szybkiego odtwarzania stanowią fundament planu DR.
Kontrakty zgodne z DORA: Rozporządzenie określa minimalną treść umów z dostawcami ICT. Twoje umowy muszą zawierać: klauzule dotyczące praw dostępu i audytu, standardy bezpieczeństwa, które się zobowiązujesz spełniać, obowiązki raportowania incydentów, prawa klienta do rozwiązania umowy w razie naruszenia bezpieczeństwa.
Dokumentacja i audytowalność: Klienci i regulatorzy będą chcieli zobaczyć dowody, nie deklaracje. Prowadź rejestry incydentów, testy bezpieczeństwa, zmiany w systemach i wyniki audytów. Systemy EDR i SIEM automatycznie generują logi, które stanowią tę dokumentację.
Podsumowanie
DORA nie jest problemem banków — jest problemem całego ekosystemu technologicznego, który banki obsługuje. Dla polskich firm IT oznacza to jedno: jeśli Twoimi klientami są instytucje finansowe, czas przestać traktować bezpieczeństwo jako koszt operacyjny, a zacząć traktować je jako warunek utrzymania kontraktu. Firmy, które jako pierwsze wykażą się gotowością DORA-compliant, zyskają przewagę konkurencyjną — a te, które zignorują temat, będą tracić klientów na rzecz bardziej przygotowanych konkurentów.
Chcesz ocenić swoją gotowość na wymagania DORA i przygotować dokumentację dla klientów z sektora finansowego? Skontaktuj się z naszymi ekspertami — pomożemy zidentyfikować luki i wdrożyć niezbędne środki techniczne i proceduralne.
