
DORA – nowy wymiar odporności operacyjnej w sektorze finansowym
Wzmocnienie odporności operacyjnej, zapewnienie ciągłości działania, wdrożenie procedur związanych z ryzykiem, czy testowanie systemów IT. Czym dokładnie jest DORA oraz jakie wymagania stawia?
DORA (Digital Operational Resilience Act) to nowa regulacja, która weszła w życie 17 stycznia 2025 roku. Ma na celu zapewnienie odpowiedniej odporności operacyjnej instytucji finansowych, szczególnie w kontekście ryzyk związanych z technologią.
NIS2 vs DORA
NIS2 to dyrektywa ogólna dotycząca cyberbezpieczeństwa obejmująca wiele sektorów, m.in. energetykę, transport i zdrowie. DORA dotyczy natomiast tylko instytucji finansowych – banków, firm ubezpieczeniowych, dostawców usług płatniczych i ich partnerów technologicznych. W przeciwieństwie do NIS2, DORA szczegółowo określa, jak instytucje powinny rodzić sobie z ryzkiem związanym z technologią, przeprowadzaniem testów oporności czy zarządzaniem dostawcami.
Kogo obejmuje DORA?
DORA dotyczy kręgu instytucji finansowych działających na terenie Unii Europejskiej:
- Banków – każdej wielkości
- Firm ubezpieczeniowych – również tych obejmujących ubezpieczenia na życie i majątkowe
- Instytucji płatniczych – między innymi tych zajmujących się transferami pieniędzy
- Dostawców usług technologicznych – takich jak giełdy, firmy inwestycyjne, agencje ratingowe
- Dostawców usług technologicznych – dostawców chmur, firm oferujących technologie wspierające działalność finansową.
Celem tych regulacji jest zapewnienie, że instytucje będą w stanie działać w sposób ciągły i bezpieczny, nawet w przypadku poważnych incydentów.
Jakie są kluczowe wymagania DORA?
Wprowadza ona wiele zmian i szereg wymagań. Mają one pomóc instytucjom finansowym w radzeniu sobie z ryzykiem, w kontekście technologii i cyberbezpieczeństwa.
- Zarządzanie ryzykiem operacyjnym – zadaniem jest wprowadzenie procedur, które pozwolą identyfikować, oceniać i zarządzać ryzykiem związanym z technologią, procesami i dostawcami zewnętrznymi.
- Testowanie odporności systemów IT – instytucje są zobligowane do regularnego testowania swoich systemów, sprawdzając, jak radzą sobie one z zagrożeniami takimi jak cyberataki. Testy te mają sprawdzać wytrzymałość systemów i pomóc w ustaleniu scenariusza działania, w celu zminimalizowania skutków ataków.
- Zarządzania dostawcami zewnętrznymi – obowiązkiem jest zadbanie o to, by dostawcy usług IT, jak te oferujące usługi chmurowe czy rozwiązania technologiczne, także spełniali odpowiednie standardy odporności operacyjnej. Umowy powinny zawierać zapisy zapewniające ciągłość działania nawet w przypadku kryzysu.
- Zarządzanie incydentami operacyjnymi – instytucje muszą mieć przygotowane procedury reagowania na incydenty, ponieważ w razie problemów, ważne jest ich szybkie rozwiązanie i przywrócenie normalnego funkcjonowania.
- Monitorowanie i raportowanie – instytucje będą zobowiązane do monitorowania i zgłaszania wszelkich incydentów odpowiednim organom. Najważniejsze jest bieżące analizowanie reagowania systemów finansowych na zakłócenia.
Jak ITPunkt pomoże Ci wdrożyć regulacje DORA?
ITPunkt oferuje kompleksową pomoc w zakresie wdrażania wymogów, zarówno NIS2, jak i DORA. Oferujemy między innymi przeprowadzanie audytów zgodności DORA. Podczas audytu sprawdzamy, czy są wprowadzone odpowiednie procedury zarządzania ryzykiem a testowanie systemów działa w odpowiedni sposób. Wskażemy również wszelkie obszary do poprawy cyberbezpieczeństwa. Pomagamy także w tworzeniu polityk i procedur zgodnych z DORA. Dzięki naszemu doświadczeniu wiemy jak dostosować dokumenty do rzeczywistych potrzeb, by były skuteczne, ale nie obciążały organizacji nadmiernie. Jesteśmy też w stanie przeprowadzać testowanie odporności IT. Usługa testowania pomoże wskazać, czy infrastruktura jest wystarczająco odporna na zagrożenia, zarówno wewnętrzne, jak i te z zewnątrz.
DORA to kluczowa regulacja, która pomoże zwiększyć odporność sektora finansowego na zakłócenia związane z technologią, cyberzagrożeniami i innymi ryzykami operacyjnymi. Dostosowanie się do jej wymogów może być wyzwaniem. Szczególnie dla mniejszych instytucji finansowych, jednak dzięki wsparciu specjalistów, wdrożenie staje się prostsze.
Chcesz zapewnić swojej instytucji pełną zgodność z DORA?
Skontaktuj się z nami już teraz: handel@itpunkt.pl

Przeczytaj również
