Jakie kary grożą za nieprzestrzeganie DORA?

Kary mogą sięgać do 1% średniego dziennego światowego obrotu za każdy dzień naruszenia. KNF może również nakazać podjęcie konkretnych działań naprawczych lub ograniczyć działalność ubezpieczyciela do czasu dostosowania do wymogów.

Czy ubezpieczyciel musi przeprowadzać testy TLPT?

Zaawansowane testy TLPT są wymagane co trzy lata tylko od podmiotów uznanych za istotne na podstawie kryteriów organu nadzoru. Jednak podstawowe testy odporności cyfrowej — testy podatności, testy sieci, testy scenariuszowe — są obowiązkowe dla wszystkich ubezpieczycieli.

Jak długo trwa wdrożenie wymogów DORA?

Czas wdrożenia zależy od poziomu dojrzałości cyberbezpieczeństwa ubezpieczyciela. Przy dobrym przygotowaniu i wsparciu doświadczonego partnera, podstawowe dostosowanie zajmuje 6-12 miesięcy. Pełna dojrzałość wymaga ciągłego doskonalenia procesów.

DORA dla ubezpieczycieli — wymagania i wdrożenie

Czym jest DORA i dlaczego dotyczy ubezpieczycieli

Digital Operational Resilience Act (DORA) to rozporządzenie Unii Europejskiej, które weszło w życie 17 stycznia 2025 roku. Obejmuje wszystkie podmioty sektora finansowego — w tym zakłady ubezpieczeń, zakłady reasekuracji, pośredników ubezpieczeniowych oraz instytucje pracowniczych programów emerytalnych.

DORA wprowadza jednolite ramy zarządzania ryzykiem ICT w całym sektorze finansowym. Dla ubezpieczycieli oznacza to konieczność spełnienia konkretnych wymogów w pięciu kluczowych obszarach: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności cyfrowej, zarządzanie ryzykiem związanym z dostawcami ICT oraz wymiana informacji o zagrożeniach.

Dla polskich ubezpieczycieli DORA nakłada się na istniejące rekomendacje KNF dotyczące zarządzania ryzykiem IT, tworząc kompleksowy framework regulacyjny wymagający systemowego podejścia do cyfrowej odporności.

Filar 1 — zarządzanie ryzykiem ICT

DORA wymaga od ubezpieczycieli wdrożenia kompleksowych ram zarządzania ryzykiem ICT. Oznacza to identyfikację wszystkich zasobów ICT wspierających krytyczne funkcje biznesowe — od systemów core insurance przez claims management po portale klientów i integracje z brokerami.

Ubezpieczyciel musi prowadzić aktualny rejestr zasobów ICT, regularnie przeprowadzać ocenę ryzyka i wdrażać odpowiednie środki ochrony. Szczególną uwagę należy poświęcić systemom przetwarzającym dane wrażliwe — dane medyczne w ubezpieczeniach zdrowotnych, dane finansowe w polisach majątkowych.

Zarząd jest bezpośrednio odpowiedzialny za zatwierdzenie i nadzór nad ramami zarządzania ryzykiem ICT. To oznacza, że członkowie zarządu muszą posiadać odpowiednią wiedzę o zagrożeniach cyfrowych lub zapewnić sobie dostęp do kompetentnego doradztwa.

Filar 2 — raportowanie incydentów ICT

DORA ustanawia jednolity system raportowania poważnych incydentów ICT. Ubezpieczyciele muszą klasyfikować incydenty według zdefiniowanych kryteriów obejmujących: liczbę dotkniętych klientów, czas trwania, zasięg geograficzny, straty finansowe i wpływ na dane.

Poważne incydenty muszą być raportowane do KNF (jako właściwego organu nadzoru) w ściśle określonych terminach: wstępne powiadomienie w ciągu 4 godzin od klasyfikacji incydentu, raport pośredni w ciągu 72 godzin i raport końcowy w ciągu miesiąca.

Dla ubezpieczycieli oznacza to konieczność wdrożenia systemów automatycznej klasyfikacji incydentów i procesów eskalacji. Systemy SOC muszą być skonfigurowane tak, aby incydenty dotyczące krytycznych systemów ubezpieczeniowych były automatycznie flagowane jako potencjalnie podlegające raportowaniu.

Filar 3 — testowanie cyfrowej odporności operacyjnej

DORA wymaga regularnego testowania odporności cyfrowej. Dla wszystkich ubezpieczycieli obowiązkowe są: testy podatności systemów ICT, testy bezpieczeństwa sieci, testy wydajnościowe, testy scenariuszowe oraz przeglądy kodu źródłowego.

Dodatkowo ubezpieczyciele uznani za istotne podmioty finansowe (na podstawie kryteriów KNF) muszą co trzy lata przeprowadzać zaawansowane testy penetracyjne oparte na zagrożeniach (TLPT — Threat-Led Penetration Testing). TLPT symuluje realne scenariusze ataków bazując na aktualnym threat landscape dla sektora ubezpieczeniowego.

Testy muszą być prowadzone przez niezależne podmioty z odpowiednimi kompetencjami. Wyniki testów i plany naprawcze muszą być raportowane do KNF. To wymóg, który dla wielu ubezpieczycieli oznacza konieczność zaangażowania zewnętrznych partnerów cyberbezpieczeństwa.

Filar 4 — zarządzanie ryzykiem dostawców ICT

Sektor ubezpieczeniowy jest silnie uzależniony od dostawców ICT — od systemów core insurance przez platformy claims management po dostawców chmury i usług analitycznych. DORA wprowadza rygorystyczne wymogi dotyczące zarządzania tym ryzykiem.

Ubezpieczyciele muszą prowadzić rejestr umów z dostawcami ICT, przeprowadzać due diligence przed podpisaniem umowy, wdrożyć strategię exit na wypadek konieczności zmiany dostawcy oraz monitorować wykonanie umów. Umowy muszą zawierać klauzule dotyczące bezpieczeństwa, prawa do audytu i raportowania incydentów.

Szczególne wymogi dotyczą dostawców usług krytycznych. Jeśli dostawca systemu claims management lub core insurance zostanie uznany za krytycznego dostawcę ICT, podlega dodatkowym wymogom nadzorczym ze strony europejskich organów nadzoru (ESA).

Filar 5 — wymiana informacji o zagrożeniach

DORA zachęca podmioty finansowe do wymiany informacji o cyberzagrożeniach i podatnościach. Dla sektora ubezpieczeniowego to szczególnie istotne, ponieważ ataki na jednego ubezpieczyciela często sygnalizują kampanię wymierzoną w całą branżę.

Ubezpieczyciele mogą ustanawiać porozumienia o wymianie informacji o zagrożeniach w ramach zaufanych społeczności. Wymiana obejmuje wskaźniki kompromitacji (IoC), taktyki, techniki i procedury (TTP) atakujących oraz wnioski z incydentów.

W Polsce PIU (Polska Izba Ubezpieczeń) może odgrywać rolę koordynatora takiej wymiany informacji. Aktywne uczestnictwo w wymianie threat intelligence znacząco podnosi poziom bezpieczeństwa całego sektora.

Harmonogram wdrożenia i kary

DORA obowiązuje od 17 stycznia 2025 roku. Ubezpieczyciele, którzy jeszcze nie dostosowali swoich systemów i procesów, narażają się na sankcje. Kary za nieprzestrzeganie DORA mogą sięgać do 1% średniego dziennego światowego obrotu za każdy dzień naruszenia.

KNF jako organ nadzoru ma szerokie uprawnienia — od nakazania podjęcia konkretnych działań naprawczych, przez nałożenie kar finansowych, po ograniczenie działalności. Dla ubezpieczycieli ryzyko regulacyjne jest realne i wymaga pilnego działania.

Plan wdrożenia powinien obejmować: gap analysis obecnego stanu vs wymogów DORA, priorytetyzację luk, wdrożenie brakujących kontroli i procesów, oraz regularne przeglądy i aktualizacje ram zarządzania ryzykiem ICT.

Jak nFlo wspiera ubezpieczycieli we wdrożeniu DORA

nFlo oferuje kompleksowe wsparcie we wdrożeniu wymogów DORA dla sektora ubezpieczeniowego. Przeprowadzamy gap analysis identyfikujący obszary wymagające dostosowania, projektujemy ramy zarządzania ryzykiem ICT dopasowane do specyfiki ubezpieczeniowej.

Realizujemy wymagane testy odporności cyfrowej — od testów podatności po zaawansowane TLPT. Nasze SOC zapewnia monitoring 24/7 z automatyczną klasyfikacją incydentów zgodną z wymogami raportowania DORA.

Wspieramy również w zarządzaniu ryzykiem dostawców ICT — od audytów bezpieczeństwa dostawców po przeglądy umów. Z doświadczeniem ponad 500 projektów cyberbezpieczeństwa, nFlo rozumie zarówno wymogi regulacyjne, jak i realia operacyjne sektora ubezpieczeniowego.

Cyberbezpieczeństwo w Twojej branży

Dowiedz się więcej o cyberbezpieczeństwie w Twojej branży:

Tematy powiązane

Zobacz również:

Kalkulator wyceny audytu bezpieczeństwa

Powiązane terminy

Sprawdź nasze usługi

Compliance NIS2 - zgodność z DORA i NIS2
Audyty bezpieczeństwa - ocena odporności operacyjnej

DORA dla ubezpieczycieli — wymagania cyfrowej odporności operacyjnej