Question 1

Czym jest rozporządzenie DORA?

Accepted Answer

DORA (Digital Operational Resilience Act, EU 2022/2554) to rozporządzenie Unii Europejskiej dotyczące cyfrowej odporności operacyjnej sektora finansowego. Obowiązuje od 17 stycznia 2025 r. i wymaga od podmiotów finansowych wdrożenia ram zarządzania ryzykiem ICT, zarządzania incydentami, testowania odporności, nadzoru nad dostawcami ICT oraz wymiany informacji o cyberzagrożeniach.

Question 2

Kogo obowiązuje DORA?

Accepted Answer

DORA obowiązuje ponad 22 000 podmiotów finansowych w UE, w tym banki, firmy ubezpieczeniowe, firmy inwestycyjne, instytucje płatnicze, dostawców usług kryptoaktywów, a także kluczowych zewnętrznych dostawców usług ICT obsługujących sektor finansowy. Rozporządzenie stosuje zasadę proporcjonalności — wymagania są dostosowane do wielkości i profilu ryzyka podmiotu.

Question 3

Jakie są kary za brak zgodności z DORA?

Accepted Answer

Organy nadzorcze mogą nakładać sankcje administracyjne i kary pieniężne za brak zgodności z DORA. Kluczowi zewnętrzni dostawcy ICT mogą podlegać karom do 1% średniego dziennego światowego obrotu za każdy dzień naruszenia, przez okres do 6 miesięcy. Podmioty finansowe podlegają sankcjom określonym przez krajowe organy nadzorcze zgodnie z sektorowymi regulacjami finansowymi.

Question 4

Jakie są 5 filarów DORA?

Accepted Answer

DORA opiera się na 5 filarach: (1) Zarządzanie ryzykiem ICT — ramy identyfikacji, ochrony, wykrywania i reagowania na ryzyka ICT; (2) Zarządzanie incydentami ICT — klasyfikacja, raportowanie i analiza incydentów; (3) Testowanie cyfrowej odporności operacyjnej — regularne testy penetracyjne i TLPT; (4) Zarządzanie ryzykiem dostawców ICT — nadzór nad outsourcingiem i koncentracją; (5) Wymiana informacji — współdzielenie danych o cyberzagrożeniach między podmiotami finansowymi.

Ocena gotowości na DORA

Twój wynik gotowości DORA

Mocne strony

Obszary do poprawy

Potrzebujesz wsparcia we wdrożeniu wymagań DORA?