Regulacje
DORA
DORA (Digital Operational Resilience Act) to rozporządzenie Unii Europejskiej ustanawiające jednolite wymagania dotyczące cyfrowej odporności operacyjnej dla sektora finansowego. Regulacja nakłada obowiązki w zakresie zarządzania ryzykiem ICT, zgłaszania incydentów i testowania odporności.
Co to jest DORA?
Definicja DORA
DORA (Digital Operational Resilience Act) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, które ustanawia jednolite wymagania dotyczące cyfrowej odporności operacyjnej dla podmiotów sektora finansowego. Rozporządzenie weszło w życie 16 stycznia 2023 roku, a pełne stosowanie obowiązuje od 17 stycznia 2025 roku.
Cel DORA
DORA ma na celu:
- Harmonizację wymagań dotyczących bezpieczeństwa ICT w całej UE
- Wzmocnienie odporności sektora finansowego na zagrożenia cybernetyczne
- Ujednolicenie podejścia do zarządzania ryzykiem ICT
- Zwiększenie nadzoru nad dostawcami usług ICT
- Poprawę zgłaszania incydentów związanych z ICT
Kogo dotyczy DORA?
Podmioty finansowe
- Banki i instytucje kredytowe
- Firmy inwestycyjne
- Instytucje płatnicze
- Towarzystwa ubezpieczeniowe
- Fundusze inwestycyjne
- Giełdy i izby rozliczeniowe
- Agencje ratingowe
- Firmy fintech i dostawcy usług kryptoaktywów
Dostawcy usług ICT
- Dostawcy chmury obliczeniowej
- Centra danych
- Firmy programistyczne
- Dostawcy usług bezpieczeństwa (MSSP)
Główne filary DORA
1. Zarządzanie ryzykiem ICT
- Kompleksowa strategia i polityka zarządzania ryzykiem ICT
- Identyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie
- Odpowiedzialność zarządu za bezpieczeństwo ICT
- Regularne przeglądy i aktualizacje
2. Zgłaszanie incydentów ICT
- Klasyfikacja incydentów według kryteriów DORA
- Obowiązek zgłaszania poważnych incydentów do organów nadzoru
- Terminy zgłoszeń: wstępne (24h), pośrednie (72h), końcowe (1 miesiąc)
- Centralna platforma zgłoszeniowa UE
3. Testowanie odporności cyfrowej
- Regularne testy bezpieczeństwa ICT
- Threat-Led Penetration Testing (TLPT) dla znaczących podmiotów
- Testy scenariuszowe i ćwiczenia kryzysowe
- Niezależna walidacja wyników
4. Zarządzanie ryzykiem stron trzecich
- Due diligence dostawców ICT
- Klauzule umowne zgodne z DORA
- Monitorowanie i audyt dostawców
- Strategie wyjścia i plany awaryjne
5. Wymiana informacji o zagrożeniach
- Mechanizmy wymiany informacji o cyberzagrożeniach
- Współpraca między podmiotami finansowymi
- Udział w inicjatywach sektorowych (ISAC)
Kluczowe wymagania DORA
Dla zarządu
- Bezpośrednia odpowiedzialność za zarządzanie ryzykiem ICT
- Zatwierdzanie polityk i strategii bezpieczeństwa
- Regularne szkolenia i aktualizacja wiedzy
- Nadzór nad realizacją programu odporności
Dla organizacji
- Dedykowana funkcja zarządzania ryzykiem ICT
- Dokumentacja procesów i procedur
- Testy ciągłości działania (BCP/DR)
- Inwentaryzacja zasobów ICT i dostawców
Dla dostawców ICT
- Spełnienie wymagań bezpieczeństwa
- Prawo do audytu przez klienta
- Zgłaszanie incydentów
- Plany ciągłości i exit strategy
Threat-Led Penetration Testing (TLPT)
DORA wprowadza wymóg TLPT dla istotnych podmiotów:
- Testy oparte na realnych scenariuszach zagrożeń
- Przeprowadzane przez certyfikowanych testerów
- Framework TIBER-EU jako standard
- Częstotliwość: co najmniej raz na 3 lata
- Zakres: krytyczne funkcje i systemy
Sankcje za nieprzestrzeganie
Państwa członkowskie określają sankcje, które mogą obejmować:
- Kary administracyjne
- Publiczne ostrzeżenia
- Nakazanie zaprzestania praktyk
- Cofnięcie licencji
Harmonogram wdrożenia
| Data | Wydarzenie |
|---|---|
| 16.01.2023 | Wejście w życie DORA |
| 17.01.2024 | RTS i ITS (akty delegowane) |
| 17.01.2025 | Pełne stosowanie DORA |
| 17.01.2025 | Pierwszy termin TLPT |
Jak przygotować się do DORA?
Krok 1: Ocena luki (Gap Analysis)
- Porównanie obecnych praktyk z wymaganiami DORA
- Identyfikacja obszarów wymagających poprawy
- Priorytetyzacja działań
Krok 2: Aktualizacja ram zarządzania ryzykiem
- Rewizja polityk i procedur ICT
- Dostosowanie struktury organizacyjnej
- Wzmocnienie zarządzania dostawcami
Krok 3: Program testowania
- Wdrożenie regularnych testów bezpieczeństwa
- Przygotowanie do TLPT
- Dokumentacja wyników i działań naprawczych
Krok 4: Raportowanie incydentów
- Procesy klasyfikacji i zgłaszania
- Integracja z systemami monitoringu
- Szkolenia zespołu
DORA a inne regulacje
DORA uzupełnia i jest spójna z:
- NIS2 - dyrektywa o bezpieczeństwie sieci i systemów
- GDPR - ochrona danych osobowych
- PSD2 - usługi płatnicze
- MiCA - rynki kryptoaktywów
Powiązane terminy
- NIS2 - dyrektywa o bezpieczeństwie sieci i systemów
- Incident Response - reagowanie na incydenty wymagane przez DORA
- Ciągłość działania - BCP/DR wymagane przez DORA
- Testy penetracyjne - TLPT wymagane przez DORA
Sprawdź nasze usługi
Potrzebujesz wsparcia w zgodności z DORA? Sprawdź:
- Audyt gotowości DORA - gap analysis i przygotowanie
- Testy penetracyjne - TLPT według wymagań DORA
- SOC 24/7 - monitoring i raportowanie incydentów
DORA to przełomowa regulacja, która podnosi poprzeczkę dla cyberbezpieczeństwa w sektorze finansowym UE, wymagając kompleksowego podejścia do odporności cyfrowej.
Tagi:
DORA regulacje sektor finansowy odporność cyfrowa compliance