Audyt gotowości i zgodności z dyrektywą DORA
Od stycznia 2025 sektor finansowy musi spełniać DORA - Digital Operational Resilience Act. Sprawdź gotowość organizacji, zidentyfikuj luki i wdróż wymagania przed kontrolami nadzoru.
Czym jest audyt zgodności z DORA?
Audyt zgodności z DORA (Digital Operational Resilience Act) to kompleksowa ocena gotowości organizacji finansowej do spełnienia wymogów rozporządzenia UE dotyczącego cyfrowej odporności operacyjnej. nFlo sprawdza zarządzanie ryzykiem ICT, procesy incident response, testy odporności i zarządzanie ryzykiem dostawców zewnętrznych.
DORA to nie tylko IT - to transformacja zarządzania ryzykiem
Od gap analysis do pełnej zgodności
Readiness Assessment
Ocena gotowości względem 5 filarów DORA
Gap Analysis
Identyfikacja luk w poszczególnych obszarach
Roadmap
Priorytetyzowany plan wdrożenia
Czym jest Audyt zgodności z Rozporządzeniem DORA?
Audyt zgodności z Rozporządzeniem DORA to kompleksowa ocena gotowości instytucji finansowej do spełnienia wymagań Digital Operational Resilience Act (DORA), obejmująca 5 filarów: zarządzanie ryzykiem ICT, incydenty, testy odporności, zarządzanie dostawcami i wymianę informacji.
| Atrybut | Wartość |
|---|---|
| Regulacja | DORA (EU 2022/2554) |
| Zakres | 5 filarów DORA |
| Dla kogo | Sektor finansowy, dostawcy ICT |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 50 000 PLN (stan na 2026) |
2 mln EUR kary - nieadekwatne zarządzanie ryzykiem ICT
Europejski bank otrzymał karę od nadzoru za niedostateczne zarządzanie ryzykiem dostawców IT. Awaria u jednego z dostawców cloud spowodowała 8-godzinny przestój systemów transakcyjnych. Bank nie miał exit strategy ani testów odporności dla krytycznych dostawców.
Bez zgodności z DORA:
- Kary do 1% rocznego przychodu od KNF/nadzoru europejskiego
- Brak kontroli nad ryzykiem third-party ICT providers
- Chaotyczne zgłaszanie incydentów do nadzoru
- Nieadekwatne testy odporności cyfrowej
Kompleksowa ścieżka do zgodności z DORA
Przeprowadzamy Cię przez wszystkie 5 filarów DORA - od ICT risk management po threat-led penetration testing. Nie tylko audyt, ale wdrożenie i przygotowanie dokumentacji dla nadzoru.
Co dostajesz:
- Ocenę zgodności z 5 filarami DORA (Readiness Assessment)
- Gap analysis z priorytetyzacją działań
- Framework ICT risk management zgodny z DORA Art. 6
- Rejestr krytycznych dostawców ICT third-party
- Procedury incident reporting (Art. 17-23)
- Program testowania odporności cyfrowej (Art. 24-25)
- Przygotowanie do TLPT (Threat-Led Penetration Testing)
- Dokumentację dla audytów KNF/nadzoru
Dla kogo?
Ta usługa jest dla Ciebie, jeśli jesteś:
- Bankiem, instytucją kredytową lub SKOK-iem
- Zakładem ubezpieczeń lub reasekuracji
- Firmą inwestycyjną lub funduszem inwestycyjnym
- Instytucją płatniczą lub e-money
- Dostawcą usług krypto-aktywów
5 filarów DORA
1. ICT Risk Management (Art. 5-16)
Framework zarządzania ryzykiem ICT:
- Identyfikacja i klasyfikacja aktywów ICT
- Ocena ryzyka systemów i usług
- Polityki i procedury zarządzania ryzykiem ICT
- Mechanizmy ochrony i zapobiegania
- Detection, response, recovery capabilities
- Learning and evolving (ciągłe doskonalenie)
2. ICT-related Incident Management (Art. 17-23)
System zarządzania incydentami:
- Klasyfikacja incydentów (major vs. pozostałe)
- Procedury wykrywania i reagowania
- Zgłaszanie incydentów do nadzoru (KNF/ESMA/EBA)
- Wymiana informacji o zagrożeniach
- Root cause analysis i działania naprawcze
3. Digital Operational Resilience Testing (Art. 24-27)
Program testowania odporności:
- Vulnerability assessments i scans
- Open source analysis
- Network security assessments
- Gap analysis
- Penetration testing
- TLPT - Threat-Led Penetration Testing (dla dużych instytucji)
4. ICT Third-Party Risk Management (Art. 28-44)
Zarządzanie dostawcami ICT:
- Rejestr dostawców ICT third-party
- Identyfikacja critical or important ICT services
- Due diligence przed zawarciem umowy
- Wymagania kontraktowe (exit strategy, audit rights)
- Ciągły monitoring dostawców
- Exit plans i contingency measures
5. Information Sharing (Art. 45)
Wymiana informacji o zagrożeniach:
- Udział w information sharing arrangements
- Cyber threat intelligence
- Współpraca z innymi podmiotami finansowymi
Harmonogram wdrożenia
Faza 1: Gap Analysis (4-6 tygodni)
- Ocena zgodności z DORA
- Identyfikacja luk w 5 filarach
- Roadmap z priorytetami
Faza 2: Quick Wins (2-3 miesiące)
- Procedury incident reporting
- Rejestr krytycznych dostawców ICT
- Podstawowy program testowania
Faza 3: Implementation (6-12 miesięcy)
- Framework ICT risk management
- Third-party risk management program
- Advanced resilience testing
- TLPT preparation (jeśli dotyczy)
Faza 4: Continuous Compliance
- Monitoring i przeglądy
- Aktualizacja dokumentacji
- Raporty dla zarządu i nadzoru
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Audyt gotowości i zgodności z dyrektywą DORA z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Scoping
Określenie zakresu - które jednostki i systemy
Assessment
Ocena zgodności z 5 filarami DORA
Gap Analysis
Szczegółowa identyfikacja braków
Implementation
Wdrożenie wymaganych mechanizmów
Documentation
Dokumentacja dla nadzoru (KNF/EBA)
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Uniknięcie kar
Zgodność z regulacjami przed kontrolą KNF
Odporność operacyjna
Lepsza odporność na incydenty ICT
Zarządzanie dostawcami
Kontrola ryzyka third-party ICT
Szybsza reakcja
Sprawne zgłaszanie incydentów do nadzoru
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
DORA i TLPT — jak wyglądają testy ukierunkowane na zagrożenia dla sektora finansowego
DORA podnosi poprzeczkę testowania w sektorze finansowym: znaczące podmioty muszą przeprowadzać TLPT — testy ukierunkowane na realne zagrożenia, na żywych systemach, przez niezależnych testerów. Wyjaśniamy zakres, framework TIBER-EU i sposób przygotowania.
Czytaj więcej →vCISO — kiedy ma sens i ile kosztuje (model abonamentowy 2026)
Nie każda organizacja potrzebuje — i może sobie pozwolić na — etatowego CISO. vCISO daje dostęp do doświadczenia lidera bezpieczeństwa w modelu abonamentowym, dokładnie wtedy, gdy NIS2, DORA i wymagający klienci zaczynają go wymagać. Wyjaśniamy, kiedy ma sens i ile kosztuje.
Czytaj więcej →DORA dla sektora finansowego — praktyczne wdrożenie krok po kroku (2026)
DORA obowiązuje od stycznia 2025. Większość polskich banków, fintechów, ubezpieczycieli i firm inwestycyjnych wciąż nie ma pełnej zgodności. Co realnie zrobić w 90 dni, ile to kosztuje, kto odpowiada.
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Audyt gotowości i zgodności z dyrektywą DORA.
Kogo dotyczy regulacja DORA?
Wszystkie podmioty sektora finansowego UE: banki, ubezpieczyciele, firmy inwestycyjne, instytucje płatnicze, fundusze, dostawcy crypto. DORA obowiązuje od 17 stycznia 2025.
Ile kosztuje wdrożenie DORA?
Gap analysis to 50-100 000 PLN. Pełne wdrożenie dla średniego banku: 300-800 000 PLN. Dla małej instytucji płatniczej: 150-300 000 PLN. Zależy od wielkości organizacji i obecnego poziomu dojrzałości.
Jakie kary za niezgodność z DORA?
Do 1% średniego dziennego światowego obrotu za poprzedni rok obrotowy, lub 1 mln EUR (w zależności co wyższe). Sankcje nakłada krajowy nadzór - w Polsce KNF.
Czy DORA zastępuje NIS2?
Nie zastępuje - uzupełnia. Sektor finansowy musi spełniać DORA (bardziej szczegółowa dla ICT) oraz może podlegać NIS2. DORA ma pierwszeństwo w obszarze cyberbezpieczeństwa dla finansów.
Co to jest TLPT w kontekście DORA?
Threat-Led Penetration Testing - zaawansowany test penetracyjny symulujący realistyczny atak APT. Wymagany dla dużych instytucji (banki, giełdy) co 3 lata. Musi być prowadzony przez certyfikowanych testerów.