Audyt gotowości i zgodności z dyrektywą DORA
Od stycznia 2025 sektor finansowy musi spełniać DORA - Digital Operational Resilience Act. Sprawdź gotowość organizacji, zidentyfikuj luki i wdróż wymagania przed kontrolami nadzoru.
DORA to nie tylko IT - to transformacja zarządzania ryzykiem
Od gap analysis do pełnej zgodności
Readiness Assessment
Ocena gotowości względem 5 filarów DORA
Gap Analysis
Identyfikacja luk w poszczególnych obszarach
Roadmap
Priorytetyzowany plan wdrożenia
Czym jest Audyt zgodności z Rozporządzeniem DORA?
Audyt zgodności z Rozporządzeniem DORA to kompleksowa ocena gotowości instytucji finansowej do spełnienia wymagań Digital Operational Resilience Act (DORA), obejmująca 5 filarów: zarządzanie ryzykiem ICT, incydenty, testy odporności, zarządzanie dostawcami i wymianę informacji.
| Atrybut | Wartość |
|---|---|
| Regulacja | DORA (EU 2022/2554) |
| Zakres | 5 filarów DORA |
| Dla kogo | Sektor finansowy, dostawcy ICT |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 50 000 PLN (stan na 2026) |
nFlo oferuje audyt zgodności z rozporządzeniem dora dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.
Problem
2 mln EUR kary - nieadekwatne zarządzanie ryzykiem ICT
Europejski bank otrzymał karę od nadzoru za niedostateczne zarządzanie ryzykiem dostawców IT. Awaria u jednego z dostawców cloud spowodowała 8-godzinny przestój systemów transakcyjnych. Bank nie miał exit strategy ani testów odporności dla krytycznych dostawców.
Bez zgodności z DORA:
- Kary do 1% rocznego przychodu od KNF/nadzoru europejskiego
- Brak kontroli nad ryzykiem third-party ICT providers
- Chaotyczne zgłaszanie incydentów do nadzoru
- Nieadekwatne testy odporności cyfrowej
Nasze rozwiązanie
Kompleksowa ścieżka do zgodności z DORA
Przeprowadzamy Cię przez wszystkie 5 filarów DORA - od ICT risk management po threat-led penetration testing. Nie tylko audyt, ale wdrożenie i przygotowanie dokumentacji dla nadzoru.
Co dostajesz:
- Ocenę zgodności z 5 filarami DORA (Readiness Assessment)
- Gap analysis z priorytetyzacją działań
- Framework ICT risk management zgodny z DORA Art. 6
- Rejestr krytycznych dostawców ICT third-party
- Procedury incident reporting (Art. 17-23)
- Program testowania odporności cyfrowej (Art. 24-25)
- Przygotowanie do TLPT (Threat-Led Penetration Testing)
- Dokumentację dla audytów KNF/nadzoru
Dla kogo?
Ta usługa jest dla Ciebie, jeśli jesteś:
- Bankiem, instytucją kredytową lub SKOK-iem
- Zakładem ubezpieczeń lub reasekuracji
- Firmą inwestycyjną lub funduszem inwestycyjnym
- Instytucją płatniczą lub e-money
- Dostawcą usług krypto-aktywów
5 filarów DORA
1. ICT Risk Management (Art. 5-16)
Framework zarządzania ryzykiem ICT:
- Identyfikacja i klasyfikacja aktywów ICT
- Ocena ryzyka systemów i usług
- Polityki i procedury zarządzania ryzykiem ICT
- Mechanizmy ochrony i zapobiegania
- Detection, response, recovery capabilities
- Learning and evolving (ciągłe doskonalenie)
2. ICT-related Incident Management (Art. 17-23)
System zarządzania incydentami:
- Klasyfikacja incydentów (major vs. pozostałe)
- Procedury wykrywania i reagowania
- Zgłaszanie incydentów do nadzoru (KNF/ESMA/EBA)
- Wymiana informacji o zagrożeniach
- Root cause analysis i działania naprawcze
3. Digital Operational Resilience Testing (Art. 24-27)
Program testowania odporności:
- Vulnerability assessments i scans
- Open source analysis
- Network security assessments
- Gap analysis
- Penetration testing
- TLPT - Threat-Led Penetration Testing (dla dużych instytucji)
4. ICT Third-Party Risk Management (Art. 28-44)
Zarządzanie dostawcami ICT:
- Rejestr dostawców ICT third-party
- Identyfikacja critical or important ICT services
- Due diligence przed zawarciem umowy
- Wymagania kontraktowe (exit strategy, audit rights)
- Ciągły monitoring dostawców
- Exit plans i contingency measures
5. Information Sharing (Art. 45)
Wymiana informacji o zagrożeniach:
- Udział w information sharing arrangements
- Cyber threat intelligence
- Współpraca z innymi podmiotami finansowymi
Harmonogram wdrożenia
Faza 1: Gap Analysis (4-6 tygodni)
- Ocena zgodności z DORA
- Identyfikacja luk w 5 filarach
- Roadmap z priorytetami
Faza 2: Quick Wins (2-3 miesiące)
- Procedury incident reporting
- Rejestr krytycznych dostawców ICT
- Podstawowy program testowania
Faza 3: Implementation (6-12 miesięcy)
- Framework ICT risk management
- Third-party risk management program
- Advanced resilience testing
- TLPT preparation (jeśli dotyczy)
Faza 4: Continuous Compliance
- Monitoring i przeglądy
- Aktualizacja dokumentacji
- Raporty dla zarządu i nadzoru
Często zadawane pytania
Kogo dotyczy DORA?
Wszystkie podmioty sektora finansowego UE: banki, ubezpieczyciele, firmy inwestycyjne, instytucje płatnicze, fundusze, dostawcy crypto. Obowiązuje od 17 stycznia 2025.
Czy DORA zastępuje NIS2?
Nie zastępuje - uzupełnia. Sektor finansowy musi spełniać DORA (bardziej szczegółowa dla ICT) oraz może podlegać NIS2. DORA ma pierwszeństwo w obszarze cyberbezpieczeństwa dla finansów.
Co to jest TLPT?
Threat-Led Penetration Testing - zaawansowany test penetracyjny symulujący realistyczny atak. Wymagany dla dużych instytucji (banki, giełdy) co 3 lata. Musi być prowadzony przez certyfikowanych testerów.
Ile kosztuje wdrożenie DORA?
Zależy od wielkości organizacji i obecnego poziomu dojrzałości. Gap analysis to 50-100k PLN. Pełne wdrożenie dla średniego banku to 300-800k PLN. Dla małej instytucji płatniczej: 150-300k PLN.
Jakie kary za niezgodność z DORA?
Do 1% średniego dziennego światowego obrotu za poprzedni rok obrotowy, lub 1 mln EUR (w zależności co wyższe). Sankcje nakłada krajowy nadzór (w Polsce: KNF).
Jak pracujemy
Sprawdzony proces realizacji usługi.
Scoping
Określenie zakresu - które jednostki i systemy
Assessment
Ocena zgodności z 5 filarami DORA
Gap Analysis
Szczegółowa identyfikacja braków
Implementation
Wdrożenie wymaganych mechanizmów
Documentation
Dokumentacja dla nadzoru (KNF/EBA)
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Uniknięcie kar
Zgodność z regulacjami przed kontrolą KNF
Odporność operacyjna
Lepsza odporność na incydenty ICT
Zarządzanie dostawcami
Kontrola ryzyka third-party ICT
Szybsza reakcja
Sprawne zgłaszanie incydentów do nadzoru
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
DORA: rok stosowania - jak rozporządzenie zmieniło sektor finansowy
17 stycznia 2025 roku rozpoczęło się stosowanie rozporządzenia DORA. Po roku od tego momentu możemy ocenić, jak regulacja wpłynęła na sektor finansowy i jakie wnioski płyną dla organizacji wciąż doskonalących swoje programy odporności cyfrowej.
Czytaj więcej →DORA a Rekomendacja D KNF: Jak dotychczasowe wdrożenia pomagają w zgodności z nowym rozporządzeniem?
Sektor finansowy od lat żyje pod presją regulacyjną KNF. Wdrożenie Rekomendacji D i Wytycznych IT było ogromnym wysiłkiem. Czy ta praca pójdzie na marne w obliczu DORA? Wręcz przeciwnie. To solidny fundament, ale DORA podnosi poprzeczkę znacznie wyżej, zwłaszcza w obszarze testowania i zarządzania d
Czytaj więcej →Bezpieczeństwo w finansach: Jak banki i FinTechy bronią się przed cyberatakami w erze cyfrowej?
Sektor finansowy to poligon doświadczalny dla najbardziej zaawansowanych cyberataków. Stawką są nie tylko pieniądze, ale zaufanie, które jest fundamentem całej branży. Od regulacji DORA po ataki na bankomaty i aplikacje mobilne – jak w tak dynamicznym i krytycznym środowisku zapewnić najwyższy pozio
Czytaj więcej →Skontaktuj sie z opiekunem
Porozmawiaj o Audyt gotowości i zgodności z dyrektywą DORA z dedykowanym opiekunem handlowym.