Spełnij wymogi
DORA
Czym jest akt o cyfrowej odporności operacyjnej (DORA)?
Digital Operational Resilience Act (DORA) to unijne rozporządzenie, które wzmacnia cyfrową odporność operacyjną w całym sektorze finansowym. Ustanawia ono zharmonizowane ramy zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT), zgłaszania incydentów, testowania odporności, nadzoru i zarządzania przez strony trzecie.
DORA weszła w życie ze skutkiem od 17 stycznia 2025 r., a podmioty finansowe podlegające rozporządzeniu muszą teraz spełniać jego wymogi.
Kto musi przestrzegać przepisów DORA?
DORA ma zastosowanie do szerokiej gamy podmiotów finansowych działających w UE, w tym między innymi:
- Banków i instytucji kredytowych
- Firm inwestycyjnych i zarządzających aktywami
- Firm ubezpieczeniowych i reasekuracyjnych
- Instytucji płatniczych i instytucji pieniądza elektronicznego
- Infrastruktury rynkowej i platform transakcyjnych
- Dostawców usług w zakresie aktywów kryptograficznych i platform finansowania społecznościowego
DORA ma również wpływ na dostawców usług i dostawców ICT
DORA wpływa również na zewnętrznych dostawców usług ICT, w tym dostawców chmury i oprogramowania, którzy dostarczają usługi cyfrowe podmiotom finansowym, szczególnie w przypadku, gdy wspierają one krytyczne lub ważne funkcje.
Nawet organizacje niebędące podmiotami finansowymi mogą podlegać wpływowi tych regulacji, ponieważ instytucje nadzorowane są zobowiązane do zarządzania oraz monitorowania cyfrowej odporności operacyjnej swoich kluczowych dostawców ICT.
Jakie wymogi nakłada DORA na podmioty zobowiązane
W ramach rozporządzenia DORA podmioty zobowiązane muszą wdrożyć solidne i udokumentowane praktyki w kilku podstawowych obszarach. Zazwyczaj obejmują one:
Organizacje muszą stworzyć udokumentowane ramy identyfikacji, oceny, łagodzenia i monitorowania ryzyka związanego z ICT, z jasnym nadzorem nad zarządzaniem.
Zgodność, przejrzystość i kontrola
Wdrożenie DORA następuje w odpowiednim momencie, gdyż rosnąca zależność instytucji finansowych od technologii cyfrowych oraz zewnętrznych dostawców ICT zwiększyła poziom ryzyk operacyjnych, a liczba zgłaszanych incydentów cybernetycznych i ICT w ostatnich latach uległa niemal podwojeniu.
Incydenty cybernetyczne wymierzone w europejski sektor finansowy były publicznie zgłaszane i analizowane od początku 2023 r. do połowy 2024 r., przy czym prawie połowa z nich dotyczyła banków.
Roczne straty spowodowane incydentami cybernetycznymi w sektorze finansowym wzrosły z około 300 milionów dolarów w 2017 roku do około 2,2 miliarda dolarów w 2021 roku.
Na całym świecie dochodzi do ponad 2200 cyberataków dziennie - co oznacza średnio jeden atak co około 39 sekund.
Wyzwanie dla podmiotów finansowych i dostawców technologii
Spełnienie wymogów DORA może być wymagające, zwłaszcza dla organizacji bez dedykowanych zespołów ds. ryzyka operacyjnego lub zgodności. Typowe wyzwania obejmują:
- Brak dedykowanego zespołu ds. zgodności lub bezpieczeństwa
- Ograniczony czas na zrozumienie szczegółowych wymogów prawnych
- Rozproszone dokumenty i niejasne obowiązki
- Monitorowanie i zarządzanie ryzykiem związanym z zewnętrznymi dostawcami ICT
- Wdrożenie spójnych procesów zgłaszania incydentów
- Utrzymywanie ładu i dokumentacji satysfakcjonującej przełożonych
- Niezgodność z przepisami może prowadzić do kar finansowych, interwencji organów regulacyjnych i utraty reputacji.
Z Trustlinks przygotujesz się na DORA
Trustlinks przekłada złożoność wymagań z rozporządzenia DORA na praktyczne działania, którymi może kierować się Twój zespół:
Zacznij od jasnej, uporządkowanej i intuicyjnej konfiguracji zgodnej z wymaganiami DORA, w tym wstępnie zdefiniowanych kontroli, szablonów zasad i wytycznych dotyczących dokumentacji.
Pomaga to firmie w szybkim rozpoczęciu pracy bez konieczności posiadania dogłębnej wiedzy specjalistycznej w zakresie zgodności. Bez zgadywania, wszystko jest ułożone w jasny, logiczny sposób, dzięki czemu Twój zespół dokładnie wie, od czego zacząć.
Przygotuj się na wymogi DORA
Jeśli masz pytania dotyczące Trustlinks lub chcesz dowiedzieć się, w jaki sposób nasza platforma wspiera Twoją pracę w zakresie zgodności z przepisami, skontaktuj się z nami, a nasz zespół chętnie Ci pomoże.
Urszula Bryś
+48 502 570436
Często zadawane pytania dotyczące gotowości z rozporządzeniem DORA
Czym jest rozporządzenie o cyfrowej odporności operacyjnej (DORA)?
Digital Operational Resilience Act (DORA) to rozporządzenie UE, które wzmacnia sposób, w jaki podmioty finansowe zarządzają ryzykiem ICT, reagują na incydenty i zapewniają cyfrową odporność operacyjną w całym sektorze finansowym.
Kto musi przestrzegać przepisów w zakresie rozporządzenia DORA?
DORA ma zastosowanie do szerokiej gamy podmiotów finansowych w UE, w tym banków, ubezpieczycieli, firm inwestycyjnych, instytucji płatniczych i dostawców usług związanych z kryptowalutami. Ma również wpływ na dostawców usług ICT, którzy wspierają krytyczne lub ważne funkcje.
Kiedy DORA ma zastosowanie?
DORA zaczęła w pełni obowiązywać 17 stycznia 2025 roku. Od tego dnia objęte nią podmioty finansowe muszą spełniać wymogi rozporządzenia i być w stanie wykazać zgodność.
Jakie są główne wymagania związane z rozporządzeniem DORA?
DORA wymaga od organizacji wdrożenia ram zarządzania ryzykiem ICT, procesów zgłaszania incydentów, testowania cyfrowej odporności operacyjnej, zarządzania ryzykiem ICT stron trzecich oraz silnego zarządzania i nadzoru.
W jaki sposób DORA wpływa na dostawców usług ICT?
Nawet jeśli nie są podmiotami finansowymi, dostawcy usług ICT mogą odczuć skutki, ponieważ instytucje regulowane muszą oceniać, monitorować i zarządzać odpornością cyfrową swoich kluczowych partnerów technologicznych.
Czy istnieją sankcje za nieprzestrzeganie DORA?
Tak. Niezgodność z DORA może skutkować działaniami nadzorczymi, środkami naprawczymi i karami finansowymi w ramach krajowych i unijnych ram egzekwowania prawa.
W jaki sposób Trustlinks może pomóc w zapewnieniu zgodności z DORA?
Trustlinks pomaga organizacjom ustrukturyzować wymagania DORA w kierowane przepływy pracy, zarządzać ryzykiem ICT i nadzorem stron trzecich, utrzymywać dokumentację i generować jasne, gotowe do audytu raporty.
