Digital Operational Resilience Act (DORA) to jedna z ostatnich regulacji Unii Europejskiej, która ma na celu zwiększenie odporności operacyjnej sektora finansowego na zagrożenia cyfrowe. Weszła w życie 17 stycznia 2025 roku i obejmuje szeroki wachlarz instytucji finansowych oraz dostawców usług IT. W obliczu rosnącej liczby cyberataków i zależności od technologii, DORA ma zapewnić, że sektor finansowy będzie przygotowany na potencjalne zagrożenia cyfrowe i nieprzewidziane awarie.

Kogo obejmuje nowa regulacja?

Regulacja ta ma zastosowanie do różnorodnych podmiotów, w tym banków, firm inwestycyjnych, ubezpieczycieli i funduszy emerytalnych. Obejmuje także giełdy, systemy rozliczeniowe, fintechy oraz dostawców usług płatniczych. DORA ma również istotne znaczenie dla firm technologicznych, które świadczą usługi dla sektora finansowego, takie jak dostawcy chmury, centra danych oraz firmy dostarczające oprogramowanie.
 

Wymagania DORY wobec firm

Jednym z głównych filarów regulacji jest zarządzanie ryzykiem ICT. Firmy muszą wdrożyć kompleksowe strategie dotyczące bezpieczeństwa informatycznego, regularnie aktualizować polityki zabezpieczeń oraz identyfikować potencjalne zagrożenia. Istotnym elementem jest także odpowiednie przygotowanie procedur reagowania na incydenty, które obejmują nie tylko monitoring i wykrywanie zagrożeń, ale również raportowanie incydentów do organów nadzorczych, takich jak Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), czy Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA).

DORA kładzie również duży nacisk na testowanie odporności cyfrowej. Firmy są zobowiązane do regularnego przeprowadzania testów penetracyjnych oraz analizowania swojej gotowości na cyberataki. Wymagane będą także symulacje awarii systemów oraz skuteczne mechanizmy odtwarzania danych, co ma na celu zapewnienie ciągłości działania.

Kolejnym istotnym aspektem jest nadzór nad zewnętrznymi dostawcami IT. Firmy sektora finansowego muszą dokładnie analizować ryzyko współpracy z podmiotami trzecimi, wdrażać odpowiednie umowy określające ich obowiązki w zakresie bezpieczeństwa oraz przeprowadzać regularne audyty ich działalności. Dzięki temu możliwe będzie ograniczenie ryzyka związanego z outsourcingiem kluczowych usług IT.

Regulacja DORA nakłada również obowiązek współpracy w zakresie cyberbezpieczeństwa. Podmioty objęte przepisami są zobligowane do wymiany informacji na temat zagrożeń i incydentów z innymi organizacjami, co ma przyczynić się do zwiększenia świadomości i skuteczniejszej ochrony przed atakami. Współpraca ta obejmuje zarówno sektor publiczny, jak i prywatny, a jej celem jest stworzenie silniejszego i bardziej odpornego ekosystemu finansowego.

Jak zapewnić zgodność z DORA?

Aby dostosować się do nowej regulacji, firmy powinny przeprowadzić audyt swoich systemów IT i procesów zarządzania ryzykiem. Kluczowe jest wdrożenie nowoczesnych narzędzi monitorowania incydentów, a także stworzenie strategii reagowania na zagrożenia. Organizacje powinny również inwestować w szkolenia dla pracowników, które zwiększą świadomość w zakresie cyberbezpieczeństwa i pomogą skutecznie wdrażać procedury kryzysowe.

Podsumowanie

DORA to przełomowa regulacja, która znacząco zmieni sposób zarządzania ryzykiem technologicznym w sektorze finansowym. Firmy, które dostosują się do nowych przepisów, nie tylko unikną sankcji, ale również zwiększą swoją odporność na zagrożenia cyfrowe. Wdrażanie skutecznych mechanizmów zabezpieczeń, testowanie odporności oraz współpraca w zakresie cyberbezpieczeństwa to kluczowe kroki w celu wdrożenia DORY.

Zapoznaj się z listą naszych produktów, które wspierają monitorowanie oraz budowanie bezpiecznej infrastruktury IT. 

Jeśli masz pytania w jaki sposób wykorzystać oferowane przez nas produkty w kontekście DORA, skontaktuj się z nami!