Fib.Code
Rozporządzenie DORA (Digital Operational Resilience Act) nakłada na instytucje finansowe obowiązek zarządzania ryzykiem ICT, testowania odporności cyfrowej i nadzoru nad dostawcami technologicznymi. Przeprowadzamy organizacje przez cały proces — od identyfikacji luk po pełną zgodność operacyjną.
Banki, instytucje kredytowe i spółdzielcze kasy oszczędnościowo-kredytowe
Firmy ubezpieczeniowe i reasekuracyjne, fundusze emerytalne
Firmy inwestycyjne, TFI, ASI i zarządzający funduszami
Instytucje płatnicze, instytucje pieniądza elektronicznego, dostawcy usług kryptoaktywów
Zewnętrzni dostawcy usług ICT dla podmiotów finansowych
Pięć filarów DORA — realizujemy każdy z nich od podstaw lub doskonalimy istniejące rozwiązania
Gap analysis — identyfikacja luk względem wymogów DORA i opublikowanych RTS/ITS. Mapowanie obecnych ram ICT na wymagania rozporządzenia.
Projektowanie ram zarządzania ryzykiem ICT — budowa lub aktualizacja frameworku zgodnego z art. 6–16 DORA, obejmującego strategię, polityki i procedury.
Wdrożenie procedur incydentowych — klasyfikacja incydentów, procedury raportowania (4h/72h/1 miesiąc), kanały komunikacji z KNF i ESA.
Zarządzanie dostawcami ICT — rejestr umów, ocena ryzyka dostawców, strategie wyjścia, klauzule kontraktowe zgodne z DORA.
Testy odporności — projektowanie i koordynacja programu testów, w tym scenariuszy TLPT dla podmiotów objętych obowiązkiem zaawansowanego testowania.
Walidacja i utrzymanie — przegląd kompletności wdrożenia, szkolenia personelu, przygotowanie do nadzoru KNF.
DORA obowiązuje od 17 stycznia 2025 roku. Instytucje finansowe powinny już teraz spełniać wymogi rozporządzenia. RTS i ITS opublikowane przez ESA uszczegóławiają poszczególne obowiązki.
DORA to rozporządzenie sektorowe dla finansów (lex specialis wobec NIS-2). Jest bardziej szczegółowe: obejmuje testowanie odporności (TLPT), rejestr dostawców ICT, specyficzne terminy raportowania i nadzór nad kluczowymi dostawcami. NIS-2 ma charakter ogólny.
Tak — DORA obejmuje 21 kategorii podmiotów finansowych, w tym mikro- i małe przedsiębiorstwa. Dla podmiotów mniejszych przewidziano uproszczony reżim (proporcjonalność), ale podstawowe obowiązki pozostają.
Kary nakłada krajowy organ nadzoru (KNF). Mogą obejmować kary administracyjne, nakazy zaprzestania działalności niezgodnej z prawem, a dla kluczowych dostawców ICT — kary do 1% średniego dziennego światowego obrotu.
ISO 27001 to solidna baza, ale DORA wykracza poza jego zakres — wymaga m.in. testów TLPT, rejestru dostawców ICT, specyficznych procedur raportowania i strategii wyjścia. Certyfikat ISO ułatwia wdrożenie, ale nie zastępuje compliance z DORA.