Rozporządzenie DORA (Digital Operational Resilience Act) to kluczowy akt prawny Unii Europejskiej, który podnosi standardy bezpieczeństwa cyfrowego w sektorze finansowym. Nowe regulacje obejmują banki, instytucje kredytowe, firmy FinTech, dostawców usług płatniczych, a także zewnętrznych dostawców usług ICT, takich jak chmura obliczeniowa i infrastruktura IT.
Od kiedy obowiązuje Rozporządzenie DORA?
Rozporządzenie wchodzi w życie 17 stycznia 2025 r. Instytucje finansowe i dostawcy technologii muszą dostosować swoje systemy i procedury do nowych wymagań, wdrażając odpowiednie mechanizmy zarządzania ryzykiem cyfrowym, systemy odporności operacyjnej oraz plany reagowania na incydenty cybernetyczne.
Kogo dotyczy DORA?
Nowe regulacje obejmują szeroki zakres podmiotów, w tym:
✅ Banki i instytucje kredytowe
✅ Firmy FinTech i instytucje pieniądza elektronicznego
✅ Dostawców usług płatniczych i kryptoaktywów
✅ Firmy ubezpieczeniowe i reasekuracyjne
✅ Fundusze inwestycyjne i zarządzające
✅ Zewnętrznych dostawców usług ICT, w tym chmury obliczeniowej i infrastruktury IT
Główne wymagania Rozporządzenia DORA
DORA koncentruje się na pięciu kluczowych obszarach, mających na celu zwiększenie odporności cyfrowej sektora finansowego:
Zarządzanie ryzykiem ICT
✅ Wdrożenie strategii i polityk bezpieczeństwa IT
✅ Mechanizmy wykrywania zagrożeń i planów ciągłości działania
✅ Strategia backupów i planów reagowania na incydenty
Zarządzanie incydentami cybernetycznymi
✅ Klasyfikacja incydentów i ocena ich wpływu na operacje
✅ Procedury szybkiego reagowania i zgłaszania naruszeń
Testowanie odporności operacyjnej
✅ Regularne testy bezpieczeństwa, w tym testy penetracyjne
✅ Ocena infrastruktury IT i analiza podatności
Zarządzanie ryzykiem stron trzecich (dostawców ICT)
✅ Kontrola bezpieczeństwa dostawców
✅ Opracowanie strategii wyjścia i planów przejściowych
Wymiana informacji o zagrożeniach cybernetycznych
✅ Standaryzacja raportowania incydentów
✅ Współpraca między instytucjami w zakresie cyberbezpieczeństwa
Kary za nieprzestrzeganie DORA
Instytucje finansowe oraz ich kluczowi dostawcy ICT, którzy nie spełnią wymagań DORA, narażają się na surowe sankcje:
✅ Kary finansowe do 10% rocznego obrotu dla instytucji finansowych
✅ Kary do 1% średniego dziennego obrotu dla dostawców ICT za każdy dzień naruszenia
Jak M3M może pomóc w dostosowaniu do DORA?
M3M oferuje kompleksowe wsparcie w zakresie wdrożenia wymagań DORA, obejmujące:
✅ Analizę gotowości do wdrożenia DORA – ocena luk w procedurach i systemach IT
✅ Tworzenie polityk zarządzania ryzykiem i odporności operacyjnej
✅ Przygotowanie strategii testowania odporności i przeprowadzanie testów penetracyjnych
✅ Wsparcie w zarządzaniu ryzykiem dostawców ICT i opracowywaniu planów awaryjnych
✅ Szkolenia dla pracowników i zarządów w zakresie cyberbezpieczeństwa