PL
Skontaktuj się
PL
Skontaktuj sięcontact@cybernite.eu+48 508 404 923

Digital Operational Resilience Act

Rozporządzenie DORA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. (zwane w skrócie DORA) - wprowadza jednolite ramy operacyjnej odporności cyfrowej dla sektora finansowego, nakładając wymogi w zakresie zarządzania ryzykiem ICT, testowania odporności, zgłaszania incydentów oraz nadzoru zarówno na instytucje finansowe, jak i ich kluczowych dostawców usług IT, tak aby zapewnić ciągłość działania w razie zakłóceń cybernetycznych.

Rozporządzenie DORA weszło w życie 16 stycznia 2023 r. i zaczęło obowiązywać 17 stycznia 2025 r. Jego zapisy odnoszą się do ponad 22 000 podmiotów finansowych oraz dostawców usług ICT działających na terenie UE.

Dlaczego warto

Kluczowe obszary odporności operacyjnej DORA

Zarządzanie ryzykiem ICT

Zarządzanie incydentami ICT

Testowanie odporności operacyjnej

Zarządzenie ryzykiem dostawców ICT

Wymiana informacji

Rozporządzenie DORA – Kompleksowe Wsparcie od Cybernite

Warto wiedzieć

Kto podlega pod DORA?

Rodzaje podmiotów objętych DORA w sektorze finansowym:

  • Instytucje finansowe (banki, instytucje kredytowe, firmy inwestycyjne, fundusze inwestycyjne)
  • Instytucje ubezpieczeniowe (zakłady ubezpieczeń i reasekuracji, pośrednicy ubezpieczeniowi, instytucje pracowniczych programów emerytalnych)
  • Infrastruktura rynków finansowych (giełdy, systemy obrotu, centralne depozyty papierów wartościowych, repozytoria transakcji, kontrahenci centralni)
  • Usługi płatnicze i fintech (instytucje płatnicze, instytucje pieniądza elektronicznego, dostawcy usług dostępu do informacji o rachunku, firmy zajmujące się kryptoaktywami)
  • Inne podmioty (agencje ratingowe, administratorzy wskaźników referencyjnych)
  • Dostawcy technologii & ICT* (zewnętrzni dostawcy usług ICT, firmy udostępniające dane i informacje, dostawcy usług finansowania społecznościowego)

*Dostawca usług ICT to w przedstawianym kontekście firma świadcząca usługi technologiczne dla szeroko rozumianych instytucji finansowych, kluczowe dla ich stabilności i ciągłości działania w kontekście DORA.

Kary za nieprzestrzeganie DORA

Naruszenie wymogów DORA może skutkować szeregiem sankcji administracyjnych i finansowych. Organ nadzoru (w Polsce - KNF) może:

  • pociągnąć zarząd do odpowiedzialności osobistej
  • nakazać zaniechanie naruszenia
  • nałożyć karę do 20 869 500 PLN lub 10 % przychodu rocznego
  • ukarać dostawcę ICT do 1 % średniego dziennego obrotu za każdy dzień
  • opublikować oświadczenie z nazwą sprawcy i opisem naruszenia
  • zawiesić korzystanie z usług kluczowego dostawcy ICT
  • nakazać częściowe lub pełne wypowiedzenie umów z dostawcą ICT

Państwa Klient wymaga zgodności z DORA?

Branża finansowa odpowiada nie tylko za własne bezpieczeństwo, ale także za ochronę środków i danych swoich klientów. Ze względu na wysoką presję regulacyjną, instytucje finansowe coraz częściej klasyfikują swoich partnerów jako kluczowych dostawców ICT – nawet jeśli ci sami nie postrzegają się w ten sposób.

Dla wielu firm oznacza to konieczność spełnienia rygorystycznych wymogów w zakresie cyberbezpieczeństwa oraz gotowość do udowodnienia, że stosowane środki ochrony są adekwatne i skuteczne. W przeciwnym razie, mimo dobrych relacji biznesowych, mogą i tak zostać wykluczone z możliwości świadczenia usług dla sektora finansowego.

Państwa Organizacja potrzebuje wsparcia przy wdrożeniu wymagań rozporządzenia DORA lub chciałaby przygotować się do roli dostawcy usług ICT dla instytucji finansowych?

Darmowa konsultacja

Baza wiedzy o NIS2

DORA w praktyce – najnowsze analizy, porady i interpretacje

Zobacz pozostałe artykuły