Ustawa DORA to regulacja UE, która ma na celu zwiększenie odporności operacyjnej instytucji finansowych na incydenty cyfrowe. Od jej wejścia w życie minęło już ponad 10 miesięcy. Instytucje finansowe są już objęte pełnym obowiązkiem zgodności z DORA, a nadzorcy zapowiadają, iż pierwsze kontrole zgodności i audyty mogą ruszyć w najbliższym czasie. Co jeszcze się zmieniło?
Z tego artykułu dowiesz się:
Czym jest ustawa DORA i dlaczego jest ważna dla przedsiębiorstw?
DORA, czyli Digital Operational Resilience Act, to ustawa o cyfrowej odporności operacyjnej, której zadaniem jest ustanowienie ram w obszarach efektywnego zarządzania ryzykiem, możliwości operacyjnych ICT (ang. Information and Communication Technology), cyberbezpieczeństwa i zarządzania zewnętrznymi dostawcami usług. Ustawa ma na celu zapewnienie stabilności oraz integralności unijnego systemu finansowego, przy uwzględnieniu całego łańcucha wartości.
DORA wymaga od przedsiębiorców zwiększenia bezpieczeństwa cyfrowego, lepszego zarządzania ryzykiem ICT oraz relacjami z dostawcami, zapewnienia ciągłości operacyjnej i dostosowania do przyszłych wyzwań i zagrożeń, które wynikają z dynamicznie zmieniającego się środowiska cyfrowego. W tym roku ważne jest już nie tylko wdrożenie procedur, ale wykazanie ich skuteczności. Nadzorcy wymagają realnych dowodów działania procesów, a nie jedynie dokumentacji.
Kogo dotyczy DORA?
Ustawa DORA ma zastosowanie do szerokiego spektrum podmiotów, w tym banków, firm inwestycyjnych, ubezpieczycieli, dostawców usług płatniczych oraz operatorów infrastruktury rynkowej.
Co istotne, DORA rozszerza swój zakres o innych interesariuszy z sektora finansowego, którzy dotychczas nie podlegali tak rozbudowanym regulacjom z zakresu bezpieczeństwa ICT. Mowa m.in. o dostawcach usług kryptoaktywów, pośrednikach zarządzających alternatywnymi funduszami inwestycyjnymi, dostawcach usług chmury obliczeniowej, a także dostawcach zewnętrznych usług ICT.
Najważniejsze wymagania ustawy DORA
DORA nakłada na instytucje finansowe obowiązek wdrożenia spójnych, mierzalnych i regularnie testowanych procesów odporności cyfrowej. Obejmuje to pięć istotnych obszarów:
Zarządzanie ryzykiem ICT – przedsiębiorstwa muszą utrzymywać odporne systemy, dokumentować zasoby krytyczne, monitorować zagrożenia i testować plany ciągłości działania.
W 2025 roku regulacje kładą jeszcze większy nacisk na praktyczne testy skuteczności kontroli, a nie jedynie deklaracje. Instytucje coraz częściej proszone są o realne dowody działania procesów, logi, raporty i ścieżki audytowe.
Zgłaszanie incydentów ICT – firmy są zobowiązane do rejestrowania incydentów, klasyfikowania ich oraz raportowania według jednolitych wzorów ESA (Europejskie Organy Nadzoru).
Od wiosny 2025 firmy korzystają już ze znormalizowanych formatów raportowania, a pierwsze incydenty zostały oficjalnie zgłoszone w nowych systemach ESA. Pojawiły się również pierwsze informacje o sankcjach za opóźnienia i niekompletne zgłoszenia.
Testy operacyjnej odporności cyfrowej – coroczne testy ICT oraz zaawansowane TLPT (ang. Threat-Led Penetration Testing) dla obszarów krytycznych są obowiązkowe, a dostawcy ICT muszą brać w nich czynny udział.
W 2025 roku ruszył pierwszy cykl TLPT. Część instytucji otrzymała obowiązek wykonania testów do końca 2026. Organizacje, które nie mają dostawców ICT gotowych na TLPT, stanęły przed koniecznością ich zmiany.
Zarządzanie ryzykiem dostawców ICT – instytucje muszą monitorować cały łańcuch outsourcingu, raportować zlecone zadania oraz zabezpieczać umowy pod kątem wymogów DORA.
Od stycznia 2025 wszystkie nowo podpisywane umowy muszą zawierać klauzule zgodne z DORA, a audyty dostawców stały się jednym z najczęściej kontrolowanych obszarów.
Udostępnianie informacji – DORA wymaga współpracy w zakresie wymiany danych o zagrożeniach oraz wdrażania mechanizmów ich bieżącej analizy i reakcji.
DORA – co jeszcze jest ważne w 2025 roku?
Ważne jest nie wdrażanie podstaw, lecz doskonalenie procesów i potwierdzanie ich skuteczności w audytach. Coraz częściej podmioty zobowiązane regulacjami DORA korzystają z automatyzacji i narzędzi klasy GRC (Governance, Risk, Compliance), aby sprostać rosnącej liczbie obowiązków dokumentacyjnych.
W tym roku instytucje finansowe muszą już korzystać z mechanizmów wymiany informacji o cyberzagrożeniach udostępnianych przez europejskie organy nadzoru (EBA, ESMA, EIOPA) oraz krajowe CERT-y, zgodnie z zasadami określonymi w DORA. Regulacja nie wskazuje jednej centralnej platformy. Zamiast tego wymaga, aby podmioty finansowe aktywnie uczestniczyły w zorganizowanych systemach wymiany wiedzy o incydentach oraz zagrożeniach, zgodnych ze standardami UE.
W 2025 roku zakres praktycznej odpowiedzialności dostawców ICT jeszcze wzrósł. Instytucje finansowe muszą prowadzić szczegółowe rejestry usługodawców i potwierdzać ich zgodność z DORA, a część firm zaczęła renegocjować umowy lub zmieniać dostawców właśnie z powodu nowych wymogów. Wprowadzono również pierwsze wytyczne uzupełniające dotyczące TLPT i klasyfikacji incydentów ICT.
-
Ustawa DORA – jak przygotować firmę na nowe regulacje?
Ustawa DORA jest nową regulacją Unii Europejskiej, mającą na celu zwiększenie odporności operacyjnej instytucji finansowych na incydenty…
Jakie są konsekwencje nieprzestrzegania ustawy DORA?
Nieprzestrzeganie przepisów ustawy DORA może nieść za sobą poważne konsekwencje dla instytucji finansowych i innych podmiotów objętych regulacją.
Kary finansowe takie jak grzywny za naruszenie przepisów przez Europejskie Urzędy Nadzoru (EBA, EIOPA, ESMA), które mają uprawnienia do nakładania kar finansowych, w przypadku stwierdzenia niezgodności z regulacjami. Oprócz grzywien, możliwe są również inne formy sankcji finansowych, które mogą znacząco obciążyć budżet podmiotu.
Kary administracyjne – takie jak, nakazy natychmiastowego wdrożenia środków naprawczych w celu usunięcia stwierdzonych niezgodności, wydane przez właściwe organy lub w skrajnych przypadkach, gdy naruszenie przepisów stanowi poważne zagrożenie dla stabilności finansowej, organy nadzoru będą mogły zawiesić działalność podmiotu do czasu spełnienia wymogów DORA.
Konsekwencje reputacyjne – nieprzestrzeganie DORA, może prowadzić do utraty zaufania klientów, inwestorów i partnerów biznesowych, co przełoży się na długoterminowy wpływ na reputację podmiotu.
Konsekwencje operacyjne – brak zgodności z przepisami DORA może prowadzić do poważnych zakłóceń w działalności operacyjnej, zwłaszcza w przypadku cyberataków, na które podmioty nie będą odpowiednio przygotowane. Ponadto, podmioty, które muszą nagle dostosować się do przepisów DORA, będą ponosić znacznie wyższe koszty operacyjne, wynikające z wdrożenia odpowiednich środków zaradczych.
Konsekwencje prawne – w przypadku poważnych naruszeń, podmioty mogą być objęte postępowaniami sądowymi, co może prowadzić do dodatkowych kar i zobowiązań prawnych, a członkowie zarządu i inne osoby, odpowiedzialne za zgodność z przepisami, mogą ponieść odpowiedzialność prawną za naruszenia przepisów DORA.
Choć DORA weszła w życie 17 stycznia 2025 roku, to jest bardzo prawdopodobnym, że już wkrótce będą przeprowadzane pierwsze audyty zgodności przez regulatorów krajowych oraz europejskich.
W przypadku stwierdzonych naruszeń będą nakładane kary finansowe oraz nakazy wdrożenia działań naprawczych, choć szczegółowe decyzje sankcyjne nie zostały dotąd publicznie ujawnione.
Jak DORA wpłynie na zewnętrznych dostawców usług?
Dostawcy ICT stają się jednym z ważniejszych elementów nadzoru DORA i muszą spełniać takie same standardy bezpieczeństwa jak instytucje finansowe, które obsługują. W praktyce oznacza to konieczność dostosowania procesów, infrastruktury i sposobu dokumentowania działań. Rynek stopniowo eliminuje dostawców niespełniających wymagań. Instytucje oczekują audytów, pełnej transparentności oraz potwierdzonych certyfikatów zgodności.
DORA wymusza także aktualizację umów, które muszą zawierać zapisy dotyczące bezpieczeństwa, raportowania i współpracy podczas incydentów. Jednocześnie spełnienie wymogów staje się realną przewagą konkurencyjną, bo instytucje finansowe coraz częściej wybierają partnerów z udokumentowaną zgodnością i wysokimi standardami operacyjnymi.
Od 2025 roku coraz więcej zapytań ofertowych i przetargów wymaga bezpośredniego przedstawienia dowodów zgodności z DORA, w tym raportów SOC2 Type II, ISO 27001:2022, testów penetracyjnych czy opisów kontroli ITGC. Dla dostawców ICT stało się to warunkiem wejścia na rynek finansowy.
DORA w systemie V-Desk
V-Desk to system oferujący zaawansowane mechanizmy przetwarzania danych i raportowania, dzięki którym firmy mogą spełniać obowiązek wynikający z regulacji DORA. System wspiera dziś naszych klientów z branzy finansowej, głównie banki i firmy w prowadzeniu dokumentacji DORA, a jego funkcje zostały pozytywnie zweryfikowane podczas pierwszych audytów klientów.
W 2025 roku DORA jest już realnym, egzekwowanym obowiązkiem, a nie jedynie dokumentem prawnym. To powoduje, że instytucje finansowe muszą działać bardziej świadomie w zakresie odporności cyfrowej, testów, kontroli dostawców i raportowania incydentów.
Firmy, które rozpoczęły przygotowania zbyt późno, nadrabiają zaległości dużym nakładem pracy, dlatego automatyzacja procesów staje się standardem, a narzędzia takie jak V-Desk wspierają pełną zgodność z wymaganiami UE.
Sprawdź jak V-Desk wspiera organizacje w spełnieniu norm DORA i w jaki sposób DORA wpłynie na zewnętrznych dostawców usług.
