socha.pl / wiedza / dyrektywy ue / dora /

DORA

DORA (Digital Operational Resilience Act) wprowadza jednolite przepisy dotyczące cyberbezpieczeństwa i odporności cyfrowej dla podmiotów działających w sektorze finansowym na terenie Unii Europejskiej. Celem DORA jest zapewnienie, aby instytucje finansowe były w stanie wytrzymać, reagować i skutecznie odzyskiwać zdolność operacyjną po wszelkich zakłóceniach związanych z systemami informatycznymi. Poniżej przedstawiamy obowiązkowy zakres wymogów, jakie DORA nakłada na firmy (tzw. „podmioty finansowe” w rozumieniu rozporządzenia).

1. Zarządzanie ryzykiem ICT
(ICT risk management framework)

ICT (ang. Information and Communication Technology) to skrót oznaczający Technologie Informacyjno-Komunikacyjne. Obejmuje wszelkie narzędzia, urządzenia i rozwiązania służące do tworzenia, przetwarzania, przechowywania, przesyłania i wykorzystywania informacji za pośrednictwem mediów elektronicznych.

W praktyce do ICT zalicza się m.in.:

  1. Sprzęt komputerowy (komputery, serwery, urządzenia sieciowe).
  2. Oprogramowanie (systemy operacyjne, aplikacje, systemy do zarządzania bazami danych).
  3. Sieci telekomunikacyjne (Internet, sieci komórkowe, rozwiązania VoIP).
  4. Usługi chmurowe (chmura obliczeniowa, SaaS, PaaS, IaaS).
  5. Platformy informatyczne (systemy CRM, ERP, platformy e-learningowe).

Opracowanie i wdrożenie polityk oraz procedur zarządzania ryzykiem ICT

  • Powinny uwzględniać całościowe podejście do zagrożeń technologicznych (ataków cybernetycznych, awarii systemowych, błędów ludzkich).
  • Należy formalnie zdefiniować procesy identyfikacji, oceny, monitorowania i ograniczania ryzyka związanego z ICT.

Odpowiedzialność zarządu

  • Najwyższe kierownictwo jest bezpośrednio odpowiedzialne za zgodność z DORA, w tym zatwierdzanie polityk i alokację zasobów.

Ciągłe monitorowanie i raportowanie

  • Regularne przeglądy i aktualizacje polityk.
  • Mechanizm bieżącego monitorowania zagrożeń (np. system SIEM, dashboardy, raporty cykliczne).

2. Zdolność do zapobiegania, wykrywania
i reagowania na incydenty

Procesy i procedury reagowania na incydenty

  • Każda instytucja musi posiadać plan (IRP – Incident Response Plan) określający kroki w razie wystąpienia incydentu: detekcja, analiza, eskalacja, reakcja, naprawa, dokumentacja.

Raportowanie incydentów

  • Incydenty o określonej skali / krytyczności należy raportować do właściwych organów nadzoru w ściśle określonym czasie (np. wstępne zgłoszenie w ciągu 24 godzin).
  • Trzeba też utrzymywać wewnętrzny rejestr zdarzeń, aby można je było analizować po fakcie.

Testy i ćwiczenia

  • Regularne ćwiczenia (w tym testy penetracyjne, symulacje cyberataków – threat-led penetration testing), aby sprawdzać skuteczność procedur bezpieczeństwa i reagowania na incydenty.

3. Ciągłość działania i odzyskiwanie po awarii (BCP/DRP)

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Plany ciągłości działania (BCP) i plany odtwarzania po awarii (DRP)

  • Muszą uwzględniać konkretne scenariusze zakłóceń ICT (np. atak ransomware).
  • Wskazanie ról i odpowiedzialności, metod komunikacji w trakcie awarii.

Regularne testy i przeglądy

  • BCP i DRP należy co pewien czas testować (np. ćwiczenia przełączania systemów do ośrodków zapasowych), a wyniki dokumentować i analizować.

Zapewnienie odpowiednich zasobów

  • Środki finansowe, rozwiązania technologiczne (np. backup offline, redundancja) i przeszkolony personel, aby móc skutecznie przywrócić operacyjność.

4. Zarządzanie relacjami z podmiotami trzecimi (outsourcing)

Wymagania wobec dostawców

  • Każda instytucja finansowa musi monitorować i kontrolować ryzyko ICT związane z usługodawcami (np. firmami hostingowymi, dostawcami chmury, oprogramowania).
  • Konieczne jest wyraźne określenie w umowach standardów bezpieczeństwa, audytów i obowiązku raportowania incydentów.

Rejestr usługodawców zewnętrznych

  • Podmioty finansowe mają obowiązek prowadzenia wykazu kluczowych dostawców i świadczonych przez nich usług.
  • W przypadku krytycznego outsourcingu, wymagana jest szczególna analiza ryzyka i plan awaryjny na wypadek niedostępności usługodawcy.

Nadzór ze strony organów

  • Nadzór (np. EBA, EIOPA, ESMA na poziomie UE) może zlecić inspekcje dostawców chmurowych, jeśli jest to wymagane dla oceny ryzyka instytucji finansowej.

5. Testowanie cyfrowej odporności
(Digital Operational Resilience Testing)

Obowiązek przeprowadzania regularnych testów

  • Oprócz standardowych testów bezpieczeństwa (np. skanowania podatności, testów penetracyjnych) DORA wprowadza Threat-Led Penetration Testing (TLPT) dla instytucji o znaczeniu systemowym.
  • Ma to na celu symulację zaawansowanych ataków w kontrolowanych warunkach.

Wyniki testów i działania naprawcze

  • Należy dokumentować wyniki testów, wskazywać luki w zabezpieczeniach i wdrażać odpowiednie środki naprawcze z określonym harmonogramem.

Lorem ipsum headerum

Diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra. Mauris commodo quis imperdiet massa tincidunt nunc pulvinar sapien.

Raportowanie do organów nadzorczych

  • Wymóg składania okresowych raportów dotyczących stanu bezpieczeństwa (ryzyka, incydentów, testów) oraz innych informacji wymaganych przez DORA.
  • Możliwe dodatkowe żądania organów w razie poważnych incydentów lub podejrzeń dotyczących naruszeń.

Kary za nieprzestrzeganie

  • DORA przewiduje kary finansowe lub inne środki administracyjne za brak zgodności (podobnie jak w RODO i NIS2).
  • Zarząd i kadra kierownicza mogą ponosić osobistą odpowiedzialność za niewypełnienie obowiązków.

Audyt i kontrola

  • Organy nadzoru mogą przeprowadzać inspekcje, żądać dokumentów i informacji, a także nakładać środki naprawcze.

Podsumowanie DORA

Minimalny obowiązkowy zakres obowiązków wynikających z DORA można sprowadzić do sześciu głównych obszarów:

  1. Zarządzanie ryzykiem ICT – kompleksowe ramy polityk i procedur.
  2. Reagowanie na incydenty – plan IRP, szybkie wykrywanie i raportowanie.
  3. Ciągłość działania i odzyskiwanie po awarii – BCP/DRP, testy i zasoby.
  4. Zarządzanie dostawcami zewnętrznymi – kontrola outsourcingu i odpowiedzialność.
  5. Testowanie odporności cyfrowej – regularne testy bezpieczeństwa, w tym TLPT.
  6. Sprawozdawczość, sankcje i nadzór – raporty dla organów, surowe kary za brak zgodności.