Czym jest Dora? Digital Operational Resilience Act dla usług finansowych
Ostatnia aktualizacja:
4 czas czytania: 4 minuty
Przyjęto: listopad 2022 r.
Weszło w życie: 16 stycznia 2023 r.
Obowiązuje od: 17 stycznia 2025 r. (data pełnej zgodności)
Ustawa o odporności operacyjnej w obszarze cyfrowym (DORA) to wiążące rozporządzenie UE mające na celu wzmocnienie odporności operacyjnej sektora finansowego w obszarze cyfrowym. DORA nie zastępuje istniejących regulacji finansowych, lecz je uzupełnia, ustanawiając ujednolicone ramy zarządzania ryzykiem ICT i ryzykiem operacyjnym w podmiotach finansowych i ich kluczowych dostawcach technologii.
Od 17 stycznia 2025 r. wszystkie podmioty finansowe objęte zakresem stosowania rozporządzenia oraz odpowiedni zewnętrzni dostawcy usług ICT działający w UE muszą spełniać wymogi DORA.
Celem DORA jest zapewnienie, aby organizacje były w stanie zapobiegać zakłóceniom związanym z technologiami informacyjno-komunikacyjnymi, w tym cyberatakami, oraz reagować na nie i usuwać ich skutki, przy jednoczesnym zachowaniu ciągłości świadczenia kluczowych usług finansowych.
Zobacz: Nowe zasady Deloitte dotyczące zgodności z DORA
Kluczowe wnioski
- DORA jest uchwalonym prawem UE, a nie propozycją, którego obowiązkowe przestrzeganie rozpocznie się 17 stycznia 2025 r.
- Dotyczy to podmiotów finansowych UE oraz dostawców usług ICT, którzy je wspierają.
- DORA opiera się na pięciu obowiązkowych filarach obejmujących ryzyko związane z technologiami informacyjno-komunikacyjnymi, obsługę incydentów, testowanie i nadzór zewnętrzny.
- Organizacje muszą ustanowić ustrukturyzowane zdolności w zakresie zarządzania ryzykiem ICT i reagowania na incydenty.
- Poważne incydenty związane z ICT muszą być klasyfikowane i zgłaszane w ściśle określonych terminach regulacyjnych.
- Nadzór nad krytycznymi zewnętrznymi dostawcami usług ICT (CTPP) sprawują europejskie organy nadzoru (ESA).
Co oznacza ustawa o odporności operacyjnej w środowisku cyfrowym (DORA) dla Twojej firmy?
DORA wprowadza istotne zmiany w sposobie zarządzania odpornością cyfrową i operacyjną przez instytucje finansowe. Zgodnie z rozporządzeniem organizacje muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, które obejmują określone polityki, procedury, kontrole i mechanizmy zarządzania.
Podmioty finansowe są zobowiązane do prowadzenia udokumentowanych planów reagowania na incydenty i przywracania sprawności, zawierających szczegółowe informacje na temat sposobu wykrywania zakłóceń w funkcjonowaniu systemów teleinformatycznych, reagowania na nie i przywracania sprawności, w tym incydentów cybernetycznych, takich jak ataki phishingowe, oprogramowanie ransomware lub przerwy w świadczeniu usług.
Ponadto zewnętrzni dostawcy usług ICT obsługujący instytucje finansowe wchodzą w zakres obowiązywania DORA i podlegają zaostrzonym wymogom w zakresie umów, monitorowania i zarządzania ryzykiem.
Uprość Dora z PowerDMARC!
Zakres i stosowanie DORA
DORA ma zastosowanie do:
- Podmioty finansowe działające w UE (w tym banki, ubezpieczyciele, firmy inwestycyjne, fintechy i instytucje płatnicze)
- Zewnętrzni dostawcy usług ICT obsługujący te podmioty finansowe
Dostawcy usług ICT uznani za kluczowych podlegają bezpośredniemu nadzorowi europejskich organów nadzoru (ESA) w celu zapewnienia, że ich odporność i kontrola ryzyka spełniają standardy DORA.
DORA nie oferuje dobrowolnej certyfikacji dla organizacji spoza tego zakresu. Organizacje niefinansowe mogą przyjąć podobne najlepsze praktyki, ale nie można ich uznać za „zgodne z DORA” w rozumieniu rozporządzenia.
Podstawowe wymagania zgodnie z DORA
DORA opiera się na pięciu obowiązkowych filarach:
Zarządzanie ryzykiem ICT
Ustanowienie zasad zarządzania, polityk, kontroli i procedur w celu zarządzania ryzykiem ICT
Zgłaszanie incydentów związanych z ICT
Klasyfikacja poważnych incydentów i obowiązkowe zgłaszanie ich organom regulacyjnym w określonych terminach
(w tym wstępne powiadomienie w ciągu kilku godzin, a następnie aktualizacje i raport końcowy)
Cyfrowe testy odporności operacyjnej
Regularne testowanie systemów, procesów i mechanizmów kontroli w celu identyfikacji słabych punktów
Zarządzanie ryzykiem związanym z usługami zewnętrznymi w zakresie ICT
Zarządzanie ryzykiem wynikającym z outsourcingu usług ICT poprzez umowy, monitorowanie i strategie wyjścia
Wymiana informacji
Zachęcanie do dobrowolnej wymiany informacji o cyberzagrożeniach w sektorze finansowym
Środki te mają na celu zapewnienie, że zarówno podmioty finansowe, jak i ich partnerzy z branży ICT będą mogli bezpiecznie funkcjonować nawet w przypadku poważnych zakłóceń cyfrowych.
Osiągnięcie zgodności z przepisami DORA
Aby spełnić wymagania DORA, organizacje powinny wdrożyć dobrze zdefiniowany program dotyczący ryzyka i odporności ICT, który zazwyczaj obejmuje:
- Bieżące oceny ryzyka i testy podatności
- Procedury wykrywania incydentów, klasyfikacji i reagowania
- Planowanie ciągłości działania i odzyskiwania danych po awarii
- Programy podnoszenia świadomości i szkolenia pracowników
- Nadzór nad dostawcami i podwykonawcami ICT
Udokumentowane i konsekwentnie wdrażane ramy pomagają organizacjom wykazać zgodność z przepisami i budować zaufanie w ekosystemie finansowym.
Ustawa DORA: Główne warunki i cele
Celem DORA jest zapewnienie, aby sektor finansowy UE pozostał bezpieczny, stabilny i odporny w obliczu rosnących zagrożeń cyfrowych. Kluczowe oczekiwania regulacyjne obejmują:
- Jasno określony plan reagowania na incydenty związane z ICT i przywracania sprawności
- Ciągła ocena i ograniczanie ryzyka związanego z technologiami informacyjno-komunikacyjnymi
- Silne zabezpieczenia w sieciach, systemach i infrastrukturze
- Terminowe i uporządkowane zgłaszanie poważnych incydentów związanych z ICT organom regulacyjnym
- Środki zapewniające ciągłość świadczenia usług krytycznych podczas zakłóceń
Krok bliżej w kierunku zgodności z DORA dzięki PowerDMARC
W miarę jak organizacje wzmacniają swoją odporność cyfrową w odpowiedzi na DORA, poczta elektroniczna pozostaje krytycznym wektorem ataku, który należy chronić w ramach szerszej strategii bezpieczeństwa ICT.
Chociaż DORA nie nakłada wyraźnie obowiązku stosowania protokołów uwierzytelniania poczty elektronicznej, wymaga od organizacji zabezpieczenia swoich sieci, systemów i infrastruktury komunikacyjnej. Wdrożenie silnych zabezpieczeń poczty elektronicznej jest zgodne z szerszymi celami DORA w zakresie ograniczania ryzyka i zapobiegania incydentom.
PowerDMARC to wielodostępna platforma SaaS, która pomaga organizacjom wzmocnić bezpieczeństwo kanałów poczty elektronicznej dzięki kompleksowemu pakietowi narzędzi do uwierzytelniania wiadomości e-mail. Posiadamy certyfikaty ISO 27001, SOC 2 Type II i jesteśmy zgodni z RODO. Współpracujemy z organizacjami finansowymi w celu ograniczenia zagrożeń związanych z pocztą elektroniczną i poprawy widoczności ryzyka związanego z uwierzytelnianiem.
Pomagamy:
- Chroń się przed spoofingiem i podszywaniem się za pomocą DMARC
- Zmniejsz ryzyko związane z atakami typu downgrade i przechwytywanie danych dzięki MTA-STS.
- Uzyskaj wgląd w wyniki uwierzytelniania wiadomości e-mail dzięki raportom DMARC.
- Unikaj błędów wyszukiwania SPF dzięki automatycznemu spłaszczaniu SPF
Skontaktuj się z nami już dziś, aby wzmocnić bezpieczeństwo poczty elektronicznej w ramach strategii zarządzania ryzykiem ICT zgodnej z DORA.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Yunes jest liderem zespołu operacyjnego w PowerDMARC z wiedzą ekspercką w zakresie uwierzytelniania i bezpieczeństwa poczty elektronicznej. Yunes jest certyfikowanym przez Microsoft Azure Administrator Associate z certyfikatami CompTIA A+ i wieloma innymi.
Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
- Nieprawidłowy format numeru seryjnego SOA: przyczyny i sposoby rozwiązania - 13 kwietnia 2026 r.
- Jak wysyłać bezpieczne wiadomości e-mail w Gmailu: przewodnik krok po kroku - 7 kwietnia 2026 r.
- Jak wysyłać bezpieczne wiadomości e-mail w programie Outlook: przewodnik krok po kroku - 2 kwietnia 2026 r.
