DORA (Digital Operational Resilience Act) to unijne rozporządzenie, którego celem jest wprowadzenie jednolitych zasad w zakresie odporności cyfrowej dla całego sektora finansowego. Obejmuje ono banki, instytucje płatnicze, zakłady ubezpieczeń, firmy inwestycyjne, fundusze, a także dostawców usług ICT, w tym dostawców chmurowych. Rozporządzenie nakłada na podmioty finansowe obowiązek zapewnienia, że ich systemy i procesy są przygotowane na zakłócenia technologiczne oraz potrafią na nie skutecznie reagować.
DORA koncentruje się na pięciu głównych obszarach: zarządzaniu ryzykiem ICT, raportowaniu i reagowaniu na incydenty, testach odporności cyfrowej, zasadach współpracy z dostawcami usług technologicznych oraz wymianie informacji o zagrożeniach. Nowe ramy prawne mają na celu nie tylko wzmocnienie bezpieczeństwa instytucji finansowych, ale także zwiększenie stabilności całego rynku unijnego i ochronę interesów klientów.
Choć rozporządzenie DORA stosujemy bezpośrednio od 17 stycznia 2025 r., to dopiero 7 sierpnia 2025 r. weszła w życie ustawa wdrażająca regulację do polskiego porządku prawnego. Vacatio legis trwało zaledwie jeden dzień, a przepisy krajowe zaczęły obowiązywać niemal natychmiast. W praktyce oznacza to, że:
- Komisja Nadzoru Finansowego zyskała wyraźną podstawę prawną do kontroli przestrzegania obowiązków wynikających z DORA,
- KNF może stosować sankcje, w tym kary pieniężne, wobec podmiotów, które nie zapewnią zgodności z regulacją.
To ważny sygnał dla instytucji finansowych, że czas na przygotowania dobiegł końca. Teraz liczy się realne wdrożenie procedur i możliwość wykazania ich skuteczności podczas kontroli. W pierwszej kolejności organizacje powinny zweryfikować: ramy zarządzania ryzykiem ICT, polityki bezpieczeństwa, procedury reagowania na incydenty, plany ciągłości działania oraz umowy z dostawcami technologii.
Wprowadzenie polskiej ustawy zamyka etap przygotowań i otwiera etap praktycznego stosowania DORA pod okiem nadzoru. To także moment, w którym temat cyberodporności powinien stać się jednym z kluczowych elementów zarządzania ryzykiem w sektorze finansowym.
DORA nie jest już zapowiedzią – to codzienność regulacyjna, z którą instytucje muszą mierzyć się tu i teraz.
Jeśli masz pytania dotyczące wdrożenia DORA lub jej wpływu na działalność Twojej organizacji, skontaktuj się z Adrianą Zalewską-Werrą, radcą prawnym w zespole nowych technologii DSK.
Kontakt: a.werra@dsk-kancelaria.pl
