Wyobraź sobie, że prowadzisz instytucję finansową. Wszystko działa, klienci zadowoleni, dane chronione – przynajmniej tak Ci się wydaje. Aż tu nagle wchodzi DORA – unijne rozporządzenie, które nie bierze jeńców i od 2025 roku wyznacza nowe, rygorystyczne standardy cyberbezpieczeństwa. I nie chodzi tylko o „kilka dodatkowych procedur”. Chodzi o fundamentalną zmianę podejścia do ryzyka ICT – i to nie tylko w bankach, ubezpieczycielach czy funduszach. Jeśli współpracujesz z sektorem finansowym jako dostawca usług technologicznych, też jesteś na radarze DORA.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, znane jako DORA (Digital Operational Resilience Act), to odpowiedź Unii Europejskiej na rosnące zagrożenia cyfrowe. Jego głównym celem jest zapewnienie, by cały sektor finansowy – i jego dostawcy technologiczni – potrafił skutecznie przeciwdziałać incydentom ICT, reagować na nie i je raportować. Ale uwaga: DORA nie dotyczy wyłącznie klasycznych podmiotów finansowych. Obowiązki obejmują również tzw. „zewnętrznych dostawców ICT”, czyli firmy świadczące usługi technologiczne na rzecz banków, firm inwestycyjnych czy ubezpieczycieli. Jeśli dostarczasz oprogramowanie, infrastrukturę IT, chmurę lub outsourcingujesz jakiekolwiek procesy ICT – możesz podlegać przepisom DORA.
Brzmi poważnie? I słusznie. Bo za niedopełnienie obowiązków wynikających z DORA grożą konkretne i dotkliwe sankcje. W przypadku poważnych naruszeń organ nadzoru może nałożyć:
To nie jest tylko straszak. Unia Europejska chce realnie wymusić, by bezpieczeństwo cyfrowe stało się integralną częścią działania każdej organizacji – zarówno tych regulowanych, jak i wspierających je technologicznie.
Nie wystarczy „wdrożyć politykę bezpieczeństwa”. DORA wymaga spójnego i mierzalnego podejścia do całego cyklu życia systemów ICT, od planowania po reagowanie na incydenty. A to wiąże się z:
Dla wielu firm może to być ogromne wyzwanie organizacyjne. W grę wchodzą nie tylko koszty (nowe systemy, personel, szkolenia), ale też zmiana kultury w firmie. W DORA nie chodzi o odfajkowanie wymagań – tu chodzi o trwałą zmianę sposobu myślenia o ryzyku technologicznym.
Właśnie na tym polega największa trudność: DORA wymusza zbudowanie prawdziwej cyberkultury w organizacji. Takiej, która nie kończy się na dziale IT, ale obejmuje zarząd, pracowników liniowych, podwykonawców i partnerów. DORA promuje podejście „security by design” i „resilience by default” – odporność musi być zaplanowana, a nie dobudowana na końcu. I nie ma znaczenia, czy jesteś dużym graczem na rynku, czy mniejszym dostawcą usług chmurowych. Jeśli Twoja działalność jest powiązana z sektorem finansowym – musisz udowodnić, że potrafisz działać zgodnie z DORA.
Nie ma już czasu na zwlekanie. Organy nadzoru krajowego i europejskiego (jak EBA, ESMA i EIOPA) mają jasno określone kompetencje, a rejestr nadzorowanych dostawców ICT właśnie powstaje. Jeśli nie chcesz ryzykować poważnych konsekwencji, zacznij od:
Im szybciej podejmiesz działania, tym większa szansa, że unikniesz nieprzyjemnych konsekwencji. Bo jak pokazuje praktyka unijnych regulacji – DORA nie będzie tylko kolejnym „zaleceniem”. To obowiązek. A za jego niedopełnienie płaci się słono.
Autor: Łukasz Jabkowski
