
Czym jest rozporządzenie DORA?
Digital Operational Resilience Act (DORA) to rozporządzenie wprowadzone przez Unię Europejską. Ma na celu wzmocnienie cyfrowej odporności operacyjnej w sektorze finansowym i ujednolicenie zasad zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (skrót ICT). Rozporządzenie to weszło w życie 17 stycznia 2025 roku i obejmuje szeroki wachlarz podmiotów. Objęte nim są banki, firmy ubezpieczeniowe, fundusze inwestycyjne, instytucje płatnicze oraz dostawcy usług ICT.
Rozporządzenie DORA ma kluczowe znaczenie w czasach dynamicznego rozwoju technologii i rosnących zagrożeń w obszarze cyberbezpieczeństwa. DORA nakłada na firmy finansowe (i nie tylko!) obowiązek budowy silnych ram zarządzania ryzykiem związanym z ICT. Ma to zapewnić ochronę zarówno firm, jak i ich klientów. Jednym z jej celów jest także ograniczenie ryzyka zakłóceń operacyjnych, które mogłyby wpływać na stabilność finansową.
Czym są systemy ICT?
Systemy ICT (Information and Communication Technology) to rozwiązania technologiczne, które umożliwiają przetwarzanie, przechowywanie, przesyłanie i zarządzanie informacją. Obejmują zarówno sprzęt, jak i oprogramowanie oraz infrastrukturę sieciową, która wspiera operacje biznesowe i procesy decyzyjne. Systemy te są fundamentem funkcjonowania współczesnych instytucji finansowych. Ich niezawodność i bezpieczeństwo mają kluczowe znaczenie dla stabilności całego sektora.
Przykłady systemów ICT w sektorze finansowym:
- Systemy bankowe: aplikacje obsługujące transakcje bankowe, systemy księgowe oraz aplikacje mobilne dla klientów.
- Systemy płatności: platformy umożliwiające przetwarzanie płatności elektronicznych, takie jak terminale POS czy bramki płatnicze online.
- Infrastruktura chmurowa: usługi przechowywania danych i zarządzania nimi w środowisku chmurowym, wykorzystywane przez instytucje finansowe do skalowalności operacji.
- Systemy analityczne i raportujące: narzędzia wspierające analizę danych finansowych i generowanie raportów wymaganych przez organy nadzorcze.
- Systemy zabezpieczeń: rozwiązania do ochrony przed cyberzagrożeniami, takie jak firewalle, systemy wykrywania intruzów (IDS) czy szyfrowanie danych.
W kontekście DORA, zarządzanie ryzykiem związanym z ICT oznacza konieczność szczególnej dbałości o bezpieczeństwo, niezawodność i zgodność tych systemów z regulacjami.
Wymagania stawiane zespołom IT oraz firmom
DORA nakłada szereg obowiązków na instytucje finansowe, szczególnie w obszarze zarządzania ryzykiem ICT. Możemy wymienić między innymi zarządzanie incydentami, testowanie odporności cyfrowej, monitorowanie środowiska czy też dokumentację umów.
W następnych artykułach opiszemy, jak spełnić wymagania konkretnych artykułów rozporządzenia DORA, które są stawiane zespołom IT oraz firmom i instytucjom.
23.01.2025
Autor: Stanisław Rogasik
Kategorie: Aktualności Artykuł

Stanisław Rogasik
ISAM Team Leader
Polecane artykuły

Rozporządzenie DORA w Polsce
