Rozporządzenie UE o cyfrowej odporności operacyjnej (DORA)

Digital Operational Resilience Act (rozporządzenie DORA) ma na celu zwiększenie odporności operacyjnej, zmniejszenie zagrożeń informatycznych i zwiększenie zdolności firm finansowych w UE do zapobiegania incydentom związanym z ICT i radzenia sobie z nimi. Wejdzie ona w życie 17 stycznia 2025 r. w ramach wysiłków UE na rzecz uregulowania sektora cyfrowego.

Regulacja DORA ma zastosowanie do wszystkich instytucji finansowych w UE, ale jej zakres obejmuje każdą firmę finansową, która współpracuje z klientami z UE lub prowadzi interesy z firmami finansowymi z UE. W przypadku niektórych firm będzie to wymagało dodatkowych środków bezpieczeństwa IT – nawet jeśli już przestrzegają one standardów bezpieczeństwa informacji, w tym ISO 27001 lub COBIT. 

Co trzeba wiedzieć o rozporządzeniu DORA?

DORA ma zastosowanie do instytucji finansowych, w tym m.in. instytucji kredytowych i płatniczych, firm inwestycyjnych, firm ubezpieczeniowych i pośredników, funduszy emerytalnych i platform handlowych. 

Rozporządzenie DORA ustanawia ramy regulacyjne dotyczące cyfrowej odporności operacyjnej, obejmujące zarządzanie ryzykiem IT, obowiązkowe zgłaszanie incydentów, dokumentację planowania testów, zarządzanie ryzykiem stron trzecich, a także szkolenia i zarządzanie personelem. Zgodność z przepisami zapewni firmom posiadanie odpowiednich systemów zarządzania, aby wytrzymać, reagować i odzyskać sprawność po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z technologiami informacyjno-komunikacyjnymi, w tym za pośrednictwem stron trzecich.

Obowiązki firm dotkniętych zmianami, wynikających z regulacji DORA, można z grubsza podzielić na pięć grup:

  • (ICT) zarządzanie ryzykiem,
  • testowanie cyfrowej odporności operacyjnej,
  • zarządzanie bezpieczeństwem dostawców usług IT (ryzyko stron trzecich w ICT),
  • (ICT) Zarządzanie incydentami (klasyfikacja i raportowanie),
  • wymiana informacji (np. wymiana informacji o cyberzagrożeniach).
Pobierz nasz praktyczny przewodnik* po DORA

*Przewodnik dostępny jedynie w języku angielskim

Znaczenie zgodności z rozporządzeniem DORA dla organizacji

Chociaż DORA jest rozporządzeniem UE, ma ona również wpływ na zewnętrznych dostawców ICT. DORA zezwala firmom na zawieranie umów wyłącznie z dostawcami, którzy spełniają wymogi bezpieczeństwa informacji określone w jej ramach. 

Obejmuje to dostawców usług w chmurze, usług sieciowych, usług sprzętowych i doradztwa w zakresie ICT, świadczących usługi na rzecz firm finansowych z UE.

DORA to złożone rozporządzenie, które zwiększa obowiązki wielu organizacji. Pochopne lub niedoinformowane podejście może nie tylko narazić Państwa organizację na ryzyko, ale także konsekwencje prawne i kary finansowe.

Każde naruszenie wymogów może skutkować grzywną w wysokości do 2% całkowitego rocznego światowego obrotu lub do 1% średniego dziennego obrotu firmy na całym świecie.

USŁUGI W ZAKRESIE ZGODNOŚCI Z PRZEPISAMI regulacji DORA ŚWIADCZONE PRZEZ BUREAU VERITAS

Nasi eksperci z Secura, firmy Bureau Veritas, oferują szereg usług wspierających zgodność z DORA, niezależnie od tego, gdzie znajdują się Państwo na swojej drodze do cyberbezpieczeństwa.

  • Szkolenie dla zarządu z DORA

    Regulacja DORA wymaga, aby dyrektorzy przeszli odpowiedni kurs w celu wykazania skutecznego zarządzania kwestiami cyberbezpieczeństwa. Opracowane przez naszych ekspertów szkolenie w zakresie DORA, przekrojowo identyfikujące wszystkie obowiązki, które organizacje muszą zapewnić. Może ono zostać przeprowadzone w wybranej przez Państwa lokalizacji.

  • Ocena luki DORA

    Nasz zespół specjalistów może przeprowadzić ocenę lub w zakresie zgodności z DORA, zapewniając szczegółowy przegląd obecnego poziomu dojrzałości i zgodności z wymaganiami rozporządzenia. Wynikiem analizy są praktyczne rekomendacje, określające krok po kroku jakie działania dostosowawcze należy podjąć.

  • Usługi wdrożeniowe DORA

    Oferujemy również szereg usług, które pomogą Państwu wdrożyć wymagania DORA. Konkretny zakres naszego wsparcia zależy od wyników analizy luk przeprowadzonej w Państwa organizacji, ale może obejmować m.in takie usługi, jak praktyczne szkolenie zespołu wdrożeniowego lub opracowanie szczegółowego planu działań wdrożeniowych w zakresie dostosowania do wymagań DORA.

Pobierz broszurę* dotyczącą usług DORA

*Broszura dostępna jedynie w języku angielskim

Jak osiągnąć zgodność z przepisami DORA? Poradnik krok po kroku

Jeśli wiedzą już Państwo, że Państwa organizacja podlega przepisom DORA lub mają Państwo klientów z siedzibą w UE, którzy będą podlegać tym przepisom, ważne jest, aby odpowiednio wcześnie rozpocząć przygotowania do zapewnienia zgodności. Porozmawiaj z naszymi ekspertami ds. cyberbezpieczeństwa, aby dowiedzieć się więcej na temat wstępnej oceny i planowania DORA, a także jak wdrożyć strategie i rozwiązania potrzebne do zarządzania ryzykiem i osiągnięcia zgodności. 

Skorzystaj 

z naszej oferty

Wyślij zapytanie

Jakie są korzyści ze zgodności z przepisami DORA?

Zgodność jest obowiązkowa dla niektórych organizacji, ale nawet gdy nie mamy takiego obowiązku, wdrożenie wymagań regulacji DORA przyniesie takie korzyści jak:

  • zwiększony poziom cyberbezpieczeństwa i lepsze planowanie reakcji na zagrożenia teleinformatyczne,
  • lepsze zrozumienie zagrożeń teleinformatycznych w całej organizacji,
  • większa kontrola nad łańcuchami dostaw ICT,
  • lepsze raportowanie incydentów i wymiana informacji.

Dlaczego warto wybrać Bureau Veritas dla swoich potrzeb w zakresie zgodności z przepisami DORA?

Doświadczony zespół z wieloletnim doświadczeniem w zakresie zarządzania ryzykiem i zgodności z przepisami.

Szereg usług opracowanych specjalnie w celu zaspokojenia Państwa potrzeb w zakresie DORA i pomocy w uzyskaniu zgodności z DORA.

Eksperci ds. cyberbezpieczeństwa w dziedzinie ludzi, procesów i technologii.

Pojedynczy punkt kontaktowy i sprawdzone podejście partnerskie.

Jasna mapa drogowa, aby stać się i pozostać zgodnym z DORA.

Wsparcie globalnej wiedzy Bureau Veritas, światowego lidera w dziedzinie testowania, inspekcji i certyfikacji.

  • W jaki sposób DORA odnosi się do istniejących norm, takich jak ISO 27001?

    Istniejące ramy ryzyka, takie jak NIST i ISO 27001, zawierają wytyczne dotyczące sposobu przestrzegania różnych przepisów, poprzez procesy takie jak szkolenie personelu, przeprowadzanie audytów i testów, korzystanie z zarządzania incydentami i zarządzania ryzykiem w łańcuchu dostaw. Tego rodzaju ramy ryzyka są dobrym dodatkiem do DORA, ale zgodność z tymi standardami nie oznacza automatycznej zgodności z DORA, która jest regulacją samą w sobie.

  • Jak DORA zmieniła wymagania dotyczące reagowania na incydenty?

    Zarządzanie incydentami jest kluczowym aspektem zapewnienia bezpieczeństwa i ciągłości usług. 
    Zgodnie z DORA, firmy muszą posiadać plany komunikacji z pracownikami, zewnętrznymi interesariuszami, mediami i klientami w przypadku wystąpienia incydentu, przestrzegając ścisłych terminów. Należy również ustanowić wewnętrzne procedury eskalacji. 

    Ponadto poważne incydenty muszą być zgłaszane odpowiedniemu kierownictwu wyższego szczebla i „organowi zarządzającemu”, z wyjaśnieniem wpływu, reakcji i dodatkowych działań, które należy ustanowić w wyniku incydentu.

  • Jaka jest oś czasu DORA?

    Rozporządzenie DORA oficjalnie weszło w życie 16 stycznia 2023 roku, jednak jego pełne stosowanie rozpocznie się 17 stycznia 2025 roku. W międzyczasie obowiązuje 24-miesięczny okres vacatio legis, który daje instytucjom finansowym czas na dostosowanie swoich działań do nowych wymogów.

Wypełnij formularz kontaktowy
Jak możemy Ci pomóc?
Proszę zaznaczyć przynajmniej jedną opcję wyboru

Zapoznaj się z naszą Polityką prywatności.

* Pola wymagane