Rozporządzenie DORA już obowiązuje: wzmocnienie cyberbezpieczeństwa instytucji finansowych

Unia Europejska konsekwentnie wzmacnia ramy prawne cyberbezpieczeństwa, tworząc kompleksowy system regulacji. W dniu 17 stycznia 2025 r. minął termin wdrożenia przepisów rozporządzenia DORA (Digital Operational Resilience Act)[i]. Rozporządzenie te weszło w życie 16 stycznia 2023 roku z obowiązującym 24-miesięcznym okresem przejściowym (vacatio legis).


Rozporządzenie DORA to przełomowy unijny akt prawny, który całkowicie zmieni podejście instytucji finansowych do cyberbezpieczeństwa.


Głównymi odbiorcami w/w rozporządzenia są takie instytucje jak m.in.:

  • banki;
  • firmy inwestycyjne;
  • zakłady ubezpieczeń;
  • instytucje płatnicze;
  • dostawcy usług ICT.

Do najważniejszych celów, na których opiera się wprowadzenie DORA, zaliczyć należy:

  • wzmocnienie odporności cyfrowej sektora finansowego;
  • ujednolicenie standardów cyberbezpieczeństwa w UE;
  • ochrona przed zagrożeniami cybernetycznymi.

Regulacje DORA dotyczą pięciu kluczowych obszarów:

  1. Zarządzanie ryzykiem ICT:
    • Kompleksowe ramy zarządzania ryzykiem;
    • Identyfikacja kluczowych funkcji biznesowych;
    • Dokumentacja zagrożeń cyfrowych.
  2. Zarządzanie incydentami ICT:
    • Procedury zgłaszania naruszeń;
    • Analiza przyczyn incydentów.
  3. Testowanie odporności cyfrowej:
    • Regularne testy penetracyjne;
    • Aktywne poszukiwanie luk w systemach;
  4. Zarządzanie ryzykiem dostawców:
    • Weryfikacja standardów bezpieczeństwa dostawców;
    • Kontrola współpracy z podmiotami zewnętrznymi.
  5. Wymiana informacji o zagrożeniach:
    • Budowanie wspólnej świadomości zagrożeń;
    • Współpraca między instytucjami.

Komisja Nadzoru Finansowego będzie monitorowała wypełnianie wymogów DORA przez podmioty nadzorowane w następujący sposób:

  • Sprawowanie kompleksowego nadzoru nad wykonaniem obowiązków nałożonych przez DORA;
  • Kontrola operacyjnej odporności cyfrowej podmiotów finansowych.

Kto nie wdroży odpowiednich procedur, może spodziewać się dotkliwych kar finansowych dla firm do prawie 21 mln zł lub 10% przychodów netto.


Pełna treść rozporządzenia DORA dostępna jest TUTAJ.


[i] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011.


Materiał prasowy: radca prawny Damian Lipiński.

Zapisz się do newslettera

Chcę zapisać się do newslettera