Od 17 stycznia 2025 r. sektor finansowy w całej Unii Europejskiej stosuje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego — w skrócie DORA (Digital Operational Resilience Act). DORA porządkuje na poziomie unijnym wymogi z zakresu bezpieczeństwa ICT, zarządzania incydentami ICT i nadzoru nad dostawcami usług IT obsługującymi instytucje finansowe. Z naszego doświadczenia w pracy z fintechami i instytucjami płatniczymi widzimy, że to jeden z najszerszych regulacyjnie projektów ostatnich lat — i jednocześnie jeden z najsłabiej rozpoznanych przez podmioty obowiązane.

Ten artykuł otwiera cykl 18 wpisów, w których krok po kroku omawiamy konkretne obowiązki wynikające z DORA — od zakresu zastosowania, przez ramy zarządzania ryzykiem ICT, aż po sankcje.

Co to jest DORA?

DORA (Digital Operational Resilience Act) to rozporządzenie UE 2022/2554 nakładające na podmioty finansowe obowiązek operacyjnej odporności cyfrowej, stosowane bezpośrednio od 17 stycznia 2025 r.

Pełna nazwa aktu to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego oraz zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U.UE.L.2022.333.1).

Aby osiągnąć wysoki wspólny poziom operacyjnej odporności cyfrowej, niniejsze rozporządzenie ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych (art. 1 ust. 1 DORA).

Co reguluje DORA?

DORA reguluje pięć obszarów: zarządzanie ryzykiem ICT, zarządzanie incydentami, testowanie odporności cyfrowej, zarządzanie ryzykiem dostawców zewnętrznych oraz wymianę informacji o cyberzagrożeniach.

ObszarRozdział DORAZakres artykułów
Zarządzanie ryzykiem ICTRozdział IIart. 5–16
Zarządzanie incydentami ICT, ich klasyfikacja i zgłaszanieRozdział IIIart. 17–23
Testowanie operacyjnej odporności cyfrowejRozdział IVart. 24–27
Zarządzanie ryzykiem dostawców zewnętrznychRozdział Vart. 28–44
Wymiana informacji o cyberzagrożeniachRozdział VIart. 45

Trzy filary DORA

W naszej ocenie spośród obszarów regulowanych przez DORA trzy są dla podmiotu obowiązanego najistotniejsze operacyjnie — i tak też ułożyliśmy cykl.

Filar 1 — zarządzanie ryzykiem ICT
Każdy podmiot obowiązany musi mieć udokumentowane, kompleksowe ramy zarządzania ryzykiem związanym z ICT (art. 6 DORA), obejmujące strategię odporności cyfrowej, identyfikację zasobów, ochronę, wykrywanie, reagowanie, odtwarzanie, uczenie się i komunikację. Patrz artykuły 7, 8, 9 i 10 tego cyklu.
Filar 2 — zarządzanie incydentami ICT
Podmiot ma obowiązek wdrożyć proces wykrywania, klasyfikacji i zgłaszania poważnych incydentów ICT do właściwego organu (art. 17–23 DORA), z odrębnym reżimem dla incydentów płatniczych (art. 23 DORA). Patrz artykuły 11 i 12.
Filar 3 — testowanie operacyjnej odporności cyfrowej
Podmiot musi okresowo testować ramy zarządzania ryzykiem (art. 24–27 DORA), z dodatkowym obowiązkiem zaawansowanego testowania opartego na zagrożeniach (TLPT) co najmniej raz na trzy lata dla wyznaczonych podmiotów. Patrz artykuły 13 i 14.

Czwarty obszar — zarządzanie ryzykiem dostawców zewnętrznych — równie ważny i objętościowo największy w samym tekście rozporządzenia, omawiamy w częściach 15 (outsourcing ICT), 16 i 17 (kluczowi zewnętrzni dostawcy).

Kogo dotyczy DORA?

DORA dotyczy bardzo szerokiego kręgu podmiotów finansowych, m.in. instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, CASP, ZAFI i pośredników ubezpieczeniowych — oraz zewnętrznych dostawców usług ICT.

Zakres podmiotowy regulują art. 2 ust. 1 lit. a–u DORA (21 kategorii podmiotów). Pełne rozwinięcie zakresu z analizą „czy DORA Cię dotyczy" — w artykule 2. Warto też pamiętać, że DORA jest lex specialis wobec NIS2 dla podmiotów finansowych — zob. relację DORA i NIS2.

Co znaczy DORA dla zarządu instytucji finansowej?

Za prawidłowe wdrożenie DORA odpowiada osobiście organ zarządzający podmiotu finansowego — art. 5 ust. 2 DORA lokuje na nim ostateczną odpowiedzialność za ramy zarządzania ryzykiem ICT.

Organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie (art. 5 ust. 2 DORA).

Z naszego doświadczenia ten przepis jest często niedoceniany — a jest to jeden z fundamentów rozporządzenia. Szczegóły obowiązków zarządu omawiamy w artykule 6.

Kiedy stosujemy DORA?

DORA jest stosowana od 17 stycznia 2025 r. (art. 64 akapit drugi DORA), a weszła w życie 16 stycznia 2023 r.

Wynika to wprost z art. 64 DORA: „Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. […] Niniejsze rozporządzenie stosuje się od dnia 17 stycznia 2025 r.". Z punktu widzenia podmiotu obowiązanego — termin ten już minął. Jeżeli w Twojej organizacji dziś, w maju 2026 r., wciąż brakuje udokumentowanych ram zarządzania ryzykiem ICT, polityki kopii zapasowych, procedury zgłaszania incydentów lub rejestru umów z dostawcami ICT — działasz w stanie naruszenia, narażając się na kary administracyjne.

Najczęstsze błędy przy wdrożeniu DORA

  • Traktowanie DORA jako projektu wyłącznie IT — bez wpięcia w organ zarządzający (art. 5 DORA).
  • Stosowanie wyłącznie istniejących polityk bezpieczeństwa bez ich formalnego osadzenia w ramach zarządzania ryzykiem ICT (art. 6 DORA).
  • Pomijanie wymogu rejestru ustaleń umownych z dostawcami ICT (art. 28 ust. 3 DORA).
  • Brak strategii wyjścia dla umów obejmujących krytyczne lub istotne funkcje (art. 28 ust. 8 DORA).
  • Brak procesu raportowania poważnych incydentów do organu nadzoru (art. 19 DORA).

Co dalej w cyklu?