DORA
DORA (Digital Operational Resilience Act) to unijne rozporządzenie, które ustanawia jednolite wymagania dotyczące odporności cyfrowej sektora finansowego. Jego celem jest zapewnienie, że banki, ubezpieczyciele, firmy inwestycyjne i ich dostawcy technologiczni potrafią wytrzymać, reagować na i odzyskiwać sprawność po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT. DORA wymaga m.in. kompleksowego zarządzania ryzykiem ICT, testowania odporności operacyjnej (w tym zaawansowanych testów penetracyjnych TLPT), zarządzania ryzykiem dostawców ICT, raportowania incydentów oraz wymiany informacji o zagrożeniach.
Rozporządzenie weszło w życie 16 stycznia 2023 r. i jest stosowane bezpośrednio (bez potrzeby transpozycji) od 17 stycznia 2025 r. Oznacza to, że od tej daty podmioty objęte DORA muszą w pełni spełniać jego wymogi.
DORA obejmuje praktycznie cały sektor finansowy: banki, firmy ubezpieczeniowe i reasekuracyjne, firmy inwestycyjne, instytucje płatnicze, instytucje pieniądza elektronicznego, fundusze inwestycyjne, kontrahentów centralnych (CCP), repozytoria transakcji, platformy crowdfundingowe, dostawców usług kryptoaktywów, a także, co kluczowe – zewnętrznych dostawców usług ICT dla tych podmiotów (firmy chmurowe, dostawcy oprogramowania, centra danych, dostawcy usług zarządzanych). Jeśli Twoja firma dostarcza technologię lub usługi IT dla sektora finansowego, DORA najprawdopodobniej dotyczy również Ciebie.
Kary dla instytucji finansowych są ustalane przez krajowe organy nadzoru finansowego (w Polsce – KNF) zgodnie z przepisami krajowymi. Dla krytycznych zewnętrznych dostawców usług ICT objętych bezpośrednim nadzorem unijnym rozporządzenie przewiduje okresowe kary w wysokości do 1% średniego dziennego światowego obrotu za każdy dzień niezgodności – przez okres nieprzekraczający 6 miesięcy. Kary te mogą wynosić do 5 mln EUR. Dodatkowo organy nadzoru mogą zakazać osobom zarządzającym pełnienia funkcji kierowniczych.
Nasz Raport Zgodności Regulacyjnej precyzyjnie zmapuje wymogi DORA do Twojej sytuacji – od zarządzania ryzykiem ICT, przez umowy z dostawcami, po obowiązki testowania i raportowania. Każdy wymóg udokumentowany cytatem z rozporządzenia, ze statusem spełnienia i wskazaniem priorytetów. Idealne przygotowanie do rozmów z regulatorem lub audytorem. Od 499 zł netto, raport gotowy w 48 godzin.
