Rozporządzenie DORA w 2025 roku. Kogo dotyczy i jak uniknąć kar?

W szybko zmieniającym się technologicznie świecie sektor finansowy stoi przed rosnącymi zagrożeniami związanymi z cyberzagrożeniami. Aby zapewnić bezpieczeństwo i ciągłość działania instytucji finansowych, Unia Europejska wprowadziła Rozporządzenie o Cyfrowej Odporności Operacyjnej, znane jako DORA (Digital Operational Resilience Act). Jest to kluczowa regulacja, która nakłada na firmy związane z sektorem finansowym obowiązek zarządzania ryzykiem ICT (Information and Communication Technologies) oraz zapewnienia odpowiednich mechanizmów ochrony przed cyberprzestępcami.

W poniższym artykule dowiesz się czym jest Rozporządzenie DORA, jak wpłynęło na sektor finansowy, a także jakie wymogi stawia przed instytucjami i jakie korzyści przynosi dla bezpieczeństwa całego systemu finansowego w Unii Europejskiej.

Zapraszamy do lektury!

Rozporządzenie DORA

Czym jest Rozporządzenie DORA?

Rozporządzenie DORA (ang. Digital Operational Resilience Act) to unijny akt prawny, który ma na celu wzmocnienie odporności operacyjnej sektora finansowego oraz dostawców usług ICT w Unii Europejskiej, a dokładniej uodpornienia ich na zagrożenia cyfrowe, poprzez testowanie ich odporności i raportowanie zaistniałych incydentów. Rozporządzenie zostało przyjęte przede wszystkim w celu zwiększenia bezpieczeństwa cyfrowego i stabilności systemu finansowego w Unii Europejskiej.

Rozporządzenie DORA weszło w życie 16 stycznia 2023 roku, jednak jego przepisy obowiązują od 17 stycznia 2025 roku. Od tego momentu podmioty objęte powyższą regulacją mają obowiązek dostosować swoje procedury i systemy do nowych wymogów.

Rekrutacja specjalisty IT do wdrażania wymogów Rozporządzenia DORA

W Rozporządzeniu DORA bardzo ważnym czynnikiem jest zatrudnienie odpowiedniego specjalisty IT, który będzie potrafił wdrażać je do Twojej firmy.

Wymaganymi kompetencjami i doświadczeniem u specjalisty IT do wdrożenia Rozporządzenia DORA są między innymi: Dogłębne zrozumienie przepisów DORA, w tym wymagań dotyczących zarządzania ryzykiem ICT, a także praktyczna wiedza na temat identyfikacji, klasyfikacji i dokumentowania funkcji biznesowych związanych z ICT oraz umiejętność oceny zagrożeń i podatności w tym obszarze.

Chcesz wiedzieć jakie jeszcze kompetencje powinien posiadać odpowiedni specjalista IT do pracy z Rozporządzeniem DORA? Sprawdź naszą przykładową ofertę pracy lub skontaktuj się z nami na adres kontakt@nexttechnology.io, a my odpowiemy na wszelkie Twoje pytania!

Główne cele i wymagania Rozporządzenia DORA

Instytucje finansowe poprzez Rozporządzenie DORA zostały zobowiązane do wdrożenia kompleksowych ram zarządzania ryzykiem związanym z technologią informacyjno-komunikacyjną (ICT), obejmuje to przede wszystkim tworzenie zasad bezpieczeństwa, sposoby wykrywania zagrożeń, a także plany działania na wypadek awarii. Przepisy określają w jaki sposób klasyfikować, monitorować i zgłaszać incydenty ICT do odpowiednich instytucji, a z kolei firmy muszą wdrożyć systemy, które pozwolą szybko reagować na cyberzagrożenia i ograniczać ich skutki.

Aby zapewnić wysoką odporność operacyjną, przepisy nakładają obowiązek regularnego testowania systemów i aplikacji teleinformatycznych. Przynajmniej raz w roku należy przeprowadzać kompleksowe testy, które sprawdzą poziom zabezpieczeń i wykryją ewentualną podatność na potencjalne cyberataki.

Bezpieczna współpraca z dostawcami i wymiana informacji dzięki Rozporządzeniu DORA

Instytucje finansowe muszą oceniać i kontrolować ryzyko związane z dostawcami usług ICT, ponieważ Rozporządzenie DORA zobowiązuje je do sprawdzania poziomu bezpieczeństwa kontrahentów i ograniczania zagrożeń związanych z outsourcingiem. Ważnym celem tego rozporządzenia jest także dzielenie się informacjami o cyberzagrożeniach, aby zwiększyć nie tylko bezpieczeństwo jednej firmy, ale całego sektora finansowego.

(źródło: parp.gov.pl)

Jakie są konsekwencje nieprzestrzegania Rozporządzenia DORA?

Nieprzestrzeganie Rozporządzenia DORA wiąże się z surowymi konsekwencjami, w tym karami finansowymi i administracyjnymi.

Firmy mogą zostać obciążone grzywnami sięgającymi 20 mln EUR lub 10% swojego rocznego obrotu, a dostawcy ICT – do 1% dziennego obrotu za każdy dzień naruszenia rozporządzenia. Możliwe są także: cofnięcie zezwolenia na prowadzenie działalności, co skutkuje wyeliminowaniem firmy z rynku, zakaz pełnienia funkcji kierowniczych w instytucjach finansowych dla kadry kierowniczej (czasowy lub stały), publiczne nagany, które mogą szkodzić reputacji marki i prowadzić do utraty klientów, a także obowiązek audytu i wdrożenia planu naprawczego.

Dodatkowo, naruszenia mogą skutkować utratą reputacji oraz karami dla osób odpowiedzialnych, nawet do 5 mln EUR.

Jeśli chcesz zatrudnić Specjalistę ds. Zarządzania ICT, który prawidłowo wdroży DORA w Twojej organizacji, to skontaktuj się z nami na kontakt@nexttechnology.io.

Jakie sektory obejmuje Rozporządzenie DORA?

Rozporządzenie DORA obejmuje szeroki zakres sektorów finansowych w Unii Europejskiej. Sektorami objętymi przez Rozporządzenie DORA są: Operatorzy infrastruktury rynku finansowego, dostawcy krytycznych usług ICT (usługi chmurowe, przetwarzanie danych) agencje ratingowe, dostawcy usług crowdfundingowych, dostawcy usług związanych z kryptowalutami, zarządzający aktywami (fundusze inwestycyjne), repozytoria transakcji, centralni kontrpartnerowie (CCP), giełdy i platformy obrotu, instytucje pieniądza elektronicznego, instytucje płatnicze (operatorzy systemów płatności), zakłady ubezpieczeń i reasekuracji, firmy inwestycyjne (zarządzanie portfelem, doradztwo, wykonywanie zleceń), instytucje kredytowe (banki, kasy oszczędnościowe, banki spółdzielcze).

Każdy z tych obszarów musi wprowadzić system zarządzania ryzykiem ICT, który obejmuje m.in. zgłaszanie incydentów, testowanie odporności na cyberzagrożenia oraz kontrolowanie współpracy z zewnętrznymi dostawcami. Chodzi przede wszystkim o poprawę bezpieczeństwa w sektorze finansowym i lepszą ochronę przed zagrożeniami w sieci.

Wpływ Rozporządzenia DORA na sektor finansowy

Rozporządzenie DORA ma duży wpływ w szczególności na sektor finansowy, wprowadzając jasne zasady dotyczące zarządzania ryzykiem ICT i poprawiając bezpieczeństwo instytucji finansowych, reagując na potrzeby ochrony przed cyberprzestępcami. Najważniejszymi punktami Rozporządzenia DORA w kierunku sektora finansowego są:

  1. Zwiększenie odporności na zagrożenia, gdzie instytucje finansowe muszą wprowadzić systemy do zarządzania ryzykiem ICT i przeprowadzać testy, aby znaleźć słabe punkty, które mogą być wykorzystane przez cyberprzestępców.
  2. Jednolite wymagania Rozporządzenia DORA wprowadzają te same zasady dla wszystkich instytucji, co zmusza mniejsze firmy do inwestowania w infrastrukturę i szkolenia, aby spełnić te wymagania.
  3. Lepsze raportowanie incydentów wprowadza prostszy system zgłaszania incydentów, co pozwala szybciej reagować na zagrożenia i lepiej zarządzać ryzykiem.
  4. Nadzór nad dostawcami usług ICT zapewnia, że zewnętrzni dostawcy usług ICT spełniają wysokie standardy bezpieczeństwa, co zmniejsza ryzyko związane z outsourcingiem.
  5. Większe zaufanie klientów dzięki lepszemu zabezpieczeniu danych. Klienci i inwestorzy mają wówczas większe zaufanie do sektora finansowego.
  6. Kary za brak zgodności dla firm, które nie spełniają wymagań DORA. Firmy mogą zostać ukarane karami finansowymi i zmuszone (nawet publicznie) do naprawienia błędów.

Dzięki wdrożeniu Rozporządzenia DORA, Unia Europejska dąży do zwiększenia bezpieczeństwa i stabilności systemu finansowego.

Rozporządzenie DORA – Wsparcie Next Technology Professionals

Jeśli nadal masz wątpliwości co do Rozporządzenia DORA i nie wiesz jak wdrożyć je do swojej firmy lub szukasz wsparcia w jego implementacji – to skontaktuj się z nami 🙂

Jako agencja rekrutacyjna i outsourcingowa zajmujemy się nie tylko sektorem IT, ale także finansami, dlatego też posiadamy szeroką wiedzę z rekrutacji Specjalistów wdrażających Rozporządzenie DORA i pomożemy rozwiać Twoje wszelkie wątpliwości. Naszą gwarancję niezawodności możesz sprawdzić w rekomendacjach od naszych klientów.

Skontaktuj się z nami poprzez mail kontakt@nexttechnology.io, formularz kontaktowy lub poprzez bezpłatną konsultację. Odpowiadamy w ciągu 24 godzin!