Czym jest DORA i kogo dotyczy?

Rozporządzenie DORA (Digital Operational Resilience Act, Rozporządzenie 2022/2554) weszło w życie 16 stycznia 2023 roku, a jego przepisy stosuje się od 17 stycznia 2025 roku. DORA ustanawia jednolite wymagania dotyczące cyfrowej odporności operacyjnej dla podmiotów finansowych w całej Unii Europejskiej.

Zakres podmiotowy DORA jest bardzo szeroki. Obejmuje m.in.:

• Instytucje kredytowe (banki).
• Zakłady ubezpieczeń i reasekuracji.
• Firmy inwestycyjne i zarządzający aktywami.
• Instytucje płatnicze i instytucje pieniądza elektronicznego.
• Dostawców usług kryptoaktywów (CASP).
• Centralne depozyty papierów wartościowych i izby rozliczeniowe.
• Administratorów wskaźników referencyjnych.
• Agencje ratingowe i audytorów ustawowych.
• Zewnętrznych dostawców ICT świadczących usługi na rzecz podmiotów finansowych (w tym dostawcy chmury, oprogramowania i centrów danych).

Mniejsze podmioty (mikroprzedsiębiorstwa, małe instytucje płatnicze, małe firmy inwestycyjne) podlegają uproszczonemu reżimowi DORA — ale nie są całkowicie wyłączone.

Pięć filarów DORA: co musi wdrożyć podmiot finansowy

DORA organizuje wymagania wokół pięciu obszarów tematycznych:

• Zarządzanie ryzykiem ICT (art. 5–16): Podmioty finansowe muszą posiadać kompleksowe ramy zarządzania ryzykiem ICT z jasno określonymi rolami (np. organ zarządzający ponosi bezpośrednią odpowiedzialność). Wymagane jest mapowanie zasobów ICT, klasyfikacja aktywów informacyjnych i regularne przeglądy ryzyka.
• Zarządzanie incydentami ICT (art. 17–23): Obowiązkowe wdrożenie procesu wykrywania, klasyfikacji i zgłaszania incydentów. Poważne incydenty ICT muszą być zgłaszane do właściwego organu nadzorczego (w Polsce: KNF) w ściśle określonych terminach: raport wstępny w ciągu 4 godzin od klasyfikacji (max 24h od wykrycia), raport pośredni i finalny w kolejnych terminach.
• Testowanie odporności cyfrowej (art. 24–27): Coroczne testy podstawowe (testy podatności, skanowanie infrastruktury) dla wszystkich podmiotów. Co trzy lata zaawansowane testy TLPT (Threat-Led Penetration Testing) dla podmiotów istotnych.
• Zarządzanie ryzykiem stron trzecich ICT (art. 28–44): Rejestr wszystkich umów z dostawcami ICT, ocena ryzyka koncentracji, kluczowe klauzule kontraktowe (prawo audytu, wymogi bezpieczeństwa, plany ciągłości działania). Krytyczni dostawcy ICT podlegają bezpośredniemu nadzorowi ESA (EIOPA, EBA, ESMA).
• Wymiana informacji (art. 45): Dobrowolne, ale zachęcane, uczestnictwo w porozumieniach o wymianie informacji o zagrożeniach cybernetycznych.

Strona internetowa podmiotu finansowego a DORA: konkretne wymagania

DORA nie jest rozporządzeniem dotyczącym stron internetowych, ale compliance finansowy ma bezpośrednie przełożenie na to, co i jak podmiot finansowy komunikuje na swojej stronie. Oto obszary, które wymagają szczególnej uwagi:

1. Polityka bezpieczeństwa ICT i jej komunikacja

DORA wymaga, aby podmioty finansowe posiadały i publikowały (wewnętrznie, a w stosownych przypadkach zewnętrznie) swoje polityki bezpieczeństwa ICT. W praktyce strona internetowa podmiotu finansowego powinna zawierać lub linkować do:

• Polityki bezpieczeństwa informacji — lub przynajmniej jej streszczenia dostępnego publicznie, ze wskazaniem głównych standardów (np. ISO 27001, NIST).
• Polityki zgłaszania podatności (Responsible Disclosure / VDP) — punkt kontaktowy dla zewnętrznych badaczy bezpieczeństwa zgłaszających luki w systemach podmiotu. Jest to dobra praktyka rekomendowana przez ENISA.
• Kontaktu Security Operations Center (SOC) lub security@[domena] — adresu do zgłaszania incydentów.

2. Transparentność w zakresie incydentów ICT

Art. 19 DORA zobowiązuje podmioty finansowe do powiadamiania klientów o poważnych incydentach ICT, gdy incydent ma lub może mieć wpływ na interesy finansowe klientów. W praktyce oznacza to konieczność posiadania procedury komunikacji kryzysowej obejmującej stronę internetową — na przykład strony statusu systemu (status page) lub dedykowanego miejsca na komunikaty bezpieczeństwa.

Strona statusu (np. status.nazwafirmy.com lub sekcja na głównej stronie) powinna umożliwiać:

• Informowanie o aktualnym statusie usług (w tym przestojach).
• Archiwizację historycznych incydentów.
• Opis podjętych działań naprawczych — co jest istotne dla wykazania compliance przez podmiot finansowy.

3. Wymagania dotyczące polityki prywatności i cookies

Strona internetowa podmiotu finansowego łączy wymogi DORA z wymogami RODO i dyrektywy o prywatności w łączności elektronicznej (ePrivacy). Polityka prywatności podmiotu finansowego powinna dodatkowo uwzględniać:

• Informację o przetwarzaniu danych osobowych w kontekście zarządzania incydentami ICT (logi, ślady audytowe, zgłoszenia incydentów do KNF).
• Informację o transferach danych do dostawców ICT (chmura, oprogramowanie) — zarówno wewnątrz UE, jak i do krajów trzecich (art. 46 RODO).
• Opis środków bezpieczeństwa technicznego stosowanych w celu ochrony danych klientów (szyfrowanie, pseudonimizacja).

4. Dostępność i ciągłość działania strony internetowej

Strona internetowa podmiotu finansowego jest często jego głównym kanałem kontaktu z klientami. DORA wymaga, aby podmioty finansowe zapewniły ciągłość działania systemów ICT — co obejmuje również dostępność strony internetowej i aplikacji webowych. W praktyce wymaga to:

• Planu ciągłości działania (BCP) obejmującego stronę internetową.
• Redundantnych środowisk hostingowych (multi-region CDN, failover DNS).
• Regularnych testów odtworzenia strony po awarii (część testów odporności cyfrowej wymaganych przez DORA).
• Celów RTO (Recovery Time Objective) i RPO (Recovery Point Objective) dla strony — zdefiniowanych i przetestowanych.

5. Zarządzanie ryzykiem dostawców ICT: co podmioty finansowe muszą ujawnić

DORA art. 28 wymaga od podmiotów finansowych prowadzenia rejestru wszystkich umów z dostawcami ICT. Choć rejestr nie musi być publiczny, strona internetowa powinna być spójna z tym rejestrem — jeśli podmiot korzysta z zewnętrznych usług (np. hostingu, CRM, chatbotu), musi to być uwzględnione w polityce prywatności i polityce cookies.

Jeśli podmiot finansowy korzysta z dostawcy chmury do świadczenia usług dla klientów (np. bankowość elektroniczna na AWS lub Azure), DORA wymaga zapewnienia, że umowa z dostawcą zawiera:

• Prawo do audytu i inspekcji przez podmiot finansowy i organy nadzorcze.
• Klauzule dotyczące bezpieczeństwa i dostępności.
• Plan awaryjny i procedury wyjścia z umowy.

Organy nadzorcze DORA w Polsce i UE

W Polsce nadzór nad stosowaniem DORA sprawuje Komisja Nadzoru Finansowego (KNF). Na poziomie europejskim nadzór nad krytycznymi dostawcami ICT prowadzą Europejskie Urzędy Nadzoru (EBA dla banków, EIOPA dla ubezpieczeń, ESMA dla rynków kapitałowych). Podmioty finansowe muszą zgłaszać poważne incydenty ICT do KNF, a KNF przekazuje odpowiednie informacje do ENISA i europejskich EBA/EIOPA/ESMA.

Jak zacząć: priorytetowe działania dla podmiotów finansowych

• Przeprowadź inwentaryzację wszystkich dostawców ICT (hosting, CRM, płatności, e-mail, analityka) i oceń ryzyko każdego z nich.
• Zweryfikuj, czy umowy z dostawcami ICT zawierają klauzule wymagane przez DORA (art. 30).
• Zaktualizuj politykę prywatności i dokumentację RODO o aspekty związane z ICT.
• Wdróż lub zaktualizuj procedury zarządzania incydentami ICT z uwzględnieniem terminów zgłoszeniowych do KNF.
• Upewnij się, że strona internetowa podmiotu zawiera informacje o bezpieczeństwie ICT i kanał kontaktowy do zgłaszania podatności.
• Zaplanuj coroczne testy podatności infrastruktury webowej jako element programu testowania odporności cyfrowej wymaganego przez DORA.