Rozporządzenie DORA i firmy IT w Polsce. Ekspert wyjaśnia nowe obowiązki

9 kwietnia 2025, 17:26

Dyrektywa DORA, ma na celu wzmocnienie cyfrowej odporności operacyjnej organów finansowych Unii, w tym banków, zakładów ubezpieczeń i firm inwestycyjnych, poprzez ocenę ryzyka związanego z usługami cyfrowymi fot.123fr

Unijne rozporządzenie DORA, czyli akt dotyczący operacyjnej odporności cyfrowej sektora finansowego, wprowadza nowe pojęcia i wymagania dotyczące cyberbezpieczeństwa w sektorze finansowym. Dotyczy to nie tylko banków, ubezpieczycieli i instytucji płatniczych, ale także pośrednio dostawców usług ICT, którzy z nimi współpracują.

Jeśli ktoś prowadzi firmę IT to powinien dokładnie sprawdzić, czy DORA dotyczy również i jego organizacji.

DORA (skrót od Digital Operational Resilience Act) to unijne rozporządzenie, za pomocą którego Unia Europejska chce zwiększyć odporność cyfrową całego sektora finansowego. Finanse i system finansowy to filary wolności i niezależności Europejczyków, dlatego zagadnienia cyberbezpieczeństwa należą do najważniejszych tematów na unijnej agendzie ustawodawczej.

Dzięki rozwiązaniom wprowadzonym przez DORA, instytucje finansowe będą mogły skutecznie przeciwdziałać cyberatakom, szybko reagować na incydenty i minimalizować ryzyko związane z usługami ICT.

Rząd inwestuje w cyberochronę. 276 milionów dla instytucji

Ministerstwo Cyfryzacji zakończyło nabór wniosków w ramach programu „Cyberbezpieczny Rząd”, którego celem jest poprawa bezpieczeństwa cyfrowego urzędów centralnych i instytucji publicznych w Polsce. P...

Barbara Wesoła

- Choć formalnie podmiotami zobowiązanymi z rozporządzenia DORA są instytucje finansowe, to na zasadzie kaskady odpowiedzialności będą one wymagać spełnienia wymagań od swoich dostawców usług ICT. Po to, aby same mogły wykazać się zgodnością z rozporządzeniem. Zatem jeśli firma z obszaru ICT dostarcza tego typu usługi dla sektora finansowego, DORA może dotyczyć także jej działalności, z czego dziś nie wszyscy dostawcy ICT, zdają sobie jeszcze sprawę - powiedziała Katarzyna Armińska-Waszczyk z gdańskiej kancelarii Armińska Radcowie Prawni.

W szerszym zakresie DORA nie dotyczy właśnie tylko banków, ubezpieczycieli, instytucji płatniczych czy firm inwestycyjnych.

KE wzywa Polskę do wdrożenia dyrektywy wzmacniającej odporność sektora finansowego

Komisja Europejska zaapelowała do Polski oraz 12 innych państw członkowskich UE o pełne wdrożenie dyrektywy DORA. Dyrektywa ta ma na celu wzmocnienie odporności operacyjnej instytucji finansowych, tak...

Oliwia Marciszewska

- Jeśli firma dostarcza na przykład usługi wsparcia, usługi chmurowe, cyberbezpieczeństwo, również pośrednio może podlegać nowym regulacjom. Instytucja finansowa ma bowiem obowiązek zadbać, aby jej dostawcy usług ICT spełniali wymogi DORA, ponieważ same muszą być zgodne z przepisami tego rozporządzenia - dodała Katarzyna Armińska-Waszczyk.

Usługi ICT to wszelkie rozwiązania technologiczne, które wspierają działanie instytucji finansowych. Obejmują m.in. usługi przetwarzania danych w chmurze, systemy zarządzania bezpieczeństwem informacji, usługi cyberbezpieczeństwa, outsourcing IT, zarządzanie sieciami i infrastrukturą IT.

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego, mający na celu implementację dyrektywy DORA, został już przyjęty przez Komitet Stały Rady Ministrów. Odbyła się także komisja prawnicza, co oznacza, że wkrótce trafi on pod obrady rządu.

Rozporządzenie DORA to krok w stronę większego bezpieczeństwa cyfrowego w Europie. Najważniejsze obszary, jakie reguluje to rozporządzenie to zarządzanie ryzykiem, testowanie systemów i spełnianie wymogów raportowania incydentów.

Jesteśmy na Google News. Dołącz do nas i śledź Strefę Biznesu codziennie. Obserwuj StrefaBiznesu.pl!

Wideo