REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Rozporządzenie DORA - co to jest i kogo dotyczy? [PRZEWODNIK]

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
dora rozporządzenie co to ogo dotyczy odporność operacyjna cyberbezpieczeństwo
DORA rozporządzenie - co to, kogo dotyczy, odporność operacyjna, cyberbezpieczeństwo w UE
shutterstock

REKLAMA

REKLAMA

Czego dotyczy unijne rozporządzenie DORA? Wprowadza nowe pojęcia i wymagania dotyczące cyberbezpieczeństwa w sektorze finansowym. Prezentujemy przewodnik po DORA z wyjaśnieniem trudnych pojęć dla dostawców usług ICT.
rozwiń >

Przewodnik po DORA

Unijne rozporządzenie DORA, czyli akt dotyczący operacyjnej odporności cyfrowej sektora finansowego, wprowadza nowe pojęcia i wymagania dotyczące cyberbezpieczeństwa w sektorze finansowym. Dotyczy nie tylko banków, ubezpieczycieli i instytucji płatniczych, ale także pośrednio dostawców usług ICT, którzy z nimi współpracują. Jeśli prowadzisz firmę zajmującą się IT, warto sprawdzić, czy DORA, która w Polsce obowiązuje od stycznia 2025 roku, dotyczy również Twojej organizacji, a jeśli tak – jakie jej pojęcia warto znać. Oto krótki przewodnik po najważniejszych terminach.

REKLAMA

Katarzyna Armińska-Waszczyk

Katarzyna Armińska-Waszczyk, radca prawny

Katarzyna Armińska-Waszczyk, radca prawny

Źródło zewnętrzne

DORA - co to jest?

DORA (skrót od Digital Operational Resilience Act) to unijne rozporządzenie, za pomocą którego Unia Europejska chce zwiększyć odporność cyfrową całego sektora finansowego. Finanse i system finansowy to filary wolności i niezależności Europejczyków, dlatego zagadnienia cyberbezpieczeństwa należą do najważniejszych tematów na unijnej agendzie ustawodawczej. Dzięki rozwiązaniom wprowadzonym przez DORA, instytucje finansowe będą mogły skutecznie przeciwdziałać cyberatakom, szybko reagować na incydenty i minimalizować ryzyko związane z usługami ICT.

Odporność operacyjna

To kluczowe pojęcie w DORA. Oznacza zdolność organizacji do zapobiegania incydentom cybernetycznym, reagowania na nie i odbudowywania się po nich. Firmy finansowe muszą wdrożyć wzmocnione procedury zarządzania ryzykiem ICT. W razie cyberataku muszą szybko przywrócić normalne działanie systemów, ale także już wcześniej przygotować się tak, aby cyberataki nie wywoływały nieodwracalnych szkód w ich systemach. W ten sposób pieniądze klientów instytucji finansowych oraz cały system finansowy będzie lepiej chroniony przed współczesnymi zagrożeniami.

Usługi ICT (Information and Communication Technology, czyli technologie informacyjno-komunikacyjne)

Usługi ICT to wszelkie rozwiązania technologiczne, które wspierają działanie instytucji finansowych. Obejmują m.in.:

  • usługi przetwarzania danych w chmurze,
  • systemy zarządzania bezpieczeństwem informacji,
  • usługi cyberbezpieczeństwa,
  • outsourcing IT,
  • zarządzanie sieciami i infrastrukturą IT.

- Choć formalnie podmiotami zobowiązanymi z rozporządzenia DORA są instytucje finansowe, to na zasadzie kaskady odpowiedzialności będą one wymagać spełnienia wymagań od swoich dostawców usług ICT. Po to, aby same mogły wykazać się zgodnością z rozporządzeniem. Zatem jeśli firma z obszaru ICT dostarcza tego typu usługi dla sektora finansowego, DORA może dotyczyć także jej działalności, z czego dziś nie wszyscy dostawcy ICT, zdają sobie jeszcze sprawę - mówi Katarzyna Armińska-Waszczyk z gdańskiej kancelarii Armińska Radcowie Prawni, która świadczy usługi audytu i wdrażania rozwiązań zgodnych z DORA.

Dalszy ciąg materiału pod wideo

Zewnętrzny dostawca usług ICT

Dostawcą usług ICT jest każda firma, która świadczy usługi technologiczne dla instytucji finansowych. Może to być dostawca chmury, supportu oprogramowania, systemów bezpieczeństwa czy infrastruktury IT.W zależności od rodzaju i znaczenia usług niektóre firmy mogą zostać uznane za kluczowych zewnętrznych dostawców usług ICT, co wiąże się z dodatkowymi wymogami regulacyjnymi. Wyznaczenie takiego kluczowego dostawcy odbywa się w specjalnej procedurze, szczegółowo uregulowanej w DORA.

Incydent związany z ICT

To każde zakłócenie, które zagraża bezpieczeństwu sieci i systemów informatycznych i negatywnie wpływa na dostępność, poufność, autentyczność lub integralność, lub na usługi świadczone przez organizację finansową. Przykładami taki incydentów są m.in. ataki ransomware, awarie serwerów, czy wycieki danych. Takie zakłócenie może być pojedynczym zdarzeniem lub serią powiązanych ze sobą zdarzeń, które nie były zaplanowane przez podmiot finansowy.

Ryzyko związane z ICT

DORA kładzie nacisk na zarządzanie ryzykiem związanym z ICT. Instytucje finansowe i ich dostawcy muszą identyfikować zagrożenia, oceniać ryzyko i wdrażać środki zapobiegawcze. Dotyczy to zarówno cyberataków, jak i awarii technologicznych. Zgodnie z rozporządzeniem DORA ryzyko związane z ICT to taka sytuacja związana z użytkowaniem sieci i systemów informatycznych, która - jeśli się urzeczywistni - może naruszyć bezpieczeństwo sieci i systemów informatycznych, narzędzia lub procesu zależnego od technologii, przez wywołanie negatywnych skutków w sferze cyfrowej lub fizycznej.

Co to oznacza dla dostawców ICT?

W szerszym zakresie DORA nie dotyczy tylko banków, ubezpieczycieli, instytucji płatniczych czy firm inwestycyjnych. Jak mówi ekspertka, Katarzyna Armińska-Waszczyk: - Jeśli firma dostarcza na przykład usługi wsparcia, usługi chmurowe, cyberbezpieczeństwo, również pośrednio może podlegać nowym regulacjom. Instytucja finansowa ma bowiem obowiązek zadbać, aby jej dostawcy usług ICT spełniali wymogi DORA, ponieważ same muszą być zgodne z przepisami tego rozporządzenia. Warto sprawdzić, czy twoja firma jest gotowa na te zmiany.

DORA - podsumowanie

Rozporządzenie DORA to krok w stronę większego bezpieczeństwa cyfrowego w Europie. Jeśli jesteś dostawcą usług ICT dla sektora finansowego, powinieneś wiedzieć, jakie środki powinieneś wdrożyć. Najważniejsze obszary, jakie reguluje to rozporządzenie to zarządzanie ryzykiem, testowanie systemów i spełnianie wymogów raportowania incydentów. Im szybciej dostosujesz swoją firmę do DORA, tym lepiej zabezpieczysz swoje interesy i zwiększysz konkurencyjność na rynku finansowym.

Autor: radca prawny, Katarzyna Armińska-Waszczyk

Polecamy: Wideoszkolenie: Procedura korzystania z AI i inne obowiązki pracodawców 2025

Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Wielki Piątek 2025: O której Droga Krzyżowa w Watykanie? Papież Franciszek autorem rozważań

Wielki Piątek 2025 to jedno z najważniejszych wydarzeń Wielkiego Tygodnia. Tego dnia katolicy na całym świecie wspominają mękę i śmierć Jezusa Chrystusa. Szczególną uwagę wiernych przyciągają uroczystości w Watykanie, zwłaszcza wieczorna Droga Krzyżowa przy Koloseum, której rozważania w tym roku przygotował sam papież Franciszek.

Wojsko może zająć Twoją nieruchomość oraz samochód i to nie tylko w razie ogłoszenia mobilizacji lub podczas wojny, ale również w czasie pokoju, a za utrudnianie – grozi grzywna

Niewiele osób zdaje sobie sprawę z tego jak szerokie uprawnienia posiada wojsko względem naszych nieruchomości i samochodów – i to nie tylko w sytuacji wprowadzenia stanu wyjątkowego lub wojennego, ogłoszenia mobilizacji albo w czasie wojny, ale również w czasie pokoju. Do zajęcia przez wojsko domu, w czasie pokoju, może dojść np. w celu zakwaterowania żołnierzy odbywających ćwiczenia wojskowe, a pojazd wojsko może zarekwirować w ramach zwalczania klęski żywiołowej. Za niestosowanie się do decyzji dowódcy wojskowego w sprawie zajęcia nieruchomości, jak również za uniemożliwianie lub utrudnianie wojsku korzystania z zajętej nieruchomości – grozi 5 tys. zł grzywny. W związku z niepewną sytuacją geopolityczną – warto znać poniższe zasady.

Czy Polacy będą mniej pracować? Ministerstwo: rozwiązania muszą być "szyte na miarę"

Krótszy tydzień pracy już na horyzoncie? Ministra Agnieszka Dziemianowicz-Bąk zapowiedziała, że już wkrótce przedstawi najważniejsze wnioski z analiz dotyczące skrócenia tygodnia pracy. Czy czterodniowy tydzień pracy stanie się nowym standardem w Polsce?

79, 87, 92 punkty. Ile wynosi świadczenie wspierające od marca 2025 r.?

Komu przysługuje świadczenie wspierające w 2025 r. i ile wynosi? Jak przyznawane są punkty? Prezentujemy najważniejsze informacje i przykładowe kwoty dla poszczególnych progów.

REKLAMA

Spadki: Gminy mają prawo przejąć pieniądze zmarłego. Już po dwóch latach

Zmarł Twój krewny. Miał konto w banku. Przeoczyłeś to. Gmina ma prawo przejąć te pieniądze. Procedura zaczyna się dwa lata. Termin liczymy od dnia kiedy bank dowiedział się o śmierci posiadacza rachunku bankowego. Gmina ma prawo do zabrania tych pieniędzy.

MOPS: Proste czynności na rzecz niepełnosprawnej matki uzasadniają świadczenie pielęgnacyjne 3287 zł. Muszą być kumulatywne

Sprzątanie, pościel, zakupy, posiłki. Częsty element wywiadów środowiskowych. MOPS skrupulatnie gromadzą wykaz prostych czynności opiekuńczych twierdząc, że nie uzasadniają wypłaty świadczenia pielęgnacyjnego 3287 zł (stare świadczenie). Jest to świadczenie dla opiekunów osób niepełnosprawnych ze znacznym stopniem niepełnosprawności. Sądy zgadzają się z MOPS. Takie czynności jak np. sprzątanie mieszkania, zmiana pościeli, robienie zakupów, przygotowywanie posiłków, zasadniczo nie wymagają rezygnacji z zatrudnienia lub innej pracy zarobkowej. Dlaczego więc MOPS przegrywają w sądach i opiekunowie mają szanse na świadczenie pielęgnacyjne? Właśnie za te czynności opiekuńcze?

Sondaż prezydencki 2025. Druga tura [WYBORY]

CBOS: sondaż prezydencki 2025. Coraz więcej czasu poświęca się na analizę drugiej tury wyborów na Prezydenta RP. Kto wygra w drugiej turze? Jakie są przewidywania i na co wskazują sondaże wyborcze?

Krzysztof Stanowski – partia, program, wiek, zawód, wykształcenie [Kandydat na Prezydenta RP 2025]

Krzysztof Stanowski – czy należy do partii politycznej? Przedstawiamy program wyborczy kandydata na Prezydenta RP w 2025 roku, wiek, zawód oraz wykształcenie. Sprawdź pełną listę kandydatów w wyborach 2025 r., a także wyniki najnowszego sondażu.

REKLAMA

[QUIZ] 15 pytań z krzyżówek i teleturniejów. Tak czy nie? Komplet punktów tylko dla mistrzów
W tym quizie zadajemy pytania z popularnych krzyżówek i teleturniejów. Wystarczy, że odpowiecie "tak" lub "nie". Pytania pochodzą z różnych dziedzin. Kilka z nich jest dosyć trudnych. Komplet punktów zdobędą tylko najlepsi.
„Dzieciom wstęp wzbroniony” – ogłosiła jedna z publicznych pływalni. Czy w przestrzeni publicznej można ustanawiać „strefy wolne od dzieci”? Zapadła ważna decyzja

Ustanawianie „stref wolnych od dzieci” to niechlubny trend ostatnich lat, popularny zwłaszcza w branży turystyczno-hotelarsko-gastronomicznej, który postanowiła uskutecznić również łódzka pływalnia publiczna, tym samym – ograniczając dzieciom możliwość korzystania z miejskiej infrastruktury rekreacyjnej (tylko dlatego, że są dziećmi, a zatem – nie spełniają określonego kryterium wiekowego). Sprawą niezwłocznie zajęła się Rzeczniczka Praw Dziecka.

REKLAMA