EU DORA: kogo dotyczy i które narzędzia pomagają w zgodności
DORA to unijne rozporządzenie o operacyjnej odporności cyfrowej dla sektora finansowego. Poniżej: co faktycznie wymaga w sposób ciągły, szybka weryfikacja, czy dotyczy Twojej organizacji, oraz niezależny przegląd narzędzi wspierających zgodność.
DORA obowiązuje od 17 stycznia 2025 roku. Nie jest to jednorazowy termin: Rejestr Informacji musi być składany do organu nadzoru co roku, a 2026 rok to pierwszy pełny cykl egzekwowania, w którym organy nadzoru weryfikują krzyżowo złożone rejestry. W Polsce organem nadzoru finansowego jest KNF (Komisja Nadzoru Finansowego), która przyjmuje Rejestr Informacji i nadzoruje zgodność z DORA.
Kluczowe daty
Czy DORA dotyczy Twojej organizacji?
Dwa pytania, orientacyjna odpowiedź. Nie jest to porada prawna.
Narzędzia wspierające zgodność z DORA
Zgodność z DORA jest zazwyczaj zarządzana w ten sam sposób co zgodność z NIS2 lub ISO 27001: za pomocą platformy przechowującej ramy zarządzania ryzykiem ICT, dowody, rejestry incydentów i rejestr podmiotów trzecich. Wymienione poniżej narzędzia to umożliwiają; ostatnie z nich koncentruje się wyłącznie na corocznym Rejestrze Informacji.
| Narzędzie | Wsparcie DORA | Najlepsze dla | Szczegóły |
|---|---|---|---|
| Vanta US | Dedykowany produkt DORA: zautomatyzowane testy, gotowe polityki DORA oraz dowody ponownie wykorzystywane z prac nad ISO 27001, SOC 2 lub NIS2 | Firmy fintech i dostawcy ICT automatyzujący już inne standardy | Sprawdź → |
| Drata US | Gotowe ramy DORA z modułem zarządzania ryzykiem ICT i monitorowaniem ryzyka podmiotów trzecich, odwzorowane na kontrole, które możesz już posiadać | Podmioty finansowe chcące odwzorować DORA na istniejące kontrole | Sprawdź → |
| Sprinto US/IN | Ramy DORA skierowane do podmiotów fintech i średniego rynku dopiero wdrażających rozporządzenie, z mapowaniem kontroli i ciągłym monitorowaniem | Mniejsze firmy fintech i instytucje płatnicze rozpoczynające wdrożenie DORA od podstaw | Sprawdź → |
| Secureframe US | DORA na liście obsługiwanych standardów z mapowaniem kontroli i ciągłym monitorowaniem dostawców | Zespoły realizujące już SOC 2 lub ISO 27001 w platformie | Sprawdź → |
| ISMS.online UK | Dedykowane rozwiązanie ramowe DORA z rejestrowaniem incydentów i mapowaniem ISO 27001 na wymogi DORA | Organizacje zarządzające zgodnością jako udokumentowanym ISMS | Sprawdź → |
| Vendorica EU | Narzędzie natywne dla DORA, skoncentrowane na Rejestrze Informacji i rejestrze zewnętrznych dostawców ICT; przydatne, gdy głównym wyzwaniem jest złożenie rejestru | Podmioty, których główną luką jest coroczny Rejestr Informacji | Sprawdź → |
Informacja redakcyjna: niektóre linki są linkami afiliacyjnymi. Jeśli dokonasz zakupu za ich pośrednictwem, możemy otrzymać prowizję bez żadnych dodatkowych kosztów dla Ciebie. Nasze oceny i kolejność prezentacji są niezależne od relacji komercyjnych.
Najczęściej zadawane pytania
Kogo dotyczy DORA?
Około 22 000 unijnych podmiotów finansowych z około 20 kategorii (banki, ubezpieczyciele, firmy inwestycyjne, instytucje płatnicze i pieniądza elektronicznego, dostawcy usług w zakresie kryptoaktywów, zarządzający funduszami) oraz, pośrednio, zewnętrzni dostawcy ICT, którzy je obsługują. Krytyczni zewnętrzni dostawcy ICT podlegają również bezpośredniemu nadzorowi UE.
Jakie są sankcje?
Organy nadzoru mogą nakładać kary do 2 procent łącznego rocznego światowego obrotu na podmioty finansowe, do 1 procenta średniego dziennego światowego obrotu dziennie na krytycznych zewnętrznych dostawców ICT, a indywidualni menedżerowie mogą ponosić osobistą odpowiedzialność do 1 miliona EUR.
Czym jest Rejestr Informacji?
Ustrukturyzowana lista wszystkich umów zawartych z zewnętrznymi dostawcami ICT, składana do krajowego organu nadzoru co roku. Jest to jeden z najbardziej konkretnych i powtarzających się obowiązków wynikających z DORA, a częsty powód, dla którego organizacje sięgają po dedykowane narzędzia.
Mamy już ISO 27001 lub NIS2. Czy zaczynamy od zera?
Nie. DORA w dużej mierze pokrywa się z ISO 27001 i NIS2 w zakresie zarządzania ryzykiem ICT i obsługi incydentów. Większość platform compliance pozwala ponownie wykorzystać istniejące kontrole i dowody oraz odwzorować je na wymogi DORA, więc dodatkowa praca dotyczy elementów specyficznych dla DORA, takich jak testowanie odporności i Rejestr Informacji.
Czy jesteśmy zbyt mali, żeby DORA miała znaczenie?
DORA stosuje zasadę proporcjonalności, więc mniejsze podmioty stosują uproszczone ramy zarządzania ryzykiem ICT zamiast pełnego reżimu. Rozporządzenie nadal obowiązuje. Mikroprzedsiębiorstwa podlegają jego najlżejszej wersji, lecz obowiązki dotyczące rejestru i zgłaszania incydentów pozostają w mocy.
Objęty również przez NIS2? Zobacz nasze główne porównanie narzędzi →
Ta strona zawiera wskazówki praktyczne i nie stanowi porady prawnej.