DORA dla IT i telekomunikacji

Czym jest DORA?

DORA (Digital Operational Resilience Act) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, które weszło w życie w styczniu 2023 roku, a pełne stosowanie obowiązuje od 17 stycznia 2025 roku. Regulacja ta ma na celu zapewnienie cyfrowej odporności operacyjnej podmiotów finansowych oraz ich dostawców technologii informacyjno-komunikacyjnych na terenie całej Unii Europejskiej. DORA ujednolica i wzmacnia wymagania dotyczące zarządzania ryzykiem ICT, zgłaszania incydentów, testowania odporności oraz nadzoru nad zewnętrznymi dostawcami usług IT.

DORA a branża IT i telekomunikacja

Branża IT i telekomunikacja znalazła się w centrum zainteresowania regulatora z bardzo konkretnego powodu: to właśnie firmy technologiczne są kluczowymi dostawcami usług dla instytucji finansowych. Banki, firmy ubezpieczeniowe i domy maklerskie w coraz większym stopniu polegają na zewnętrznych dostawcach chmury obliczeniowej, oprogramowania, łączności i wsparcia technicznego. Gdy jeden z tych dostawców zawiedzie, ryzyko przenosi się bezpośrednio na cały sektor finansowy.

DORA klasyfikuje pewne firmy IT i telekomunikacyjne jako „kluczowych zewnętrznych dostawców ICT" (critical ICT third-party providers, CTPP). Oznacza to objęcie ich bezpośrednim nadzorem europejskich organów nadzorczych, takich jak EBA, ESMA i EIOPA. W praktyce dotyczy to na przykład:

• dostawców chmury obliczeniowej oferujących infrastrukturę dla banków (platformy IaaS, PaaS, SaaS),
• firm świadczących usługi centrum danych i kolokacji dla instytucji finansowych,
• operatorów telekomunikacyjnych zapewniających łączność krytyczną dla systemów transakcyjnych,
• dostawców oprogramowania do zarządzania ryzykiem, systemów core-banking czy platform do obsługi płatności,
• firm oferujących usługi cyberbezpieczeństwa, SOC (Security Operations Center) oraz monitorowania infrastruktury.

Nawet jeśli firma IT nie zostanie sklasyfikowana jako kluczowy dostawca CTPP, jej klienci z sektora finansowego będą wymagali od niej przestrzegania ściśle określonych standardów umownych, audytowych i raportingowych wynikających z DORA. To oznacza, że regulacja de facto przenika do całego łańcucha dostaw technologicznych obsługujących sektor finansowy.

Kluczowe wymagania

• Zarządzanie ryzykiem ICT: Dostawcy technologii muszą wdrożyć i utrzymywać kompleksowe ramy zarządzania ryzykiem ICT obejmujące identyfikację, klasyfikację i dokumentację wszystkich aktywów technicznych oraz zależności systemowych.
• Rejestr umów z instytucjami finansowymi: Firmy IT obsługujące klientów z sektora finansowego muszą prowadzić szczegółowy rejestr wszystkich umów i powiązanych usług, z uwzględnieniem krytyczności każdej usługi dla klienta.
• Standardy umowne: Kontrakty z instytucjami finansowymi muszą zawierać klauzule dotyczące lokalizacji danych, prawa do audytu, procedur wyjścia (exit strategy), poziomów usług (SLA) oraz zgłaszania incydentów.
• Klasyfikacja i zgłaszanie incydentów: Kluczowi dostawcy ICT muszą posiadać systemy klasyfikacji incydentów według ich wpływu i wdrożyć procedury notyfikacji umożliwiające klientom finansowym wywiązanie się z własnych obowiązków raportingowych wobec regulatorów.
• Testowanie odporności cyfrowej: Regulacja wymaga przeprowadzania regularnych testów, w tym zaawansowanych testów penetracyjnych opartych na scenariuszach zagrożeń (TLPT - Threat-Led Penetration Testing) dla systemów krytycznych.
• Zarządzanie ciągłością działania: Firmy muszą posiadać aktualne plany ciągłości działania (BCP) i odtwarzania po awarii (DRP), z regularnymi testami i udokumentowanymi wynikami dostępnymi dla klientów z sektora finansowego.
• Koncentracja ryzyka: Europejskie organy nadzorcze monitorują stopień uzależnienia całego sektora od konkretnych dostawców ICT, co może skutkować nałożeniem wymogów dywersyfikacji.
• Prawo do audytu: Dostawcy ICT muszą zapewnić klientom finansowym oraz ich regulatorom pełne prawo do przeprowadzania audytów, inspekcji i żądania informacji dotyczących świadczonych usług.

Kroki wdrożenia w firmie z branży IT i telekomunikacja

1. Analiza ekspozycji na DORA: Przeprowadź audyt portfela klientów i usług. Określ, ile przychodów pochodzi od podmiotów sektora finansowego regulowanych przez DORA. Oceń, czy firma może zostać zakwalifikowana jako kluczowy zewnętrzny dostawca ICT (CTPP) na poziomie unijnym.
2. Mapowanie aktywów i zależności: Stwórz szczegółowy rejestr wszystkich systemów IT, aplikacji, infrastruktury sieciowej i chmurowej zaangażowanych w świadczenie usług dla klientów finansowych. Udokumentuj zależności między komponentami i oceń ich krytyczność.
3. Przegląd i aktualizacja umów: Przeprowadź przegląd wszystkich obowiązujących kontraktów z instytucjami finansowymi pod kątem wymogów DORA. Uzupełnij brakujące klauzule dotyczące prawa do audytu, lokalizacji danych, procedur wyjścia i powiadamiania o incydentach. Ustal standardowy szablon kontraktowy zgodny z DORA dla nowych umów.
4. Wdrożenie ram zarządzania ryzykiem ICT: Opracuj lub zaktualizuj polityki zarządzania ryzykiem technologicznym zgodne z wymaganiami DORA. Wdrożenie powinno obejmować procedury identyfikacji zagrożeń, oceny ryzyka, środków kontrolnych oraz regularnego monitorowania.
5. Budowa systemu zarządzania incydentami: Wdróż lub zoptymalizuj system ticketingowy i procedury reagowania na incydenty z uwzględnieniem klasyfikacji zgodnej z kryteriami DORA. Opracuj szablony notyfikacji dla klientów finansowych, które umożliwią im terminowe raportowanie do regulatorów.
6. Program testowania odporności: Zaplanuj cykl regularnych testów obejmujący testy penetracyjne, testy scenariuszowe (red team exercises) i ćwiczenia ciągłości działania. Zadbaj o dokumentację wyników i procesów remediacji, która może być udostępniana klientom i audytorom.
7. Szkolenia i kultura bezpieczeństwa: Przeprowadź szkolenia dla zespołów sprzedaży, prawnego, operacyjnego i technicznego dotyczące wymogów DORA i nowych procedur. Wyznacz właściciela compliance DORA odpowiedzialnego za monitorowanie zmian regulacyjnych i aktów wykonawczych.
8. Weryfikacja podwykonawców: Przeprowadź due diligence własnego łańcucha dostaw ICT. Upewnij się, że kluczowi podwykonawcy zaangażowani w obsługę klientów finansowych spełniają standardy wymagane przez DORA, i uwzględnij odpowiednie klauzule w umowach z nimi.

Najczęstsze pytania

Czy DORA dotyczy wszystkich firm IT współpracujących z bankami?

DORA nakłada bezpośrednie obowiązki na instytucje finansowe, które następnie przenoszą wymagania na swoich dostawców ICT za pośrednictwem umów. Bezpośredni nadzór regulatorów unijnych obejmuje wyłącznie firmy sklasyfikowane jako kluczowi zewnętrzni dostawcy ICT (CTPP), wyznaczani przez EBA, ESMA i EIOPA. Jednak pośrednie wymogi — poprzez klauzule kontraktowe — dotykają znacznie szerszego kręgu dostawców technologicznych obsługujących sektor finansowy.

Co grozi firmie IT za nieprzestrzeganie wymagań DORA?

Firmy sklasyfikowane jako CTPP mogą podlegać bezpośrednim sankcjom ze strony europejskich organów nadzorczych, w tym karom finansowym do 1% dziennego obrotu oraz wymaganiom naprawczym. W szerszym kontekście nieprzestrzeganie wymagań umownych wynikających z DORA może skutkować utratą kontraktów z instytucjami finansowymi, które są zobowiązane do współpracy wyłącznie z dostawcami spełniającymi standardy regulacji.

Jak DORA wpływa na umowy z operatorami telekomunikacyjnymi świadczącymi łączność dla banków?

Operatorzy telekomunikacyjni dostarczający krytyczną łączność dla instytucji finansowych są traktowani jako zewnętrzni dostawcy ICT w rozumieniu DORA. Banki i inne instytucje finansowe są zobowiązane uwzględnić w umowach z nimi klauzule dotyczące SLA, lokalizacji infrastruktury, procedur wyjścia, prawa do audytu i powiadamiania o awariach. Operatorzy, którzy nie dostosują się do tych wymogów, mogą stracić klientów z sektora finansowego na rzecz konkurentów oferujących pełną zgodność z DORA.

Czy wdrożenie ISO 27001 lub SOC 2 wystarczy do spełnienia wymogów DORA?

Certyfikaty ISO 27001 i SOC 2 są dobrą podstawą i mogą znacznie ułatwić dostosowanie do DORA, jednak nie są wystarczające. DORA zawiera specyficzne wymagania dotyczące zgłaszania incydentów do organów nadzoru finansowego, testowania odporności metodą TLPT, zarządzania koncentracją ryzyka ICT i szczegółowych klauzul kontraktowych, które wykraczają poza zakres tych standardów. Posiadanie certyfikatu może zostać jednak uwzględnione przez regulatora jako dowód dojrzałości operacyjnej podczas audytów.

Podsumowanie

DORA to regulacja, która zmienia zasady gry na rynku usług technologicznych dla sektora finansowego w całej Europie — i to nie tylko dla samych banków, ale dla całego ekosystemu dostawców IT i telekomunikacji. Firmy z branży, które już teraz zadbają o dostosowanie swoich procesów, umów i systemów zarządzania ryzykiem do wymogów DORA, zyskają przewagę konkurencyjną i stają się partnerem, któremu instytucje finansowe mogą zaufać. Nie czekaj na ostatni moment — audyt gotowości na DORA to inwestycja, która chroni nie tylko przed sankcjami, ale przede wszystkim przed utratą kluczowych klientów.