DORA dla Finansów i ubezpieczeń

Czym jest DORA?

DORA, czyli rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operational Resilience Act), to unijny akt prawny przyjęty w 2022 roku, który wszedł w życie 17 stycznia 2025 roku. Jego celem jest zapewnienie, że instytucje finansowe w całej Unii Europejskiej będą w stanie wytrzymać, reagować i przywracać sprawność po wszelkich zakłóceniach operacyjnych związanych z technologiami informacyjno-komunikacyjnymi. DORA wprowadza jednolite, obowiązkowe standardy zarządzania ryzykiem ICT, zastępując dotychczasowy mozaik krajowych regulacji i wytycznych nadzorczych.

DORA a branża Finanse i ubezpieczenia

Sektor finansowy i ubezpieczeniowy jest bezpośrednim i pierwszoplanowym adresatem rozporządzenia DORA. Regulacja obejmuje banki, zakłady ubezpieczeń, towarzystwa reasekuracyjne, firmy inwestycyjne, instytucje płatnicze, fundusze inwestycyjne oraz inne podmioty rynku finansowego działające na terenie UE. Oznacza to, że każde towarzystwo ubezpieczeniowe oferujące polisy na życie, majątkowe czy komunikacyjne, a także każdy bank detaliczny czy dom maklerski, musi dostosować swoje systemy i procesy do wymogów DORA.

Dlaczego ta branża znalazła się pod szczególnym nadzorem? Finanse i ubezpieczenia opierają się w coraz większym stopniu na infrastrukturze cyfrowej. Banki przetwarzają miliony transakcji dziennie za pomocą systemów IT, zakłady ubezpieczeń przechowują wrażliwe dane osobowe i medyczne klientów w chmurze, a firmy inwestycyjne korzystają z algorytmów handlowych działających w czasie rzeczywistym. Awaria systemu, cyberatak lub incydent u zewnętrznego dostawcy technologicznego może w ciągu godzin wywołać kryzys na rynku, zablokować dostęp klientów do środków lub sparaliżować wypłatę odszkodowań. Przykładem może być scenariusz, w którym dostawca chmury obliczeniowej obsługujący kilka dużych towarzystw ubezpieczeniowych doznaje poważnej awarii — DORA nakłada obowiązek opracowania planów awaryjnych na wypadek dokładnie takich sytuacji.

Dodatkowym wyzwaniem dla sektora jest powszechne korzystanie z zewnętrznych dostawców technologicznych — tzw. podmiotów trzecich ICT. Firmy finansowe i ubezpieczeniowe masowo outsourcują systemy do zarządzania polisami, likwidacji szkód, scoringu kredytowego czy obsługi płatności. DORA po raz pierwszy wprowadza obowiązkowy nadzór regulacyjny nad tymi dostawcami, co oznacza, że ubezpieczyciel odpowiada nie tylko za własne systemy, ale i za odporność cyfrową swoich partnerów technologicznych.

Kluczowe wymagania

• Zarządzanie ryzykiem ICT: Instytucje finansowe i ubezpieczeniowe muszą wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, obejmujące identyfikację, ochronę, wykrywanie, reagowanie i odtwarzanie. Wymóg ten dotyczy zarówno banków detalicznych, jak i małych zakładów ubezpieczeń.
• Raportowanie incydentów ICT: Każdy poważny incydent cyberbezpieczeństwa lub operacyjny musi być zgłaszany do właściwego organu nadzoru — w Polsce do Urzędu Komisji Nadzoru Finansowego (UKNF) — w określonych terminach: wstępne powiadomienie w ciągu 4 godzin od sklasyfikowania incydentu jako poważnego, raport pośredni w ciągu 72 godzin i raport końcowy w ciągu miesiąca.
• Testy odporności cyfrowej (TLPT): Duże instytucje finansowe muszą regularnie przeprowadzać zaawansowane testy penetracyjne oparte na analizie zagrożeń (ang. Threat-Led Penetration Testing), symulując rzeczywiste ataki hakerów na swoje krytyczne systemy.
• Zarządzanie ryzykiem związanym z podmiotami trzecimi ICT: Umowy z dostawcami technologicznymi, takimi jak firmy chmurowe czy dostawcy systemów CRM dla ubezpieczycieli, muszą zawierać obowiązkowe klauzule dotyczące dostępności, bezpieczeństwa, prawa do audytu i planów wyjścia z umowy.
• Nadzór nad krytycznymi dostawcami ICT: Europejskie organy nadzoru (EBA, EIOPA, ESMA) mogą bezpośrednio nadzorować i audytować dostawców technologicznych uznanych za krytycznych dla stabilności sektora finansowego UE.
• Wymiana informacji o zagrożeniach: Instytucje finansowe i ubezpieczeniowe są zachęcane — a w praktyce oczekuje się od nich — do uczestnictwa w mechanizmach wymiany informacji o cyberzagrożeniach z innymi podmiotami sektora.
• Ciągłość działania i plany awaryjne: Wymagane jest opracowanie i regularne testowanie planów zachowania ciągłości działania na wypadek poważnych zakłóceń operacyjnych, w tym scenariuszy utraty dostępu do systemów kluczowych dostawców.

Kroki wdrożenia w firmie z branży Finanse i ubezpieczenia

1. Przeprowadzenie analizy luk (gap analysis): Pierwszym krokiem jest dokładna ocena aktualnego stanu zarządzania ryzykiem ICT w organizacji. Należy porównać istniejące polityki, procedury i kontrole z wymaganiami DORA i zidentyfikować obszary wymagające zmian. W przypadku towarzystwa ubezpieczeniowego może to oznaczać audyt umów z dostawcami systemów likwidacji szkód czy platformy sprzedaży polis online.
2. Inwentaryzacja zasobów ICT i dostawców zewnętrznych: Należy sporządzić pełny rejestr systemów informatycznych, aplikacji, infrastruktury oraz wszystkich zewnętrznych dostawców ICT. Każdy dostawca powinien zostać oceniony pod kątem krytyczności dla funkcjonowania firmy i skategoryzowany zgodnie z wymogami DORA.
3. Aktualizacja umów z dostawcami ICT: Wszystkie kontrakty z podmiotami zewnętrznymi dostarczającymi usługi technologiczne — niezależnie od tego, czy jest to dostawca chmury, firma obsługująca systemy AML, czy platforma do e-likwidacji szkód — muszą zostać przejrzane i uzupełnione o obowiązkowe klauzule wymagane przez DORA, takie jak prawo do audytu, gwarantowane poziomy dostępności usług (SLA) i procedury zakończenia współpracy.
4. Wdrożenie lub aktualizacja ram zarządzania ryzykiem ICT: Na podstawie wyników analizy luk należy opracować lub zaktualizować polityki, procedury i kontrole dotyczące bezpieczeństwa informacji i ciągłości działania. Dotyczy to m.in. polityki zarządzania incydentami, polityki backupu i odtwarzania danych oraz procedur klasyfikacji aktywów.
5. Opracowanie procedur raportowania incydentów: Firma musi ustanowić wewnętrzny proces wykrywania, klasyfikacji i eskalacji incydentów ICT, a także wyznaczyć osoby odpowiedzialne za komunikację z regulatorem (UKNF). Warto przeprowadzić ćwiczenia symulacyjne sprawdzające, czy organizacja jest w stanie dotrzymać ustawowych terminów raportowania.
6. Zaplanowanie i przeprowadzenie testów odporności: W zależności od wielkości i profilu instytucji konieczne jest wdrożenie programu regularnych testów ICT, od podstawowych testów podatności i penetracyjnych, aż po zaawansowane testy TLPT dla największych podmiotów. W sektorze ubezpieczeniowym szczególne znaczenie mają testy scenariuszy awarii systemów obsługujących roszczenia klientów.
7. Szkolenia i budowanie świadomości: DORA wymaga, aby pracownicy i kadra zarządzająca byli regularnie szkoleni w zakresie ryzyk ICT i procedur reagowania na incydenty. Zarząd instytucji finansowej ponosi bezpośrednią odpowiedzialność za nadzór nad ryzykiem ICT, dlatego szkolenia muszą objąć również poziom kierowniczy.
8. Wdrożenie systemu monitorowania i ciągłego doskonalenia: Po uruchomieniu wszystkich niezbędnych mechanizmów firma powinna ustanowić regularne przeglądy i audyty wewnętrzne skuteczności wdrożonych środków. DORA traktuje odporność cyfrową jako proces ciągły, a nie jednorazowy projekt.

Najczęstsze pytania

Czy DORA dotyczy małych firm ubezpieczeniowych i pośredników finansowych?
Tak, jednak DORA przewiduje zasadę proporcjonalności — mniejsze podmioty mogą stosować uproszczone ramy zarządzania ryzykiem ICT i nie są zobowiązane do przeprowadzania zaawansowanych testów TLPT. Niemniej podstawowe obowiązki, takie jak zarządzanie incydentami, inwentaryzacja systemów i nadzór nad dostawcami ICT, dotyczą wszystkich podmiotów objętych rozporządzeniem, niezależnie od skali działalności.

Jakie kary grożą za nieprzestrzeganie DORA?
Sankcje za naruszenie DORA są nakładane przez krajowe organy nadzoru, takie jak UKNF. Mogą obejmować publiczne ostrzeżenia, nakazy zaprzestania określonych praktyk, a w najpoważniejszych przypadkach — kary finansowe. Rozporządzenie nie ustala jednolitego pułapu kar dla instytucji finansowych, pozostawiając tę kwestię przepisom krajowym, jednak biorąc pod uwagę praktykę regulacyjną w sektorze finansowym, sankcje mogą być znaczące.

Co powinien zrobić ubezpieczyciel, gdy jego dostawca IT doznaje awarii?
W takiej sytuacji ubezpieczyciel jest zobowiązany do uruchomienia przygotowanych wcześniej planów ciągłości działania i planów awaryjnych. Jeśli awaria spełnia kryteria poważnego incydentu ICT, musi zostać niezwłocznie zgłoszona do regulatora. DORA wymaga, aby umowy z dostawcami zawierały klauzule zobowiązujące dostawcę do informowania klienta o wszelkich incydentach mogących wpłynąć na świadczone usługi.

Jak DORA odnosi się do wcześniejszych regulacji, takich jak NIS2 czy RODO?
DORA jest regulacją sektorową — skierowaną wyłącznie do podmiotów rynku finansowego — i działa jako lex specialis wobec ogólniejszych regulacji, takich jak dyrektywa NIS2 dotycząca cyberbezpieczeństwa sieci i systemów informacyjnych. Oznacza to, że instytucje finansowe i ubezpieczeniowe, spełniając wymogi DORA, co do zasady spełniają również odpowiednie wymogi NIS2 w zakresie swoich działań. Natomiast RODO pozostaje w mocy niezależnie od DORA i dotyczy ochrony danych osobowych przetwarzanych przez te instytucje.

Podsumowanie

DORA to regulacja, która gruntownie zmienia sposób, w jaki firmy z sektora finansów i ubezpieczeń podchodzą do zarządzania ryzykiem cyfrowym — i choć jej wdrożenie wymaga czasu i zasobów, stanowi jednocześnie szansę na zbudowanie realnej przewagi konkurencyjnej opartej na zaufaniu klientów i stabilności operacyjnej. Organizacje, które potraktują DORA nie jako biurokratyczny obowiązek, lecz jako strategiczną inwestycję w odporność cyfrową, będą lepiej przygotowane na zagrożenia współczesnego rynku finansowego. Nie czekaj na ostatnią chwilę — zacznij od audytu swoich systemów ICT i kontraktów z dostawcami już dziś.