Cyberataki na instytucje finansowe są w 2026 najdroższymi i najczęstszymi incydentami bezpieczeństwa. DORA (Digital Operational Resilience Act) to odpowiedź UE — jednolity standard odporności operacyjnej dla całego sektora finansowego w UE, zastępujący dotychczasowe mozaikowe podejście krajowe.
Co to jest DORA
DORA (Rozporządzenie UE 2022/2554 o Cyfrowej Odporności Operacyjnej) weszło w życie 16 stycznia 2023 roku i stało się bezpośrednio stosowane we wszystkich państwach UE od 17 stycznia 2025 roku.
DORA ustanawia jednolite wymagania dla:
- Zarządzania ryzykiem ICT
- Zarządzania incydentami ICT
- Testowania odporności cyfrowej
- Zarządzania ryzykiem dostawców ICT
- Wymiany informacji o zagrożeniach
Kto podlega DORA
DORA stosuje się do szerokiego zakresu podmiotów finansowych:
| Kategoria | Przykłady |
|---|---|
| Instytucje kredytowe | Banki, SKOKi, instytucje kredytowe |
| Firmy inwestycyjne | Biura maklerskie, domy maklerskie |
| Zakłady ubezpieczeń | Ubezpieczyciele majątkowi i życiowi |
| Instytucje płatnicze | Operatorzy płatności, e-money instytucje |
| Fundusze inwestycyjne | TFI, fundusze alternatywne |
| Dostawcy ICT | Dostawcy ERP, cloud, software dla powyższych |
Dla małych instytucji finansowych obowiązuje zasada proporcjonalności — wymagania dostosowane do skali.
Pięć filarów DORA
1. Zarządzanie ryzykiem ICT
Instytucja finansowa musi mieć kompletny framework zarządzania ryzykiem ICT:
- Strategia ICT z identyfikacją aktywów krytycznych
- Rejestr ICT — wszystkie systemy i usługi ICT, w tym cloud ERP
- Ocena ryzyka — regularna identyfikacja zagrożeń ICT
- Kontrole bezpieczeństwa — szyfrowanie, 2FA, segmentacja sieci, patch management
- Business Continuity Plan (BCP) — jak działać przy incydencie ICT
- Disaster Recovery Plan (DRP) — jak odtworzyć systemy po awarii
Dla ERP: musi być w rejestrze ICT z klasyfikacją (czy jest krytyczny dla działalności?), oceną ryzyka i planem ciągłości.
2. Zarządzanie incydentami ICT
DORA definiuje szczegółowe wymagania dla klasyfikacji i raportowania incydentów ICT:
Klasyfikacja incydentów:
- Poważne incydenty ICT — podlegają raportowaniu do KNF/NBP
- Mniejsze incydenty — wewnętrzne zarządzanie
Progi dla poważnych incydentów:
- Dotknęło ≥ 10 % klientów lub ≥ 50 tys. klientów
- Skutkowało niedostępnością usługi przez ≥ 1 godzinę
- Wpłynęło na dane osobowe > 1 000 klientów
- Potencjalnie wpłynęło na reputację lub straty finansowe
Harmonogram raportowania:
- Wczesne ostrzeżenie: 4 godziny od wykrycia poważnego incydentu
- Pośredni raport: 72 godziny
- Raport końcowy: 1 miesiąc
Organ raportowania: KNF (Komisja Nadzoru Finansowego) dla większości podmiotów, NBP dla infrastruktury krytycznej płatności.
3. Testowanie odporności cyfrowej
DORA wymaga regularnego testowania odporności systemów ICT:
Dla wszystkich podmiotów (minimum):
- Vulnerability assessments — regularne skanowanie luk
- Open source analyses — analiza podatności używanych bibliotek
- Network security assessments
- Gap analyses — ocena zgodności z DORA
Dla znaczących instytucji (TLPT):
- TLPT (Threat-Led Penetration Testing) — zaawansowany pen-test na żywych systemach produkcyjnych
- Według TIBER-PL framework (koordynowany przez KNF)
- Minimum raz na 3 lata
4. Zarządzanie ryzykiem dostawców ICT
To jest kluczowe dla firm używających cloud ERP. DORA nakłada na instytucje finansowe obowiązek:
Due diligence dostawcy ICT:
- Ocena ryzyka przed podpisaniem umowy
- Weryfikacja certyfikacji (ISO 27001, SOC 2)
- Ocena koncentracji ryzyka (single vendor dependency)
- Plan exit strategy (jak migrowac jeśli dostawca padnie)
Umowa DORA-compliant musi zawierać:
| Klauzula | Zawartość |
|---|---|
| Opis usług | Dokładny zakres, SLA, RTO/RPO |
| Bezpieczeństwo danych | Szyfrowanie, pseudonimizacja, kontrola dostępu |
| Ciągłość działania | Plan BCP dostawcy, RTO/RPO |
| Raportowanie incydentów | Dostawca raportuje do klienta w 24h od wykrycia |
| Prawo do audytu | Klient może audytować dostawcę (bezpośrednio lub przez 3rd party) |
| Zakończenie umowy | Warunki, exit plan, migracja danych |
| Sub-przetwarzanie | Lista, klauzule DORA, zakaz bez zgody |
| Jurysdykcja danych | Lokalizacja danych, prawo właściwe |
Modulario podpisuje umowy DORA-compliant dla klientów z sektora finansowego — kontakcie się z nami dla szczegółów.
5. Wymiana informacji o zagrożeniach
DORA zachęca (ale nie wymaga) instytucje finansowe do udziału w mechanizmach wymiany informacji o zagrożeniach cyberbezpieczeństwa (Threat Intelligence Sharing). W Polsce: koordynacja przez CERT Polska (NASK) i KNF ISAC (w fazie tworzenia).
DORA a Polska — realia wdrożenia
DORA jako rozporządzenie UE jest bezpośrednio stosowane w Polsce od 17 stycznia 2025 roku. Nadzór sprawuje KNF (Komisja Nadzoru Finansowego) z mocą nakładania kar:
- Kary za naruszenie DORA: do 1 % średniego dziennego obrotu lub do 5 mln EUR (wyższe z dwóch)
- Osobista odpowiedzialność menedżerów: do 1 mln EUR
Stan wdrożenia w polskim sektorze finansowym:
- Duże banki (PKO BP, Pekao, mBank, Alior): zaawansowane wdrożenie DORA
- Mniejsze instytucje: wdrożenie w toku, KNF prowadzi kontrole
- Zakłady ubezpieczeń: różny poziom zaawansowania
Jak przygotować się na DORA jako firma korzystająca z ERP
Krok 1: Sprawdź, czy podlegacie DORA
Skonsultujcie z prawnikiem, czy Wasza firma jest instytucją finansową w zakresie DORA. Katalog jest szeroki — obejmuje m.in. platformy crowdfundingowe, agentów ubezpieczeniowych, zarządzających portfelami.
Krok 2: Zbudujcie rejestr ICT
Zinwentaryzujcie wszystkie systemy ICT — ERP, CRM, banking, cloud services, on-premise. Każdy system w rejestrze: dostawca, funkcja, klasyfikacja krytyczności, umowa.
Krok 3: Oceńcie DORA-compliance dostawców
Dla każdego krytycznego dostawcy ICT (w tym ERP) sprawdźcie:
- Czy dostawca jest gotowy podpisać umowę DORA-compliant?
- Czy ma ISO 27001 lub SOC 2?
- Czy ma plan ciągłości i disaster recovery?
- Czy dane są w UE?
Krok 4: Zaktualizujcie umowy
Dodajcie klauzule DORA do umów z krytycznymi dostawcami ICT — lub wynegocjujcie nowe umowy.
Krok 5: Wdrożcie zarządzanie incydentami
Przygotujcie procedury klasyfikacji incydentów ICT i raportowania do KNF/NBP z terminami DORA (4h / 72h / 1 miesiąc).
Często zadawane pytania
Czy DORA dotyczy małych instytucji finansowych? Tak, ale z pewnymi uproszczeniami. DORA obejmuje wszystkie instytucje finansowe UE objęte zakresem — banki, zakłady ubezpieczeń, biura maklerskie, instytucje płatnicze, fundusze inwestycyjne. Małe instytucje finansowe mają stosować zasadę proporcjonalności — wymagania są dostosowane do skali i profilu ryzyka. Jednak obowiązek rejestracji ICT, zarządzania ryzykiem ICT i raportowania incydentów dotyczy wszystkich bez wyjątku.
Jakie są wymagania DORA wobec dostawców ERP? DORA klasyfikuje dostawców ICT na „krytycznych” i „nieistotnych”. Krytyczni dostawcy ICT (Komisja Europejska sporządza listę) podlegają bezpośrednio DORA i nadzorowi KE. Dostawcy ERP klasyfikowani przez instytucję finansową jako ważni muszą spełniać wymagania umowne DORA: klauzule audytu, plany ciągłości, SLA z RTO/RPO, raportowanie incydentów do klienta w 24h, prawo do inspekcji, zakaz exclusive sub-przetwarzania bez zgody. Sprawdź, czy Wasz dostawca ERP podpisuje umowy DORA-compliant.
Jak wygląda testowanie odporności (DORA TLPT) w praktyce? TLPT (Threat-Led Penetration Testing) wymagany przez DORA dla największych instytucji finansowych to coś więcej niż standardowy pen-test — symuluje realistyczny cyberatak na żywych systemach produkcyjnych z użyciem rzeczywistych technik zaawansowanych atakujących (Threat Intelligence). W Polsce TLPT koordynowany jest przez KNF według TIBER-PL framework. Dla mniejszych instytucji DORA dopuszcza uproszczone testowanie (vulnerability assessment, wewnętrzny pen-test, third-party pen-test). Dostawca ERP musi udostępniać środowisko testowe i współpracować przy TLPT.