DORA: Nowe obowiązki cyberbezpieczeństwa dla instytucji finansowych od 2025 roku

cze 26, 2025 | Bezpieczeństwo

Czy Twoja organizacja jest zgodna z przepisami DORA?
Od 17 stycznia 2025 r. wszystkie instytucje finansowe w Unii Europejskiej są zobowiązane do przestrzegania wymogów rozporządzenia DORA (Digital Operational Resilience Act). Ten akt prawny ma zwiększyć odporność cyfrową sektora finansowego nawet w przypadku incydentów, cyberataków czy awarii systemów.

 

Czym jest rozporządzenie DORA?

 

DORA to unijne rozporządzenie, które wprowadza jednolite zasady zarządzania ryzykiem ICT (technologii informacyjno-komunikacyjnych) w sektorze finansowym.
Celem przepisów jest zapewnienie ciągłości działania, bezpieczeństwa danych oraz skutecznego reagowania na incydenty cyfrowe.

 

Od kiedy DORA obowiązuje?

 

Rozporządzenie zostało przyjęte 28 listopada 2022 r., a jego przepisy weszły w życie 17 stycznia 2025 r.
Instytucje finansowe miały ponad dwa lata na dostosowanie się do nowych wymagań. Obecnie brak zgodności może skutkować kontrolami i sankcjami.

 

Kogo dotyczy DORA?

 

DORA obejmuje szeroki zakres podmiotów – nie tylko banki. Do spełnienia wymagań są zobowiązane m.in.:

  • instytucje kredytowe i płatnicze 
  • firmy inwestycyjne i zarządzające aktywami 
  • zakłady ubezpieczeń i pośrednicy 
  • giełdy, systemy obrotu i repozytoria danych 
  • podmioty związane z kryptowalutami 
  • dostawcy usług chmurowych i fintechów 

Jeśli Twoja firma świadczy usługi finansowe lub technologiczne dla sektora finansowego – DORA z dużym prawdopodobieństwem Was dotyczy.

 

Jakie obowiązki wynikają z DORA?

 

Na mocy DORA, instytucje finansowe muszą:

  • zarządzać ryzykiem ICT – również w relacjach z zewnętrznymi dostawcami 
  • posiadać procedury reagowania na incydenty i raportować je do regulatorów 
  • zapewnić ciągłość działania systemów w razie awarii lub cyberataku 
  • przeprowadzać regularne testy odporności i audyty ICT 
  • utrzymywać aktualne, bezpieczne środowisko technologiczne 

Co grozi za brak zgodności z DORA?

Brak wdrożenia obowiązków wynikających z DORA może skutkować:

 

1. Sankcjami administracyjnymi i finansowymi

  • kary nakładane przez krajowy organ nadzorczy (np. KNF) 
  • zobowiązania do usunięcia niezgodności 
  • ograniczenie lub zawieszenie działalności w zakresie usług cyfrowych 

2. Utratą zaufania klientów i partnerów

  • ujawnienie niezgodności obniża wiarygodność rynkową 
  • ryzyko zerwania współpracy z partnerami lub inwestorami 

3. Ryzykiem operacyjnym i reputacyjnym

  • większa podatność na incydenty bezpieczeństwa 
  • brak gotowych procedur może prowadzić do kosztownych błędów 
  • potencjalne straty finansowe, utrata danych i kryzysy wizerunkowe
     

Dlaczego zgodność z DORA jest tak ważna?

 

W dobie rosnącej liczby cyberataków i intensywnego rozwoju technologii, odporność cyfrowa to fundament stabilności finansowej.
Zgodność z DORA oznacza:

  • ograniczenie ryzyka operacyjnego
  • lepszą ochronę danych klientów 
  • uporządkowanie współpracy z dostawcami technologii 
  • spełnienie wymogów UE i zbudowanie przewagi konkurencyjnej 
  • wzmocnienie zaufania klientów i interesariuszy
     

Co dalej?

Jeśli Twoja organizacja nie wdrożyła jeszcze wszystkich wymagań DORA, to czas działać natychmiast.
To nie tylko obowiązek prawny, ale również realna inwestycja w bezpieczeństwo, ciągłość biznesu i reputację marki.

 

Sprawdź, czy Twoja organizacja spełnia wymogi DORA

Nie ryzykuj kar i utraty zaufania rynku.
Skontaktuj się z naszymi ekspertami ds. cyberbezpieczeństwa i przeprowadź audyt zgodności z DORA – zanim będzie za późno.

 

Powiązane artykuły