Wyślij zapytanie

Rozporządzenie DORA – kompleksowy przewodnik – czym jest i jak zapewnić zgodność z DORA?

Obrazek wyróżniający - rozporządzenie DORA
Twoja firma dostarcza rozwiązania dla sektora finansowego? Uważaj, bo nowe przepisy UE mogą fundamentalnie zmienić reguły tej współpracy. Z tego artykułu dowiesz się czym jest DORA i jak przygotować się na nadchodzące wymogi regulacyjne.

Spis treści

Branża finansów i systemów finansowych cyfrowych zmienia się w błyskawicznym tempie, a wraz z nią rosną wyzwania związane z cyberbezpieczeństwem i odpornością operacyjną. W dobie finansów cyfrowych, Rozporządzenie DORA (Digital Operational Resilience Act) to odpowiedź Unii Europejskiej na te wyzwania. DORA jest częścią unijnego pakietu dot. finansów cyfrowych. DORA to regulacja dotycząca operacyjnej odporności cyfrowej sektora finansowego – ma na celu zwiększenie odporności cyfrowej i wprowadzenia ram zarządzania ryzykiem związanym z działalnością na rynku finansowym. 

Dla firm technologicznych współpracujących z bankami, ubezpieczycielami czy instytucjami płatniczymi, wdrożenie przepisów DORA oznacza nowe obowiązki, wymogi i potencjalne szanse biznesowe. Poznanie tych regulacji już teraz pozwoli Ci przygotować swoją firmę na nadchodzące zmiany i wykorzystanie nowych możliwości rynkowych.

Z tego artykułu dowiesz się, czym dokładnie jest DORA, jakie podmioty obejmuje, jakie nakłada obowiązki oraz jak przygotować swoją firmę technologiczną do spełnienia nowych wymogów prawnych.

Nie wiesz, jak przygotować swoją firmę tech na DORA? Pomożemy Ci sprawdzić, co musisz zmienić i jak to zrobić. Umów się na bezpłatną, 15-minutową konsultację z prawnikiem – ekspertem.

Czym jest rozporządzenie DORA i dlaczego UE wprowadziła tę regulację?

💡 DORA (Digital Operational Resilience Act) to rozporządzenie Parlamentu Europejskiego i Rady UE nr 2022/2554, które od 17 stycznia 2025 r. wymaga od sektora finansowego i ich dostawców ICT wdrożenia kompleksowych ram zarządzania ryzykiem cyfrowym. UE wprowadziła DORA w odpowiedzi na rosnące cyberataki i fragmentację przepisów w państwach członkowskich.

Rozporządzenie DORA w sprawie operacyjnej odporności cyfrowej sektora finansowego narzuca zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych, czyli ich zdolności do zapewnienia ciągłości usług finansowych pomimo poważnych zakłóceń operacyjnych. Ponadto DORA wprowadza nowe,  jednolite wymagania dotyczące bezpieczeństwa sieci i systemów informatycznych, które wspierają procesy biznesowe instytucji finansowych.

Dlaczego UE zdecydowała się na wprowadzenie tej regulacji? Powodów jest kilka:

  • rosnąca liczba cyberataków na instytucje finansowe,
  • zwiększająca się zależność sektora finansowego od technologii cyfrowych,
  • fragmentacja przepisów dotyczących cyberbezpieczeństwa w różnych krajach UE,
  • potrzeba uregulowania relacji między podmiotami finansowymi a dostawcami usług ICT,
  • konieczność wprowadzenia skutecznych mechanizmów nadzoru nad krytycznymi dostawcami technologii.

DORA jest częścią szerszej strategii cyfrowej UE i uzupełnia inne regulacje, takie jak RODO czy dyrektywa NIS2. Rozporządzenie stanowi kompleksowe podejście do operacyjnej odporności cyfrowej w sektorze finansowym, obejmując zarówno podmioty finansowe, jak i ich dostawców technologicznych.

Kogo czeka obowiązkowe wdrożenie rozporządzenia DORA?

💡 DORA obejmuje wszystkie firmy świadczące usługi cyfrowe dla sektora finansowego – od dostawców oprogramowania, przez firmy chmurowe, po dostawców infrastruktury IT. Szczególnie rygorystyczne wymogi dotyczą „krytycznych dostawców ICT” obsługujących wiele instytucji finansowych.

Kto podlega DORA i w jakim zakresie? Prosta tabela:

TYP PODMIOTUPRZYKŁADYPOZIOM WYMOGÓWNADZÓR
Instytucje finansoweBanki, ubezpieczyciele, firmy inwestycyjnePełne wymogi DORAKrajowy (KNF)
„Zwykli” dostawcy usług ICTMałe firmy IT, lokalni integratorzyWymogi proporcjonalnePośredni przez klientów
Krytyczni dostawcy usług ICTAWS, Microsoft, Google CloudPełne wymogi + dodatkowe obowiązkiBezpośredni nadzór ESAs
Dostawcy usług ICT -mikroprzedsiębiorstwaFreelancerzy IT, startupy <10 osóbPodstawowe wymogiOgraniczony

Rozporządzenie DORA ma na celu zwiększenie bezpieczeństwa podmiotów sektora finansowego, więc obejmuje szeroki zakres podmiotów działających w sektorze finansowym. Dora wymaga od instytucji finansowych wielu nowych obowiązków. Rozporządzenie wprowadza nowe regulacje szczególnie w ramach rynków finansowych. Naruszenie przepisów DORA może skutkować dotkliwymi karami, ze względu na fakt, że DORA zapewnia bogate mechanizmy kontrolne organom nadzorczym. 

Podmioty objęte DORA to m.in.:

  • instytucje kredytowe (banki),
  • firmy inwestycyjne,
  • zakłady ubezpieczeń i reasekuracji,
  • instytucje płatnicze i pieniądza elektronicznego,
  • dostawców usług w zakresie kryptoaktywów,
  • centralne depozyty papierów wartościowych,
  • administratorów wskaźników referencyjnych.

Jednak z perspektywy firm technologicznych najważniejsze jest to, że DORA reguluje również działalność dostawców usług ICT dla sektora finansowego. Tutaj właśnie pojawia się kluczowe pytanie – czy Twoja firma technologiczna podlega tym przepisom?

Zgodnie z rozporządzeniem, za dostawcę usług ICT uznaje się każdy podmiot świadczący usługi cyfrowe i związane z danymi, które wspierają procesy biznesowe podmiotów finansowych.

Obejmuje to:

  • dostawców oprogramowania i rozwiązań chmurowych,
  • firmy zajmujące się bezpieczeństwem IT,
  • dostawców infrastruktury i sprzętu IT,
  • firmy analityczne i przetwarzające dane,
  • podmioty odpowiedzialne za utrzymanie systemów.

Szczególnie istotna jest kategoria „krytycznych dostawców usług ICT”, czyli tych, których usługi mają kluczowe znaczenie dla funkcjonowania podmiotu finansowego. DORA zwiększa wymagania właśnie dla ww. dostawców. Dostawcy zakwalifikowani do tej grupy będą podlegać bezpośredniej kontroli ze strony europejskich organów, co wiąże się z dodatkowymi wymogami i obowiązkami.

Warto podkreślić, że nawet jeśli Twoja firma technologiczna nie jest bezpośrednio objęta DORA, to prawdopodobnie będziesz musiał dostosować się do wymogów tej regulacji, jeśli świadczysz usługi dla podmiotów finansowych. Wynika to z faktu, że instytucje finansowe będą wymagać od swoich dostawców ICT spełnienia wszystkich wymogów DORA w ramach łańcucha dostaw. Rozporządzenie DORA narzuca ten standard Twoim klientom.

Jakie wyłączenia przewiduje DORA?

💡 Tak, częściowe wyłączenia dotyczą mikroprzedsiębiorstw spełniających określone kryteria, ale tylko w zakresie niektórych wymogów. Wszyscy dostawcy ICT, niezależnie od wielkości, muszą spełniać podstawowe wymogi zarządzania ryzykiem i raportowania incydentów.

Nie wszystkie podmioty muszą stosować się do pełnego zakresu wymagań rozporządzenia w sprawie operacyjnej odporności cyfrowej. Przepisy przewidują pewne wyłączenia, które mogą być istotne szczególnie dla małych firm technologicznych i startupów.

Najważniejsze wyłączenie dotyczy mikroprzedsiębiorstw, które spełniają określone kryteria. Jednak to wyłączenie nie jest automatyczne – ma zastosowanie tylko do niektórych wymogów DORA i pod pewnymi warunkami. Każdorazowo analiza, czy Twój biznes nie podlega pod przepisy DORA – wymaga analizy prawnej.

Dodatkowo DORA została oparta na zasadzie proporcjonalności, co oznacza, że wymagania powinny być stosowane z uwzględnieniem:

  • wielkości podmiotu,
  • profilu ryzyka,
  • znaczenia systemowego,
  • charakteru, skali i złożoności świadczonych usług.

To podejście może oznaczać mniej rygorystyczne wymogi dla mniejszych dostawców usług ICT, którzy nie są uznawani za krytycznych.

Warto jednak pamiętać, że nawet podmioty, które korzystają z wyłączeń, muszą spełniać podstawowe wymogi w zakresie zarządzania ryzykiem ICT i zgłaszania poważnych incydentów. Ponadto, ze względu na presję rynkową, podmioty finansowe mogą wymagać od wszystkich swoich dostawców spełnienia pełnych wymogów DORA, niezależnie od formalnych wyłączeń.

Przypadki graniczne, które wymagają szczególnej uwagi:

  • dostawcy usług, którzy obsługują krytyczne procesy finansowe, nawet jeśli stanowią małą część ich działalności,
  • firmy świadczące usługi dla wielu podmiotów finansowych, co może zwiększyć ich znaczenie systemowe.

Jakie są główne obowiązki podmiotów finansowych wynikające z DORA?

Rozporządzenie DORA skupia szereg obowiązków związanych z zarządzaniem ryzykiem ICT. Dla firm technologicznych ważne jest zrozumienie tych wymogów, ponieważ będą one musiały wspierać swoich klientów w ich spełnieniu.

DORA wprowadza jednolite ramy zarządzania ryzykiem ICT. 

Obejmuje to:

  • identyfikację i klasyfikację procesów biznesowych pod kątem ich znaczenia,
  • mapowanie zależności od systemów ICT i zewnętrznych dostawców,
  • ocenę ryzyka związanego z ICT i określenie poziomu tolerancji na to ryzyko,
  • regularne przeglądy i aktualizacje strategii zarządzania ryzykiem,
  • wdrożenie odpowiednich mechanizmów kontroli i monitorowania.

Kolejnym kluczowym obszarem jest system zgłaszania incydentów. Podmioty finansowe muszą:

  • klasyfikować incydenty według ich wagi (poważne i niepoważne),
  • zgłaszać poważne incydenty związane z ICT właściwym organom nadzoru,
  • przestrzegać ściśle określonych terminów raportowania,
  • prowadzić rejestry wszystkich incydentów i analizować ich przyczyny.

DORA pomaga wypracować standardy i kładzie nacisk na testowanie cyfrowej odporności operacyjnej. Wymaga to:

  • regularnego przeprowadzania testów systemów ICT ,
  • wykonywania zaawansowanych testów penetracyjnych dla krytycznych systemów,
  • angażowania niezależnych ekspertów do przeprowadzania testów zgodnie z wymaganiami DORA,
  • wdrażania metodyki testowania opartej na ryzyku.

Istotnym elementem jest również zapewnienie ciągłości działania i posiadanie planów awaryjnych:

  • opracowanie strategii ciągłości działania i odtwarzania po awarii,
  • regularne testowanie i aktualizowanie planów awaryjnych,
  • uwzględnienie scenariuszy związanych z cyberzagrożeniami,
  • zapewnienie redundancji systemów i danych.

Te wymagania będą miały bezpośredni wpływ na sposób, w jaki firmy technologiczne muszą projektować, wdrażać i utrzymywać swoje rozwiązania dla sektora finansowego. Oferowane systemy będą musiały umożliwiać podmiotom finansowym spełnienie wszystkich tych wymogów, co może wymagać znaczących zmian w istniejących produktach i usługach. Jak widać, DORA promuje wymianę informacji. 

Przykładowy proces raportowania incydentów DORA.

Grafika przedstawiająca przykładowy proces raportowania incydentów DORA

Jakie konkretne obowiązki mają dostawcy usług ICT?

DORA przynosi szereg nowych obowiązków dla firm technologicznych współpracujących z sektorem finansowym. Jako dostawca usług ICT dla podmiotów finansowych, Twoja firma będzie musiała dostosować się do nowych wymagań, nawet jeśli sama nie podlega bezpośrednio nadzorowi finansowemu.

Jednym z kluczowych obowiązków jest aktywne wsparcie podmiotów finansowych w zarządzaniu ryzykiem ICT. W praktyce oznacza to, że będziesz musiał dostarczać swoim klientom z sektora finansowego szczegółowych informacji o swoich zabezpieczeniach, procedurach i mechanizmach kontroli. 

Może to obejmować:

  • dokumentację techniczną systemów i aplikacji,
  • wyniki audytów bezpieczeństwa i testów penetracyjnych,
  • informacje o potencjalnych zagrożeniach w środowisku IT,
  • szczegółowe opisy mechanizmów kontrolnych,
  • raporty z incydentów, które mogłyby wpłynąć na usługi klienta.

DORA nakłada obowiązek raportowania incydentów związanych z bezpieczeństwem cyfrowym. Każdy dostawca usług ICT będzie musiał zgłaszać podmiotom finansowym wszelkie poważne incydenty, które mogą wpłynąć na ciągłość świadczonych usług lub bezpieczeństwo danych. Co ważne, rozporządzenie wprowadza jednolite kryteria klasyfikacji incydentów oraz ściśle określone terminy ich zgłaszania, co wymaga przygotowania odpowiednich procedur i narzędzi.

Kolejnym istotnym wymogiem jest uczestnictwo w testach odporności operacyjnej. Podmioty finansowe są zobowiązane do regularnego testowania swojej cyfrowej odporności operacyjnej, w tym systemów dostarczanych przez zewnętrznych dostawców usług ICT.

Dla wielu firm technologicznych oznacza to konieczność przygotowania się do:

  • współpracy przy testach penetracyjnych infrastruktury i aplikacji,
  • uczestnictwa w symulacjach cyberataków i scenariuszach kryzysowych,
  • przeprowadzania testów obciążeniowych systemów,
  • dokumentowania i raportowania wyników testów.

Dodatkowo Rozporządzenie DORA reguluje kwestie związane z umowami. Wszystkie umowy z podmiotami finansowymi będą musiały zostać dostosowane do nowych wymagań, obejmujących m.in. szczegółowe zapisy o poziomie usług (SLA), procedurach zgłaszania incydentów, ciągłości działania czy prawie do audytu.

Dla startupów i mniejszych firm technologicznych może to oznaczać konieczność gruntownej rewizji istniejących kontraktów i wzorów umów.

Szczególnie istotne są wymogi dotyczące przetwarzania danych. Dostawcy usług ICT muszą zapewnić odpowiednie środki techniczne i organizacyjne zabezpieczające dane osobowe i inne poufne informacje. DORA w tym zakresie uzupełnia istniejące już regulacje, takie jak RODO, dodając dodatkowe wymagania specyficzne dla sektora finansowego.

Przykład: Firma technologiczna (15 pracowników) dostarcza moduł analityczny dla 2 banków regionalnych. Mimo że przychody z sektora finansowego to tylko 20% obrotów, firma ta musi:

  • wdrożyć system klasyfikacji i raportowania incydentów,
  • uczestniczyć w testach penetracyjnych zlecanych przez banki,
  • dostarczyć bankom pełną dokumentację zabezpieczeń,
  • zgłaszać incydenty mogące wpłynąć na ciągłość usług w ciągu 24h,
  • zaktualizować umowy o klauzule DORA do stycznia 2025.

Masz wątpliwości dotyczące tego, jak DORA wpłynie na Twój biznes? Nasi prawnicy-praktycy z branży tech są tu, aby Ci pomóc. Umów się na bezpłatną konsultację prawną online.

Kto i jak będzie kontrolował dostawców ICT?

Jednym z najbardziej innowacyjnych aspektów rozporządzenia DORA jest wprowadzenie bezpośredniego nadzoru nad krytycznymi dostawcami usług ICT dla sektora finansowego. Jest to fundamentalna zmiana w podejściu regulacyjnym UE, która po raz pierwszy rozszerza kompetencje organów nadzoru finansowego na podmioty spoza tego sektora.

Nadzór będzie sprawowany przez Europejskie Urzędy Nadzoru (ESAs) oraz odpowiednie urzędy krajowe (w Polsce – KNF), czyli:

  • Europejski Urząd Nadzoru Bankowego (EBA),
  • Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA),
  • Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

Kluczowym elementem nowego systemu nadzoru jest procedura wyznaczania krytycznych dostawców usług ICT. Europejskie Urzędy Nadzoru będą identyfikować dostawców o szczególnym znaczeniu systemowym dla unijnego sektora finansowego, biorąc pod uwagę takie czynniki jak:

  • liczba i znaczenie systemowe obsługiwanych podmiotów finansowych,
  • stopień zależności sektora finansowego od usług dostawcy,
  • potencjalny wpływ zakłóceń w świadczeniu usług na stabilność finansową UE,
  • zastępowalność usług dostawcy.

Dostawcy uznani za krytycznych będą podlegać regularnym inspekcjom i ocenom ze strony wyznaczonego „wiodącego nadzorcy”. Będą także zobowiązani do wdrożenia zaleceń i środków naprawczych określonych przez organy nadzoru.

W przypadku nieprzestrzegania wymogów DORA, organy nadzoru będą miały do dyspozycji szereg sankcji, w tym:

  • wydawanie zaleceń i nakazów dotyczących określonych działań naprawczych,
  • nakładanie okresowych kar finansowych,
  • w skrajnych przypadkach – żądanie rozwiązania umów z podmiotami finansowymi.

Dla firm technologicznych oznacza to konieczność przygotowania się na potencjalną bezpośrednią interakcję z europejskimi organami nadzoru, co może wymagać znaczących dostosowań organizacyjnych i proceduralnych.

Jakie są największe wyzwania przy wdrażaniu rozporządzenia DORA?

Pełne wdrożenie DORA stanowi poważne wyzwanie zarówno dla podmiotów finansowych, jak i dla dostawców usług ICT. Rozporządzenie nakłada mnóstwo nowych obowiązków. Firmy technologiczne muszą przygotować się na szereg praktycznych trudności związanych z dostosowaniem do nowych regulacji.

Jednym z największych wyzwań jest kompleksowe mapowanie i audyt istniejących systemów ICT. Wymaga to:

  • identyfikacji wszystkich systemów i aplikacji używanych do świadczenia usług dla podmiotów finansowych,
  • analizy zależności między systemami,
  • oceny aktualnego poziomu bezpieczeństwa i odporności,
  • dokumentacji procesów i procedur związanych z zarządzaniem incydentami.

Dostosowanie umów z podmiotami finansowymi to kolejny obszar wymagający znacznego nakładu pracy. Konieczne będzie:

  • przegląd wszystkich istniejących kontraktów,
  • negocjowanie nowych warunków zgodnych z wymogami DORA,
  • doprecyzowanie obowiązków dotyczących raportowania incydentów,
  • określenie zasad testowania odporności operacyjnej,
  • wdrożenie mechanizmów zapewniających prawo do audytu.

Wdrożenie nowych procedur testowania odporności operacyjnej może być szczególnie trudne dla mniejszych firm technologicznych. Obejmuje to:

  • opracowanie metodyki testowania zgodnej z wymogami DORA,
  • budowę odpowiednich środowisk testowych,
  • pozyskanie kompetencji w zakresie zaawansowanych testów penetracyjnych,
  • tworzenie i wdrażanie planów naprawczych po wykryciu luk.

Nie mniej istotne jest budowanie świadomości i kompetencji w organizacji. Firmy technologiczne będą musiały:

  • przeszkolić pracowników z zakresu nowych wymogów regulacyjnych,
  • stworzyć lub rozbudować zespoły odpowiedzialne za zgodność z przepisami,
  • wprowadzić kulturę bezpieczeństwa i odporności operacyjnej,
  • zapewnić odpowiednią komunikację wewnętrzną i zewnętrzną dotyczącą incydentów.

Wszystkie te wyzwania wymagają znacznych nakładów finansowych, czasowych i kompetencyjnych.  Dla wielu mniejszych firm technologicznych i startupów może to stanowić poważne obciążenie, ale jednocześnie stwarza szansę na budowanie przewagi konkurencyjnej poprzez wczesne dostosowanie się do wymogów DORA.

Kiedy dokładnie wchodzą w życie przepisy DORA?

Rozporządzenie DORA weszło w życie 16 stycznia 2023 roku, jednak pełne wdrożenie przepisów jest procesem rozłożonym w czasie. Harmonogram implementacji jest kluczową informacją dla firm technologicznych, które muszą odpowiednio zaplanować swoje działania dostosowawcze.

Najważniejsze daty w harmonogramie wdrażania DORA:

  • 16 stycznia 2023 r. – wejście w życie rozporządzenia,
  • 17 stycznia 2025 r. – rozpoczęcie stosowania  przepisów DORA w całości,

Warto podkreślić, że DORA nie działa w izolacji – jest częścią szerszego ekosystemu regulacji europejskich. 

Szczególnie istotne są powiązania z:

  • dyrektywą NIS2, która określa wymogi cyberbezpieczeństwa dla sektorów kluczowych,
  • RODO, które reguluje kwestie ochrony danych osobowych,

Firmy technologiczne powinny planować swoje działania z uwzględnieniem nie tylko DORA, ale także tych powiązanych regulacji, aby zapewnić kompleksową zgodność z wymogami prawnymi UE.

Jak przygotować się do obowiązków wynikających z DORA?

Wczesne dostosowanie do wymogów rozporządzenia nie tylko zapewni zgodność prawną, ale może też stać się przewagą konkurencyjną.

Rekomendowane działania dla dostawców usług ICT:

  • przeprowadzenie wstępnej samooceny w kontekście wymogów DORA,
  • mapowanie usług świadczonych podmiotom finansowym,
  • analiza, czy firma może zostać uznana za krytycznego dostawcę,
  • przegląd istniejących umów z klientami z sektora finansowego,
  • ocena obecnych procedur zarządzania incydentami.

Przygotowanie odpowiedniej dokumentacji i procedur to kolejny istotny krok:

  • opracowanie lub aktualizacja polityki bezpieczeństwa,
  • stworzenie procedur zgłaszania i obsługi incydentów,
  • przygotowanie szablonów umów zgodnych z wymogami DORA,
  • dokumentacja procesów zarządzania ryzykiem ICT,
  • opracowanie metodyki testowania odporności operacyjnej.

Proaktywne działania, które zwiększą szanse na zgodność z DORA, obejmują:

  • inwestycje w narzędzia do monitorowania i ochrony infrastruktury IT,
  • budowanie kompetencji zespołu w zakresie cyberbezpieczeństwa,
  • nawiązanie współpracy z ekspertami prawnym specjalizującymi się w regulacjach sektora finansowego,
  • dobrowolne testy penetracyjne i audyty bezpieczeństwa,
  • dialog z klientami z sektora finansowego na temat wspólnego przygotowania do DORA.

Warto również rozważyć potencjalne korzyści biznesowe wynikające z DORA.

Nowe regulacje mogą stworzyć zapotrzebowanie na specjalistyczne usługi związane z testowaniem odporności operacyjnej, zarządzaniem incydentami czy raportowaniem zgodnym z wymogami rozporządzenia.

FAQ – Najczęściej zadawane pytania o DORA

Czy moja 5-osobowa firma IT musi stosować DORA?

Tak, jeśli świadczysz usługi dla banków lub innych podmiotów finansowych. Wielkość firmy nie zwalnia z obowiązków, choć wymogi są stosowane proporcjonalnie.

Jakie kary grożą za nieprzestrzeganie DORA?

Organy nadzoru mogą nałożyć okresowe kary pieniężne do czasu usunięcia naruszeń. W skrajnych przypadkach mogą żądać rozwiązania umów z podmiotami finansowymi.

Czy dostarczanie jednego modułu do systemu bankowego oznacza objęcie DORA?

Tak. Nawet dostarczanie pojedynczego komponentu, który wspiera procesy biznesowe banku, kwalifikuje firmę jako dostawcę ICT podlegającego DORA.

Do kiedy muszę dostosować umowy z klientami?

Do 17 stycznia 2025 r. wszystkie umowy z podmiotami finansowymi muszą zawierać klauzule wymagane przez DORA. Jeśli nadal ich nie masz – najwyższa pora!

Czy DORA dotyczy też firm spoza UE?

Tak, jeśli świadczą usługi ICT dla podmiotów finansowych działających w UE. Lokalizacja firmy nie ma znaczenia – liczy się miejsce świadczenia usług.

Podsumowanie – najważniejsze informacje

Rozporządzenie DORA wprowadza fundamentalne zmiany w podejściu do cyberbezpieczeństwa i odporności operacyjnej w sektorze finansowym UE. Dla firm technologicznych współpracujących z tym sektorem oznacza to zarówno wyzwania, jak i nowe możliwości biznesowe.

Najważniejsze wnioski z naszej analizy:

  • DORA bezpośrednio lub pośrednio wpłynie na każdą firmę technologiczną świadczącą usługi dla sektora finansowego,
  • firmy uznane za krytycznych dostawców usług ICT będą podlegać bezpośredniemu nadzorowi europejskich organów regulacyjnych,
  • dostawcy będą musieli dostosować swoje procedury, umowy i systemy do nowych wymogów,
  • wczesne przygotowanie do DORA może stać się przewagą konkurencyjną,
  • pełne stosowanie przepisów rozpoczęło się 17 stycznia 2025 r.

Kluczowe rzeczy do zapamiętania:

  • przeprowadź ocenę swojej sytuacji w kontekście DORA,
  • zweryfikuj i dostosuj umowy z klientami z sektora finansowego,
  • przygotuj procedury zgłaszania i obsługi incydentów,
  • inwestuj w bezpieczeństwo i odporność swoich systemów,
  • bądź gotowy na uczestnictwo w testach odporności operacyjnej.

Wdrożenie DORA stanowi część szerszej strategii UE mającej na celu zwiększenie bezpieczeństwa i odporności na zagrożenia cybernetyczne. Dla firm technologicznych, które odpowiednio się przygotują, nowe regulacje mogą stać się szansą na rozwój i umocnienie pozycji rynkowej.

Zależy Ci na bezpiecznym rozwoju w sektorze finansowym? Przepisy DORA mogą znacząco wpłynąć na Twoje operacje ICT i współpracę z podmiotami finansowymi. Sprawdź, jak przygotować się na nowe wymagania – umów bezpłatną konsultację z naszym prawnikiem – ekspertem.

Zdjęcie dodane przez Vlada Karpovich.

Picture of Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem i CEO w kancelarii Creativa Legal, mentorem i twórcą internetowym. Specjalizuję się w bezproblemowej obsłudze prawnej klientów z sektora technologicznego m.in. startupy, SaaS, spółki technologiczne, agencje marketingowe, czy e-commerce B2C/B2B. Jako prawnik, jak i przedsiębiorca, koncentruję się na wyznaczonym celu, starając się przewidzieć potencjalne zagrożenia w jego osiągnięciu. To z kolei sprawia, że trudno jest mnie zaskoczyć – a co za tym idzie – moich klientów. Poznaj autora.

Newsletter, który pomoże Ci się rozwijać!

Dołącz do społeczności właścicieli, kadry zarządzającej i managerskiej w firmach takich jak Twoja!

Zaufało nam już ponad 7000 osób :)

Raz w miesiącu otrzymasz od nas wiadomość edukacyjną w ramach Twojej branży, case study prawne i biznesowe, czy masę innych wartościowych informacji. 

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Zapoznaj się z naszą Polityką prywatności.

Przeczytaj także inne artykuły

Convertible note – jak działa pożyczka konwertowalna na udziały? Przewodnik dla startupów i inwestorów
Convertible note – jak działa pożyczka konwertowalna na udziały? Przewodnik dla startupów i inwestorów
Jak napisać politykę prywatności zgodną z RODO? Kompletny przewodnik dla sklepu internetowego
Jak napisać politykę prywatności zgodną z RODO? Kompletny przewodnik dla sklepu internetowego
Pliki cookies zgodne z prawem - jak je wdrożyć w 2025 roku?
Pliki cookies zgodne z prawem - jak je wdrożyć w 2025 roku?

Skonsultuj rozwiązania prawne dla Twojego biznesu

Uzupełnij formularz, a my skontaktujemy się z Tobą i przedstawimy rozwiązania dopasowane do Twojej konkretnej sytuacji – lub napisz do nas na office@creativa.legal

Skontaktuj się z nami, jeśli:

  • szukasz rozwiązania swojego problemu,
  • chcesz poznać sposoby na zabezpieczenie swojego biznesu,
  • chcesz wiedzieć, jak przebiega współpraca z nami,
  • chcesz poznać terminy i koszty,
  • chcesz nas sprawdzić i poczuć, czy będziemy się dogadywać i mamy wspólną energię 🙂

Skontaktujemy się z Tobą w ciągu 24h w celu ustalenia Twoich potrzeb i kolejnych kroków.

Arkadiusz Szczudło

Adwokat, CEO w kancelarii Creativa Legal

Sprawdź nas podczas bezpłatnej konsultacji

Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

CREATIVA LEGAL Szczudło spółka komandytowa (dawniej – CREATIVA LEGAL Korol Szczudło adwokaci spółka partnerska)
ul. Zajęcza 15, 00-351 Warszawa
KRS 0001149210, NIP 5252890409, REGON 520855199

Główne informacje

Komu pomagamy

Baza wiedzy