DORA dla sektora finansowego - obowiązkowe

Q: Czy DORA dotyczy tylko dużych banków, czy także mniejszych instytucji finansowych?

DORA ma szeroki zakres i obejmuje praktycznie wszystkie podmioty finansowe w UE, niezależnie od wielkości: • Banki – wszystkie, od największych po małe banki spółdzielcze • Instytucje płatnicze i e-money – w tym małe fintechy • Firmy ubezpieczeniowe – wszystkie, niezależnie od wielkości • Firmy inwestycyjne – w tym małe domy maklerskie • Platformy kryptowalutowe (CASP) Proporcjonalność: DORA przewiduje zasadę proporcjonalności – mniejsze, mniej złożone instytucje mogą stosować uproszczone podejście. Przykładowo: • TLPT (zaawansowane testy penetracyjne) są wymagane tylko dla dużych, systemowo istotnych instytucji • Framework zarządzania ryzykiem ICT powinien być proporcjonalny do wielkości i złożoności Ale: Nawet mała instytucja musi spełnić podstawowe wymogi DORA (risk management, incident reporting, vendor contracts, basic testing).

Q: Ile czasu mamy na wdrożenie DORA?

DORA weszła w życie 17 stycznia 2025 roku. To oznacza, że od tej daty instytucje finansowe muszą być zgodne z wymogami. W praktyce: • Jeśli jeszcze nie rozpocząłeś przygotowań – zaczynaj natychmiast • Organy nadzorcze (KNF, NBP) rozpoczęły już audyty zgodności z DORA • Brak compliance może skutkować karami i nakazami natychmiastowego usunięcia naruszeń Timeline działań: • Natychmiast (miesiąc 1-2): Gap analysis i priorytetyzacja • Miesiąc 2-6: Szkolenia zespołów, aktualizacja procesów i dokumentacji, renegocjacja kontraktów z dostawcami • Ongoing: Regularne testy, ćwiczenia, ciągłe doskonalenie

Q: Jakie są najczęstsze błędy instytucji finansowych w przygotowaniach do DORA?

1. Traktowanie DORA jako "projektu IT": DORA to nie tylko IT. To transformacja obejmująca risk management, legal, procurement, operations, HR (szkolenia), zarząd. Częsty błąd: CIO dostaje zadanie "zaimplementuj DORA" bez zaangażowania innych działów. 2. Niedoszacowanie vendor management: Filar 4 (third-party risk) jest najbardziej czasochłonny. Renegocjacja setek kontraktów z dostawcami ICT może zająć miesiące. Wiele instytucji odkrywa to za późno. 3. Brak zaangażowania zarządu: Art. 5 DORA explicite wymaga zaangażowania zarządu. Jeśli zarząd traktuje DORA jako "techniczny wymóg" i deleguje całość na CIO – to naruszenie DORA. 4. Niewystarczające szkolenia: Organizacje inwestują w narzędzia (SIEM, firewalle), ale zaniedbują szkolenie ludzi. Tymczasem większość incydentów ICT wynika z błędu ludzkiego (phishing, misconfiguration). 5. Brak testowania w praktyce: Istnienie procedur na papierze to nie to samo, co ich działanie w praktyce. DORA wymaga regularnego testowania. Wiele instytucji ma "piękne" BCP/DRP, które nigdy nie były testowane – i okazują się bezużyteczne podczas rzeczywistego incydentu. 6. Ignorowanie concentration risk: Instytucje często nie zdają sobie sprawy, jak bardzo są uzależnione od 1-2 kluczowych dostawców (np. jeden cloud provider dla wszystkich krytycznych systemów). To ogromne ryzyko.

Q: Czy możemy polegać na zapewnieniach naszego cloud providera o zgodności z DORA?

Częściowo, ale z dużą ostrożnością. Co cloud provider może zrobić: • Zapewnić infrastrukturę zgodną z DORA (security controls, resilience, SLA) • Dostarczyć certyfikaty i audyty (ISO 27001, SOC 2, etc.) • Umożliwić audyt (zgodnie z wymogiem DORA) • Raportować incydenty dotyczące infrastruktury Czego cloud provider NIE zrobi za Ciebie: • Nie przeprowadzi Twojego ICT risk assessment • Nie zapewni, że Ty używasz ich usług w sposób zgodny z DORA • Nie przeprowadzi Twoich testów resilience • Nie zgłosi incydentu do KNF/NBP (to Twój obowiązek, nie ich) Responsibility model: W chmurze obowiązuje shared responsibility model: • Cloud provider odpowiada za security OF the cloud (infrastruktura, hardware, networking) • Ty odpowiadasz za security IN the cloud (Twoje dane, aplikacje, konfiguracja, access management) Wymogi kontraktowe DORA: Umowa z cloud providerem musi zawierać klauzule zgodne z DORA: • Prawo do audytu (ty lub wyznaczeni audytorzy) • Exit strategy – możliwość migracji do innego providera • Lokalizacja danych (jurysdykcja) • Dostęp organów nadzorczych (KNF, NBP) • Raportowanie incydentów Praktyczny krok: Przeprowadź review umowy z cloud providerem i negocjuj dodatkowe klauzule, jeśli brakuje wymogów DORA.

Q: Kto w organizacji powinien być odpowiedzialny za DORA compliance?

DORA wymaga multidisciplinary approach. Typowa struktura odpowiedzialności: Poziom strategiczny – Zarząd: • CEO – ostateczna odpowiedzialność • Zarząd (Board) – nadzór, zatwierdzanie framework, risk appetite • Risk Committee (komitet zarządu) – nadzór nad compliance Poziom operacyjny – Management: • CRO (Chief Risk Officer) – ownership nad ICT risk management framework • CIO (Chief Information Officer) – odpowiedzialność za IT operations, resilience, vendor management • CISO (Chief Information Security Officer) – cybersecurity, incident response • COO (Chief Operating Officer) – business continuity, operational resilience • General Counsel / Chief Compliance Officer – legal interpretation, regulatory reporting, vendor contracts • CFO (Chief Financial Officer)– budżetowanie inwestycji w resilience Poziom wykonawczy: • IT Risk Manager – day-to-day risk management • Vendor Risk Manager – third-party risk management • Incident Manager – zarządzanie incydentami ICT • Business Continuity Manager – BCP/DRP • Internal Auditor– audyty compliance z DORA Nowa rola: DORA Compliance Officer? Wiele instytucji tworzy dedykowaną rolę DORA Coordinator lub Digital Operational Resilience Officer, która koordynuje działania wszystkich wymienionych wyżej zespołów i jest single point of contact dla regulatora. W małych instytucjach: Funkcje mogą być łączone (np. CIO + CISO, CRO + Compliance), ale podstawowa wiedza i odpowiedzialność musi być jasno określona.

Q: Jakie certyfikacje są najbardziej wartościowe dla compliance z DORA?

Dla Risk Managers: • CRISC (Certified in Risk and Information Systems Control) – ISACA, fokus na IT risk • CISA (Certified Information Systems Auditor) – ISACA, audyt IT controls Dla Cybersecurity Professionals: • CISSP (Certified Information Systems Security Professional) – (ISC)², najbardziej rozpoznawalna certyfikacja security • CEH (Certified Ethical Hacker) – EC-Council, dla penetration testers • GCIH (GIAC Certified Incident Handler) – GIAC/SANS, incident response Dla Business Continuity: • CBCP (Certified Business Continuity Professional) – DRI International • ISO 22301 Lead Implementer– business continuity management systems Dla Cloud Security: • AWS Certified Security – Specialty • Microsoft Certified: Azure Security Engineer Associate • Google Professional Cloud Security Engineer Dla Compliance/Legal: • CIPP/E (Certified Information Privacy Professional/Europe) – IAPP, dla RODO + DORA synergies WAŻNE: Certyfikacje są wartościowe, ale nie zastępują szkoleń specyficznych dla DORA. Zalecamy połączenie: ogólne certyfikacje branżowe + dedykowane szkolenia DORA.

Q: Jak często musimy przeprowadzać testy odporności operacyjnej?

DORA nie precyzuje jednej sztywnej częstotliwości– wymaga, aby testy były przeprowadzane regularnie i proporcjonalnie do profilu ryzyka instytucji. Wytyczne EBA sugerują: Testy podstawowe (dla wszystkich instytucji): • Vulnerability assessments: Co najmniej kwartalnie (4x/rok) • Testy penetracyjne: Co najmniej raz w roku • Business continuity tests (BCP): Co najmniej raz w roku • Disaster recovery tests (DRP): Co najmniej raz w roku • Scenario-based testing: Według potrzeb, ale minimum raz w roku TLPT (Threat-Led Penetration Testing) – dla dużych instytucji: • Co najmniej raz na 3 lata • Wymagane dla instytucji uznanych za "znaczące" przez nadzór (typically: duże banki, infrastruktura rynku kapitałowego) Best practice: • Nie czekaj do końca roku – rozłóż testy równomiernie w ciągu roku • Różne typy testów w różnych okresach (np. Q1: pentest, Q2: DR test, Q3: BCP exercise, Q4: tabletop) • Po każdym teście: dokumentacja + action plan + implementacja zaleceń + retest WAŻNE: Wyniki testów muszą być raportowane zarządowi i prowadzić do konkretnych działań naprawczych.

17 stycznia 2025 roku miał miejsce kamień milowy w historii europejskiego sektora finansowego. DORA (Digital Operational Resilience Act) – rozporządzenie UE 2022/2554 – oficjalnie weszło w życie. Od tego dnia każdy bank, firma ubezpieczeniowa, instytucja płatnicza czy firma inwestycyjna w Unii Europejskiej musi spełniać nowe, rygorystyczne wymogi dotyczące odporności operacyjnej ICT. To nie jest kolejna rekomendacja ani dobrowolna inicjatywa – to prawnie wiążące rozporządzenie, którego naruszenie wiąże się z dotkliwymi karami finansowymi i administracyjnymi.

Dla działów IT, compliance, zarządzania ryzykiem oraz L&D w instytucjach finansowych DORA oznacza jedno: konieczność budowania nowych kompetencji w organizacji na bezprecedensową skalę. Nie chodzi już tylko o to, by “mieć ludzi od IT” czy “zespół bezpieczeństwa”. DORA wymaga udokumentowanej, mierzalnej wiedzy i umiejętności – od zarządu, przez menedżerów IT, aż po każdego dewelopera i administratora systemu. Wymaga także transformacji w zarządzaniu dostawcami ICT, testowania odporności, zarządzania incydentami i ciągłego monitorowania ryzyka.

Czy Twoja organizacja jest gotowa? Czy Twój zespół posiada niezbędne kompetencje do skutecznej implementacji DORA? Ten artykuł stanowi kompleksowy przewodnik po tym, czego DORA wymaga od sektora finansowego w 2026 roku, jakie kompetencje muszą posiadać różne role w organizacji oraz jak zbudować skuteczny plan szkoleń, który nie tylko zapewni zgodność, ale także wzmocni konkurencyjność Twojej instytucji.

Na skróty

DORA w pigułce: co to jest i kogo obowiązuje (banki, ubezpieczyciele, fintechy, krypto)
Timeline: 17 stycznia 2025 – wejście w życie, co dalej?
5 filarów DORA – kluczowe wymagania dla instytucji finansowych
Kompetencje ICT wymagane przez DORA: zarządzanie ryzykiem, testowanie, vendor management
Plan szkoleń zgodnych z DORA – kto czego musi się nauczyć?
DORA vs NIS2 – różnice i przecięcia regulacji
Kary za niezgodność z DORA i jak ich uniknąć
Jak EITT przygotowuje instytucje finansowe na DORA
FAQ: odpowiedzi na najczęstsze pytania o DORA

Co to jest DORA i kogo dotyczy?

DORA (Digital Operational Resilience Act) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 roku w sprawie cyfrowej odporności operacyjnej sektora finansowego. Jest to pierwsza w historii kompleksowa regulacja UE, która ustanawia jednolite wymogi dotyczące zarządzania ryzykiem ICT w całym sektorze finansowym – niezależnie od państwa członkowskiego.

Dlaczego DORA powstała?

Sektor finansowy jest dziś niemal całkowicie uzależniony od technologii informacyjno-komunikacyjnych. Bankowość online, płatności mobilne, trading algorytmiczny, blockchain, przetwarzanie w chmurze – to wszystko stanowi fundament współczesnych usług finansowych. Ale ta cyfryzacja niesie ze sobą gigantyczne ryzyko: cyberataki, awarie systemów, problemy z dostawcami zewnętrznymi mogą sparaliżować instytucję finansową w ciągu godzin, a w skrajnych przypadkach – zagrozić stabilności całego systemu finansowego.

Przed DORA każde państwo członkowskie UE miało własne regulacje w tym zakresie, co prowadziło do rozbieżności, nierównych warunków konkurencji i luk w nadzorze. DORA harmonizuje wymogi w całej UE, zapewniając jednolite standardy dla wszystkich podmiotów finansowych.

Kogo obowiązuje DORA?

DORA ma niezwykle szeroki zakres – obejmuje praktycznie wszystkie podmioty finansowe działające w UE, w tym: 1. Instytucje kredytowe (banki)

Banki komercyjne, spółdzielcze, hipoteczne
Oddziały banków z państw trzecich działające w UE

2. Firmy inwestycyjne i infrastruktura rynku kapitałowego

Domy maklerskie
Giełdy papierów wartościowych
Izby rozliczeniowe (CCP – Central Counterparties)
Centralne depozyty papierów wartościowych (CSD)
Repozytoria transakcji

3. Instytucje płatnicze i e-money

Instytucje płatnicze (payment institutions)
Instytucje pieniądza elektronicznego (e-money institutions)
Dostawcy usług płatniczych (PSP)

4. Zakłady ubezpieczeń i reasekuracji

Towarzystwa ubezpieczeniowe
Zakłady reasekuracji
Pośrednicy ubezpieczeniowi

5. Platformy kryptowalutowe

Dostawcy usług kryptowalutowych (CASP – Crypto-Asset Service Providers)
Emitensi tokenów związanych z aktywami (asset-referenced tokens)
Emitensi tokenów e-money

6. Inne podmioty finansowe

Fundusze inwestycyjne (UCITS)
Zarządzający funduszami (AIFM – Alternative Investment Fund Managers)
Spółki zarządzające UCITS
Agencje ratingowe
Administratorzy wskaźników referencyjnych

7. Dostawcy usług ICT dla sektora finansowego (tzw. Critical ICT Third-Party Service Providers)

Dostawcy chmury obliczeniowej (cloud providers)
Dostawcy data centers
Dostawcy software as a service (SaaS) dla finansów
Dostawcy cybersecurity services

To ostatnia grupa jest szczególnie istotna: DORA po raz pierwszy w historii nakłada bezpośrednie regulacje na dostawców technologicznych obsługujących sektor finansowy. Jeśli jesteś dostawcą ICT uznany za “krytycznego” (critical), podlegasz nadzorowi organów finansowych, nie tylko regulatorów IT.

Eksterytorialność DORA

Podobnie jak RODO, DORA ma zasięg eksterytorialny. Dotyczy nie tylko podmiotów z siedzibą w UE, ale także:

Oddziałów instytucji spoza UE działających na terytorium UE
Dostawców ICT spoza UE świadczących usługi dla podmiotów finansowych w UE

Jeśli więc europejski bank korzysta z usług amerykańskiego cloud providera, ten provider musi spełniać wymogi DORA w zakresie świadczonych usług.

5 filarów DORA – przegląd wymagań

DORA opiera się na pięciu kluczowych filarach, które razem tworzą kompleksowy framework cyfrowej odporności operacyjnej:

Filar 1: Zarządzanie ryzykiem ICT (ICT Risk Management)

Co wymaga DORA:

Każda instytucja finansowa musi wdrożyć solidny, kompleksowy framework zarządzania ryzykiem ICT, obejmujący:

Identyfikację ryzyka ICT – mapowanie wszystkich systemów, danych, procesów biznesowych zależnych od ICT oraz związanych z nimi ryzyk
Ochronę i prewencję – środki techniczne i organizacyjne zabezpieczające przed materializacją ryzyka
Wykrywanie – systemy i procedury monitoringu pozwalające na wczesne wykrycie anomalii i incydentów
Reagowanie i odzyskiwanie – plany reakcji na incydenty, procedury business continuity, disaster recovery
Uczenie się i ewolucję– analizę post-incydent, ciągłe doskonalenie frameworka Kluczowe wymagania:
Framework musi być udokumentowany i zatwierdzony przez organ zarządzający (zarząd)
Wymaga ciągłego przeglądu i aktualizacji (co najmniej raz w roku)
Musi być proporcjonalny do rozmiaru, złożoności i profilu ryzyka instytucji
Musi uwzględniać wszystkie typy ryzyka ICT: cyberataki, awarie, błędy ludzkie, naturalne katastrofy Co to oznacza dla kompetencji: Zespoły ryzyka muszą posiadać specjalistyczną wiedzę z zakresu ryzyka ICT (nie tylko tradycyjnego ryzyka kredytowego czy operacyjnego). IT risk managers stają się kluczową rolą w organizacji.

Co wymaga DORA:

Instytucje finansowe muszą wdrożyć:

Procesy zarządzania incydentami ICT – od wykrycia, przez klasyfikację, eskalację, reakcję, aż po rozwiązanie
Klasyfikację incydentów – określenie, które incydenty są “poważne” (major) i wymagają raportowania do regulatora
Obowiązkowe raportowanie do organów nadzorczych według ściśle określonych timeline:
- Wstępne zgłoszenie (initial notification): 4 godziny od klasyfikacji incydentu jako poważny
- Raport pośredni (intermediate report): po 72 godzinach (lub wcześniej, jeśli zmienia się status)
- Raport końcowy (final report): w ciągu miesiąca od rozwiązania incydentu, zawierający root cause analysis i działania naprawcze Definicja poważnego incydentu ICT obejmuje m.in.:
Incydenty wpływające na dostępność usług finansowych
Incydenty powodujące straty finansowe powyżej określonego progu
Incydenty naruszające integralność lub poufność danych
Incydenty reputacyjne o wysokim wpływie

Co to oznacza dla kompetencji: Zespoły IT ops, security operations center (SOC), incident response teams muszą znać procedury DORA na wylot. Wymaga to szkoleń z:

Klasyfikacji incydentów według kryteriów DORA
Raportowania w określonych timeline (4h/72h/1 miesiąc)
Root cause analysis i dokumentacji
Komunikacji kryzysowej (wewnętrznej i zewnętrznej)

Filar 3: Testowanie odporności cyfrowej operacyjnej (Digital Operational Resilience Testing)

Co wymaga DORA:

Instytucje finansowe muszą przeprowadzać regularne, kompleksowe testy odporności swoich systemów ICT, obejmujące: 1. Testy podstawowe (dla wszystkich):

Skanowanie podatności (vulnerability assessments)
Testy penetracyjne (penetration testing)
Analizy scenariuszowe (scenario-based testing)
Testy ciągłości działania (business continuity tests)
Testy przywracania po awarii (disaster recovery tests)

2. Advanced testing (dla największych instytucji):

TLPT (Threat-Led Penetration Testing) – zaawansowane testy penetracyjne oparte na rzeczywistych zagrożeniach
- Wymagane dla instytucji uznanych za “znaczące” przez nadzór
- Przeprowadzane przez niezależne zewnętrzne podmioty
- Symulują realistyczne zaawansowane ataki (APT – Advanced Persistent Threats)
- Obejmują red team, blue team, white team exercises
- Częstotliwość: co najmniej co 3 lata

Wymagania dotyczące testów:

Testy muszą być przeprowadzane regularnie i proporcjonalnie do profilu ryzyka
Muszą obejmować wszystkie krytyczne systemy i procesy
Wyniki testów muszą być dokumentowane i raportowane zarządowi
Muszą prowadzić do action plans– konkretnych działań naprawczych Co to oznacza dla kompetencji:
Penetration testers i ethical hackers stają się krytyczni dla compliance
Zespoły security muszą umieć przeprowadzać TLPT lub zarządzać zewnętrznymi dostawcami
Audytorzy wewnętrzni muszą rozumieć metodologie testowania zgodne z DORA

Filar 4: Zarządzanie ryzykiem podmiotów zewnętrznych ICT (ICT Third-Party Risk Management)

Co wymaga DORA:

To jeden z najbardziej przełomowych (i pracochłonnych) filarów. Instytucje finansowe muszą:

1. Rejestr dostawców ICT (ICT Third-Party Register):

Prowadzić pełny, aktualny rejestr wszystkich dostawców ICT
Klasyfikować dostawców według krytyczności (critical vs non-critical)
Dokumentować umowy, zakres usług, zależności

2. Kluczowe zapisy kontraktowe: DORA precyzuje obowiązkowe klauzule umowne, które muszą znaleźć się w kontraktach z dostawcami ICT:

Prawo do audytu – instytucja finansowa (lub wyznaczeni audytorzy) mają prawo audytować dostawcę
Subcontracting – dostawca musi informować o podwykonawcach, instytucja ma prawo sprzeciwu
Exit strategy – plany zakończenia współpracy i migracji do innego dostawcy
Lokalizacja danych – jasne określenie, gdzie dane są przechowywane i przetwarzane (jurysdykcja)
Dostęp organów nadzorczych – regulator ma prawo audytować dostawcę ICT
SLA i wskaźniki wydajności – precyzyjnie zdefiniowane
Security requirements – standardy cyberbezpieczeństwa, które dostawca musi spełniać
Incydent reporting– dostawca musi niezwłocznie informować o incydentach 3. Należyta staranność (due diligence):
Przed zawarciem umowy – ocena ryzyka dostawcy
W trakcie współpracy – ciągły monitoring i przeglądy
Exit planning – plany awaryjne na wypadek zakończenia umowy

4. Concentration risk: Instytucje muszą identyfikować i zarządzać ryzykiem koncentracji– sytuacją, gdy zależą od zbyt małej liczby dostawców lub jednego dostawcy jest używany przez zbyt wiele krytycznych procesów. Co to oznacza dla kompetencji:

Vendor risk managers muszą znać specyfikę DORA
Zespoły procurement i legal muszą negocjować kontrakty zgodne z DORA
Audytorzy muszą umieć audytować dostawców ICT
Contract managers muszą zarządzać cyklem życia umów zgodnie z wymogami DORA

Co wymaga DORA:

Instytucje finansowe mogą (a w niektórych przypadkach powinny) dzielić się informacjami o cyberzagrożeniach, podatnościach, incydentach ICT z innymi instytucjami oraz z odpowiednimi organizacjami (CERT-y, ISAC-y). Cele:

Zwiększenie świadomości zagrożeń w całym sektorze finansowym
Wczesne ostrzeganie o nowych wektorach ataku
Koordynowana obrona przed zagrożeniami systemowymi

Zabezpieczenia:

Wymiana informacji musi być dobrowolna i zgodna z prawem konkurencji
Muszą być zachowane zasady poufności i ochrony danych osobowych
Instytucje nie ponoszą odpowiedzialności prawnej za wymianę informacji w dobrej wierze

Co to oznacza dla kompetencji:

Threat intelligence analysts muszą umieć gromadzić, analizować i dzielić się intelligence
Zespoły compliance muszą zrozumieć granice legalnej wymiany informacji
Security teams muszą aktywnie uczestniczyć w branżowych inicjatywach (FS-ISAC, Cyber Threat Alliance)

Jakie kompetencje IT wymaga DORA od organizacji?

DORA nie precyzuje bezpośrednio “musisz mieć X certyfikatów” czy “Y lat doświadczenia”. Zamiast tego wymaga, aby instytucje finansowe zapewniły wystarczające zasoby, umiejętności i wiedzę do efektywnego zarządzania ryzykiem ICT. Ale co to oznacza w praktyce?

Poniżej przedstawiamy mapę kompetencji DORA – zestaw kluczowych umiejętności, które muszą być obecne w różnych rolach w organizacji.

1. ICT Governance – Zarząd i Kadra Kierownicza Wyższego Szczebla

Kto: Zarząd, CEO, CFO, CRO (Chief Risk Officer), CIO, CISO Wymogi DORA: Artykuł 5 DORA jasno stwierdza, że organ zarządzający ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem ICT. Nie może tego delegować w całości na IT. Wymagane kompetencje:

Strategiczne zrozumienie ICT risk:

Zdolność do oceny, w jaki sposób ryzyko ICT wpływa na model biznesowy i strategię
Znajomość kluczowych zagrożeń cybernetycznych dla sektora finansowego
Zrozumienie zależności instytucji od systemów ICT i dostawców zewnętrznych

Governance framework:

Znajomość wymogów DORA w zakresie zarządzania ryzykiem ICT
Zdolność do zatwierdzania i nadzorowania frameworka zarządzania ryzykiem ICT
Rozumienie, kiedy eskalować decyzje dotyczące ICT do zarządu

Świadomość finansowa:

Zrozumienie kosztów compliance DORA
Zdolność do budżetowania inwestycji w resilience (testy, szkolenia, narzędzia)
Ocena ROI działań zwiększających odporność operacyjną

Odpowiedzialność prawna:

Świadomość osobistej odpowiedzialności członków zarządu za DORA compliance
Znajomość kar i sankcji za niezgodność
Zrozumienie roli nadzoru w kontekście DORA (EBA, ESMA, EIOPA, NBP, KNF)

Format szkoleń:

1-2 dniowe warsztaty executive dla zarządu
Case studies: incydenty ICT w sektorze finansowym i ich wpływ biznesowy
Symulacje sytuacji kryzysowych (tabletop exercises)
Regularne briefings (np. kwartalne) na temat evolving threats

2. ICT Risk Management – Risk Managers i Audytorzy

Kto: Chief Risk Officer, ICT Risk Managers, Enterprise Risk Managers, Audytorzy Wewnętrzni Wymagane kompetencje:

Risk assessment methodologies:

Przeprowadzanie ICT risk assessments zgodnie z DORA
Mapowanie zagrożeń ICT i ich wpływu na procesy biznesowe
Kwantyfikacja ryzyka ICT (probability, impact, loss expectancy)
Integracja ICT risk z enterprise risk management (ERM)

Risk mitigation strategies:

Projektowanie środków kontrolnych (controls) dla ryzyka ICT
Balansowanie kosztów mitigation vs akceptowalny poziom ryzyka (risk appetite)
Zarządzanie residual risk

Third-party risk management:

Ocena ryzyka dostawców ICT (due diligence)
Monitoring dostawców w trakcie trwania umowy (ongoing monitoring)
Zarządzanie ryzykiem koncentracji dostawców
Audyt dostawców ICT

Business continuity i disaster recovery:

Tworzenie i testowanie planów ciągłości działania (BCP)
Disaster recovery planning (DRP)
Crisis management i komunikacja kryzysowa

Auditing ICT controls:

Audyt zgodności z DORA
Testowanie skuteczności kontroli ICT
Root cause analysis incydentów ICT
Raportowanie do zarządu i organów nadzorczych

Narzędzia i standardy:

ISO/IEC 27001 (Information Security Management)
ISO 22301 (Business Continuity Management)
NIST Cybersecurity Framework
COBIT (Control Objectives for Information Technologies)

Format szkoleń:

3-5 dniowe kursy z ICT risk management w kontekście DORA
Warsztaty praktyczne: tworzenie ICT risk registers, risk assessments
Certyfikacje: CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control)

3. Cybersecurity i Incident Response – CISO i Security Teams

Kto: Chief Information Security Officer (CISO), Security Operations Center (SOC), Incident Response Team, Threat Intelligence Analysts Wymagane kompetencje:

Cybersecurity frameworks:

Implementacja kontroli bezpieczeństwa zgodnych z DORA
Znajomość standardów: ISO 27001, NIST CSF, CIS Controls
Defense in depth – wielowarstwowa ochrona

Threat detection i monitoring:

Konfiguracja i zarządzanie SIEM (Security Information and Event Management)
Threat hunting – proaktywne poszukiwanie zagrożeń
Analiza logów i alertów bezpieczeństwa
Wykorzystanie threat intelligence feeds

Incident management:

Klasyfikacja incydentów ICT zgodnie z kryteriami DORA (poważne vs niepoważne)
Procedury reagowania na incydenty (NIST SP 800-61, SANS Incident Response)
Cyberataki: identyfikacja, containment, eradication, recovery
Dokumentacja incydentów dla celów compliance

Incident reporting:

Raportowanie poważnych incydentów do regulatorów w timeline DORA (4h/72h/1 miesiąc)
Komunikacja wewnętrzna i zewnętrzna podczas incydentów
Post-incident review i lessons learned

Penetration testing i vulnerability management:

Przeprowadzanie lub zarządzanie testami penetracyjnymi
Vulnerability scanning i patch management
TLPT (Threat-Led Penetration Testing) – znajomość metodologii
Red team / blue team exercises

Cloud security:

Bezpieczeństwo środowisk cloud (AWS, Azure, GCP)
Shared responsibility model w chmurze
Kontrole bezpieczeństwa dla SaaS, PaaS, IaaS

Narzędzia:

SIEM: Splunk, QRadar, Sentinel
Vulnerability scanners: Nessus, Qualys, Rapid7
Penetration testing tools: Metasploit, Burp Suite, Kali Linux
Threat intelligence platforms: MISP, ThreatConnect

Format szkoleń:

5-7 dniowe bootcampy z cybersecurity dla financial services
Hands-on labs: symulacje cyberataków i incident response
Certyfikacje: CISSP, CEH (Certified Ethical Hacker), GCIH (GIAC Certified Incident Handler), OSCP (Offensive Security Certified Professional)

4. IT Operations i Infrastructure – DevOps, SysAdmins, Network Engineers

Kto: CIO, Head of IT Operations, DevOps Engineers, System Administrators, Network Engineers, Database Administrators Wymagane kompetencje:

Operational resilience:

Projektowanie architektury o wysokiej dostępności (high availability, HA)
Redundancja systemów i danych
Load balancing, failover, clustering
Monitoring wydajności systemów (SLA/SLO management)

Backup i disaster recovery:

Strategia 3-2-1 backup (3 kopie, 2 różne media, 1 off-site)
Testowanie restore procedures
Recovery Time Objective (RTO) i Recovery Point Objective (RPO)
Disaster recovery exercises

Change management:

Kontrolowane wprowadzanie zmian w środowiskach produkcyjnych
Rollback procedures
Testing przed wdrożeniem (dev, test, UAT, prod pipelines)

Configuration management:

Infrastructure as Code (IaC): Terraform, Ansible, CloudFormation
Version control dla konfiguracji
Configuration baselines i drift detection

DevSecOps:

Bezpieczeństwo wbudowane w pipeline CI/CD
Automated security testing (SAST, DAST, dependency scanning)
Container security (Docker, Kubernetes)

Vendor and third-party management:

Zarządzanie środowiskami u dostawców (cloud, SaaS)
Monitoring SLA dostawców ICT
Eskalacja incydentów u dostawców

Format szkoleń:

3-5 dniowe kursy z operational resilience i DORA requirements
Warsztaty praktyczne: disaster recovery exercises, failover testing
Certyfikacje: AWS/Azure/GCP certifications (dla cloud), ITIL (dla service management), DevOps certifications

5. Software Development – Developers i QA

Kto: Head of Software Development, Software Engineers, QA Engineers, DevOps Engineers Wymagane kompetencje:

Secure coding practices:

OWASP Top 10 – znajomość najczęstszych podatności webowych
Input validation, output encoding
Authentication i authorization best practices
Secure API design

Security testing:

Static Application Security Testing (SAST)
Dynamic Application Security Testing (DAST)
Dependency scanning (wykrywanie podatności w bibliotekach)
Security code reviews

Resilience by design:

Graceful degradation – systemy zachowują podstawową funkcjonalność podczas problemów
Circuit breakers – zapobieganie kaskadowym awariom
Retry mechanisms, timeouts
Chaos engineering – celowe wprowadzanie awarii w celu testowania odporności

Operational observability:

Logowanie zdarzeń bezpieczeństwa i operacyjnych
Structured logging
Distributed tracing (dla microservices)
Metrics i alerting

Incident response dla deweloperów:

On-call rotations
Root cause analysis (RCA) i postmortems
Hotfix procedures

Format szkoleń:

2-3 dniowe warsztaty z secure coding i DevSecOps
Hands-on labs: znajdowanie i naprawianie podatności w kodzie
Certyfikacje: CSSLP (Certified Secure Software Lifecycle Professional), CEH (dla security-focused devs)

6. Legal, Compliance i Procurement – Zarządzanie Kontraktami

Kto: General Counsel, Compliance Officers, Procurement/Vendor Managers, Contract Managers Wymagane kompetencje:

DORA legal framework:

Szczegółowa znajomość tekstu rozporządzenia DORA
Regulacyjne standardy techniczne (RTS – Regulatory Technical Standards)
Wytyczne organów nadzorczych (EBA, ESMA, EIOPA)

Kontrakty z dostawcami ICT:

Negocjowanie klauzul zgodnych z DORA (audit rights, exit strategy, subcontracting, data location)
Service Level Agreements (SLA) w kontekście DORA requirements
Liability i indemnification clauses
Termination i transition planning

Vendor due diligence:

Prawna ocena dostawców ICT przed zawarciem umowy
Weryfikacja zgodności dostawcy z DORA (dla critical providers)
Procedury vendor onboarding i offboarding

Reportowanie do regulatorów:

Przygotowywanie zgłoszeń incydentów do KNF/NBP
Komunikacja z organami nadzorczymi
Dokumentacja compliance dla celów audytów

Data protection i RODO:

Integracja wymogów DORA z RODO (data processing agreements)
Cross-border data transfers w kontekście cloud computing
Consent management, data subject rights

Format szkoleń:

2-3 dniowe warsztaty prawne z DORA dla legal i procurement teams
Case studies: negocjowanie kontraktów zgodnych z DORA
Templates: klauzule umowne, vendor assessment checklists

7. Business Continuity Management – BCM Teams

Kto: Business Continuity Manager, Crisis Management Team, Disaster Recovery Coordinator Wymagane kompetencje:

Business Impact Analysis (BIA):

Identyfikacja krytycznych procesów biznesowych
Określenie RTO (Recovery Time Objective) i RPO (Recovery Point Objective)
Analiza zależności między procesami a systemami ICT

Planowanie ciągłości działania:

Tworzenie Business Continuity Plans (BCP)
Disaster Recovery Plans (DRP)
Crisis communication plans

Testowanie BCP/DRP:

Tabletop exercises – symulacje scenariuszowe
Walkthrough tests – przegląd procedur
Full-scale exercises – pełne testy z symulacją awarii
Post-exercise reviews i action plans

Crisis management:

Struktura Crisis Management Team
Decision-making frameworks podczas kryzysu
Komunikacja z interesariuszami (klienci, media, regulatorzy)

Format szkoleń:

2-3 dniowe kursy z business continuity management dla sektora finansowego
Symulacje kryzysowe (hands-on crisis exercises)
Certyfikacje: CBCP (Certified Business Continuity Professional), ISO 22301 Lead Implementer

Plan szkoleń zgodnych z DORA – kto czego musi się nauczyć

Skuteczny plan szkoleniowy DORA to nie jednorazowy event, lecz wieloetapowy, zróżnicowany program dostosowany do ról, z mechanizmami ciągłego uczenia się. Poniżej przedstawiamy sprawdzoną roadmapę.

Faza 1: Inventory i Priorytetyzacja (Miesiąc 1-2)

Cel: Zrozumieć obecny stan i zidentyfikować luki kompetencyjne. Działania:

Mapowanie systemów ICT:
- Stwórz pełny inwentarz systemów ICT w organizacji
- Zidentyfikuj systemy krytyczne dla ciągłości działania
- Zmapuj zależności między systemami a procesami biznesowymi
Vendor inventory:
- Lista wszystkich dostawców ICT (cloud, SaaS, infrastruktura, security services)
- Klasyfikacja: critical vs non-critical
- Identyfikacja luk w kontraktach (brak klauzul zgodnych z DORA)
Skills gap analysis:
- Zidentyfikuj role kluczowe dla DORA compliance
- Oceń obecny poziom wiedzy i umiejętności (surveys, interviews, assessments)
- Określ luki kompetencyjne dla każdej roli
Priorytetyzacja:
- Ustal priorytety szkoleń według:
  - Pilność (timeline DORA compliance)
  - Ryzyko (role najbardziej krytyczne dla zgodności)
  - Wpływ (największe luki kompetencyjne)

Wynik:

ICT Systems Register
Vendor Register
Training Needs Assessment Report
Training Roadmap z priorytetami

Faza 2: Awareness Training – Wszyscy Pracownicy (Miesiąc 2-3)

Grupa docelowa: Wszyscy pracownicy instytucji finansowej Cel: Zbudować podstawową świadomość DORA i cyfrowej odporności operacyjnej w całej organizacji. Program:

Moduł 1: Czym jest DORA i dlaczego obowiązuje? (1h)

Geneza DORA – dlaczego UE uregulowała resilience w finansach
Zakres DORA – kogo obowiązuje
5 filarów DORA – overview
Timeline i kluczowe daty
Konsekwencje niezgodności

Moduł 2: Cyfrowa odporność operacyjna – co to oznacza dla Ciebie? (1h)

Czym jest operational resilience
Przykłady incydentów ICT w sektorze finansowym i ich wpływ
Rola każdego pracownika w budowaniu resilience
Podstawowe zasady cyberhigieny (strong passwords, phishing awareness, device security)

Moduł 3: Zgłaszanie incydentów i problemów ICT (1h)

Jak rozpoznać incydent ICT
Procedury wewnętrznego zgłaszania
Kiedy i do kogo eskalować
Przykłady: co jest incydentem, a co nie

Format: E-learning (self-paced) + krótki test końcowy Czas: 3h + test (30 min) Wynik: Certyfikat DORA Awareness Częstotliwość: Raz w roku (annual refresher)

Faza 3: Executive Training – Zarząd i Senior Management (Miesiąc 3)

Grupa docelowa: Zarząd, C-level (CEO, CFO, CRO, CIO, CISO), VP, Senior Management Cel: Wyposażyć kadrę kierowniczą w strategiczne zrozumienie DORA i świadomość ich osobistej odpowiedzialności. Program (2-dniowy warsztat stacjonarny):

Dzień 1: DORA Strategic Overview

Sesja 1: DORA Deep Dive (3h)

Szczegółowy przegląd 5 filarów DORA
Odpowiedzialność organu zarządzającego (art. 5 DORA)
Kary i sankcje za niezgodność
Case study: incydenty ICT i ich wpływ na instytucje finansowe

Sesja 2: ICT Risk Governance (2h)

Framework zarządzania ryzykiem ICT – rola zarządu
Risk appetite dla ryzyka ICT
Eskalacja decyzji dotyczących ICT
Integracja ICT risk z enterprise risk management

Sesja 3: Third-Party Risk – Strategic Perspective (2h)

Zależność od dostawców ICT – concentration risk
Strategiczne decyzje: build vs buy vs co-source
Negocjowanie warunków z kluczowymi dostawcami (cloud, SaaS)

Dzień 2: Crisis Simulation i Action Planning

Sesja 4: Crisis Simulation – Tabletop Exercise (3h)

Symulacja poważnego incydentu ICT (np. ransomware attack, major cloud outage)
Ćwiczenie podejmowania decyzji w czasie kryzysu
Komunikacja z regulatorem, mediami, klientami
Post-exercise debrief

Sesja 5: DORA Compliance Roadmap (2h)

Gap analysis – gdzie jesteśmy, gdzie musimy być
Action plan – kluczowe inicjatywy i milestones
Budżetowanie inwestycji w resilience
Governance structure dla DORA compliance

Sesja 6: Q&A z ekspertami DORA (1h)

Format: Warsztat stacjonarny, interaktywny, z case studies i symulacjami Czas: 2 dni (14h) Wynik: DORA Strategic Action Plan + Certyfikat Executive DORA Leadership Częstotliwość: Raz w roku + kwartalne briefings (1h) na temat regulacji updates i emerging threats

Faza 4: Technical Training – IT, Security, Risk Teams (Miesiąc 4-6)

Grupa docelowa: IT Operations, Cybersecurity, Risk Management, Audytorzy, DevOps, Developers Cel: Zbudować głębokie, praktyczne kompetencje techniczne niezbędne do implementacji DORA. Program zróżnicowany według ról:

Track A: ICT Risk Management (dla Risk Managers, Audytorów)

Kurs: DORA ICT Risk Management (5 dni)

Dzień 1: DORA Risk Framework

Szczegółowa analiza Filaru 1 DORA
Metodologie risk assessment dla ICT
Tworzenie ICT risk register
Risk quantification i prioritization

Dzień 2: Third-Party Risk Management

Vendor due diligence procedures
Contract risk assessment
Ongoing vendor monitoring
Zarządzanie concentration risk
Hands-on: ocena przykładowego dostawcy ICT

Dzień 3: Business Continuity i Disaster Recovery

Business Impact Analysis (BIA)
Tworzenie BCP i DRP zgodnie z DORA
RTO/RPO determination
Hands-on: stworzenie BCP dla przykładowego procesu

Dzień 4: Testing i Auditing

Audyt compliance z DORA
Testowanie kontroli ICT
Root cause analysis
Hands-on: audyt przykładowego systemu

Dzień 5: Raportowanie i Dokumentacja

Przygotowywanie raportów dla zarządu
Reportowanie do regulatorów
Dokumentacja zgodności z DORA
Warsztat: stworzenie raportu compliance

Format: Warsztat 5-dniowy, hands-on exercises Wynik: Certyfikat DORA ICT Risk Management Professional

Track B: Cybersecurity i Incident Response (dla CISO, SOC, Security Teams)

Kurs: DORA Cybersecurity & Incident Management (7 dni)

Dzień 1-2: DORA Security Requirements

Filar 1 i 3 DORA – security controls
Defense in depth dla financial institutions
Cloud security w kontekście DORA
Threat landscape dla sektora finansowego

Dzień 3: Threat Detection i Monitoring

SIEM configuration i use cases
Threat intelligence integration
Security analytics i anomaly detection
Hands-on: konfiguracja SIEM use cases dla DORA

Dzień 4-5: Incident Response według DORA

Klasyfikacja incydentów ICT (major vs minor)
Incident response playbooks
Raportowanie w timeline 4h/72h/1 miesiąc
Hands-on: symulacja incydentu i pełny cykl response + raportowanie

Dzień 6: Penetration Testing i TLPT

Metodologie penetration testing
TLPT (Threat-Led Penetration Testing) – framework
Red team / blue team exercises
Zarządzanie zewnętrznymi pentesterami

Dzień 7: Advanced Topics

Cloud security auditing
Container security (Docker, Kubernetes)
API security
Capstone exercise: comprehensive security assessment

Format: Bootcamp 7-dniowy, intensywny, z lab exercises Wynik: Certyfikat DORA Cybersecurity Specialist

Track C: Operational Resilience (dla IT Ops, DevOps, SysAdmins)

Kurs: DORA Operational Resilience & Testing (5 dni)

Dzień 1: Architecture for Resilience

High availability design patterns
Redundancy, failover, load balancing
RTO/RPO design considerations
Hands-on: projektowanie architektury HA

Dzień 2: Backup i Disaster Recovery

Backup strategies (3-2-1 rule)
Testowanie restore procedures
Disaster recovery exercises
Hands-on: DR test scenario

Dzień 3: Change i Configuration Management

Bezpieczne wprowadzanie zmian
Infrastructure as Code (IaC)
Version control dla konfiguracji
Hands-on: Terraform/Ansible dla resilience

Dzień 4: DevSecOps

Security w CI/CD pipeline
Automated security testing
Container security
Hands-on: secure pipeline setup

Dzień 5: Testing zgodnie z DORA

Filar 3 DORA – wymogi testowania
Planowanie i przeprowadzanie testów resilience
Dokumentacja testów dla compliance
Capstone: full-scale resilience test

Format: Warsztat 5-dniowy z extensive hands-on labs Wynik: Certyfikat DORA Operational Resilience Engineer

Track D: Secure Development (dla Developers, QA)

Kurs: Secure Coding & DevSecOps dla DORA (3 dni)

Dzień 1: Secure Coding Practices

OWASP Top 10
Input validation, authentication, authorization
Secure API development
Hands-on: code review exercise – znajdź podatności

Dzień 2: Security Testing

SAST, DAST, dependency scanning
Security testing w CI/CD
Hands-on: integracja security tools w pipeline

Dzień 3: Resilience by Design

Circuit breakers, retry mechanisms
Graceful degradation
Observability (logging, metrics, tracing)
Hands-on: implementacja resilient microservice

Format: Warsztat 3-dniowy, code-heavy Wynik: Certyfikat DORA Secure Developer

Faza 5: Legal & Compliance Training (Miesiąc 5-6)

Grupa docelowa: Legal, Compliance Officers, Procurement, Contract Managers, DPO Kurs: DORA Legal & Compliance Framework (3 dni)

Dzień 1: DORA Legal Deep Dive

Tekst rozporządzenia DORA – szczegółowa analiza
Regulatory Technical Standards (RTS)
Wytyczne EBA, ESMA, EIOPA
Krajowe implementacje (KNF, NBP)
Kary i odpowiedzialność prawna

Dzień 2: Vendor Contracts i Procurement

Obowiązkowe klauzule kontraktowe DORA
Negocjowanie umów z dostawcami ICT
Exit strategies i transition planning
Vendor due diligence checklists
Warsztat: review przykładowego kontraktu cloud

Dzień 3: Compliance Operations

Gap analysis methodology
Tworzenie rejestru dostawców ICT (article 28 register)
Procedury reportowania incydentów do regulatorów
Dokumentacja compliance
Przygotowanie do audytu nadzorczego
Warsztat: przygotowanie zgłoszenia incydentu

Format: Warsztat 3-dniowy z case studies i templates Wynik: Certyfikat DORA Legal & Compliance Specialist + pakiet templates (kontrakty, checklists, procedures)

Faza 6: Specialized Certifications (Ongoing, Miesiąc 7-12)

Grupa docelowa: Role specjalistyczne wymagające zaawansowanych, międzynarodowych certyfikacji Rekomendowane certyfikacje zewnętrzne:

Dla Risk Managers:

CRISC (Certified in Risk and Information Systems Control) – ISACA
CISA (Certified Information Systems Auditor) – ISACA

Dla Cybersecurity:

CISSP (Certified Information Systems Security Professional) – (ISC)²
CEH (Certified Ethical Hacker) – EC-Council
GCIH (GIAC Certified Incident Handler) – GIAC/SANS
OSCP (Offensive Security Certified Professional) – Offensive Security

Dla Business Continuity:

CBCP (Certified Business Continuity Professional) – DRI International
ISO 22301 Lead Implementer – akredytowane instytucje szkoleniowe

Dla Legal/Compliance:

CIPP/E (Certified Information Privacy Professional/Europe) – IAPP (dla RODO + DORA synergies)

Dla Cloud:

AWS Certified Security – Specialty
Microsoft Certified: Azure Security Engineer Associate
Google Professional Cloud Security Engineer

Wsparcie organizacji:

Finansowanie certyfikacji dla kluczowych pracowników
Paid study leave
Bonusy za uzyskanie certyfikacji

Faza 7: Continuous Learning i Exercises (Ongoing)

Działania cykliczne:

Kwartalne update webinars (1h każdy):

Nowe wytyczne regulatorów (RTS updates)
Emerging threats i threat intelligence
Case studies: nowe incydenty w sektorze finansowym
Lessons learned z własnych testów i incydentów

Roczny DORA refresher dla wszystkich (3h):

Przypomnienie kluczowych wymogów DORA
Aktualizacje regulacji
Nowe procedury w organizacji
Test wiedzy

Półroczne ćwiczenia praktyczne:

Tabletop exercises (dla zarządu i crisis management teams)
Technical DR tests (dla IT ops)
Incident response simulations (dla SOC, CISO, risk teams)
Vendor audit exercises (dla procurement i risk) Participation w branżowych inicjatywach:
FS-ISAC (Financial Services Information Sharing and Analysis Center)
Threat intelligence sharing groups
Konferencje DORA/cybersecurity/risk (np. European Banking Authority events)

DORA vs NIS2 – czym się różnią i co się pokrywa?

DORA i NIS2 (Network and Information Security Directive 2) to dwie kluczowe regulacje UE dotyczące cyberbezpieczeństwa i resilience, które weszły w życie niemal jednocześnie. Wiele organizacji sektora finansowego może podlegać obu regulacjom równocześnie. Zrozumienie relacji między nimi jest kluczowe dla efektywnej strategii compliance.

Główne różnice

Aspekt	DORA	NIS2
Forma prawna	Rozporządzenie UE (directly applicable)	Dyrektywa UE (wymaga transpozycji do prawa krajowego)
Zakres podmiotowy	Sektor finansowy (banki, ubezpieczenia, płatności, inwestycje, krypto)	Wszystkie sektory krytyczne i ważne (energia, transport, zdrowie, woda, infrastruktura cyfrowa, finanse i inne)
Fokus	Odporność operacyjna ICT (operational resilience) – zdolność do kontynuowania działania podczas incydentów ICT	Cybersecurity – ochrona sieci i systemów informacyjnych przed zagrożeniami
Third-party providers	Szczegółowe regulacje dla dostawców ICT, bezpośredni nadzór nad critical providers	Wymogi dla supply chain security, ale bez bezpośredniego nadzoru nad dostawcami
Testowanie	Szczegółowe wymogi dot. testowania resilience, w tym TLPT (Threat-Led Penetration Testing)	Ogólne wymogi dot. testowania security controls
Raportowanie incydentów	Timeline: 4h (initial), 72h (intermediate), 1 miesiąc (final)	Timeline: 24h (early warning), 72h (incident notification), 1 miesiąc (final)
Organ nadzorczy	Organy nadzoru finansowego (EBA, ESMA, EIOPA; w PL: KNF, NBP)	Organy cybersecurity (w PL: CSIRT NASK, CSIRT GOV, CSIRT MON) + sektorowe regulatory

Przecięcia i synergies

1. Risk management: Zarówno DORA, jak i NIS2 wymagają systemu zarządzania ryzykiem ICT/cybersecurity. Wiele elementów jest podobnych:

Identyfikacja ryzyka
Implementacja środków ochronnych
Monitoring i wykrywanie
Reagowanie na incydenty
Business continuity

Praktyczne działanie: Stwórz zintegrowany framework zarządzania ryzykiem ICT, który spełnia wymogi obu regulacji jednocześnie. Unikaj duplikacji procesów. 2. Incident management: Obie regulacje wymagają raportowania incydentów do organów nadzorczych, ale z różnymi timeline i do różnych organów. Praktyczne działanie:

Incydent w instytucji finansowej może wymagać zgłoszenia zarówno do KNF (DORA), jak i CSIRT (NIS2)
Stwórz unified incident classification framework, który określa, kiedy incydent podlega DORA, NIS2 lub obu
Zautomatyzuj reporting – jeden incydent, wiele zgłoszeń

3. Governance: Obie regulacje wymagają zaangażowania organu zarządzającego (zarządu) w nadzór nad cybersecurity/resilience. Praktyczne działanie:

Zarząd powinien otrzymywać skonsolidowane raporty obejmujące zarówno DORA, jak i NIS2 compliance
Board-level committee (np. Risk Committee) powinien nadzorować compliance z obydwoma regulacjami

4. Supply chain / third-party risk: Obie regulacje wymagają zarządzania ryzykiem dostawców ICT.

Praktyczne działanie:

Vendor risk assessment powinien oceniać compliance z obydwoma regulacjami
Kontrakty z dostawcami powinny zawierać klauzule zgodne z DORA i NIS2

5. Testing: Obie wymagają regularnego testowania cybersecurity i resilience.

Praktyczne działanie:

Połącz testing programs – jeden cykl testów może spełniać wymogi obu regulacji
TLPT (wymagany przez DORA) może także służyć jako advanced testing dla NIS2

Tabela porównawcza – kluczowe wymogi

Wymóg	DORA	NIS2
Risk assessment	✅ Obowiązkowy, szczegółowy framework	✅ Obowiązkowy, risk-based approach
Incident reporting	✅ 4h/72h/1m do organów finansowych	✅ 24h/72h/1m do CSIRT
Business continuity	✅ BCP i DRP, testowanie	✅ BCP i DR, testowanie
Vendor management	✅ Szczegółowe, nadzór nad critical providers	✅ Supply chain security
Penetration testing	✅ Obowiązkowe, TLPT dla dużych	✅ Recommended, nie precyzuje TLPT
Board responsibility	✅ Explicite – art. 5 DORA	✅ Implicite – management bodies
Kary	✅ Do 2% globalnego obrotu (RTS)	✅ Do 10 mln EUR lub 2% globalnego obrotu

Strategia zintegrowanej zgodności DORA + NIS2

1. Unified governance:

Jeden komitet zarządzający (np. Cyber & Operational Resilience Committee)
Jeden framework polityk i procedur (z DORA-specific i NIS2-specific annexes)

2. Integrated risk register:

Jeden rejestr ryzyk ICT/cybersecurity
Tagowanie ryzyk: które podlegają DORA, NIS2 lub obu

3. Consolidated reporting:

Jeden dashboard dla zarządu pokazujący compliance z obydwoma regulacjami
Unified KPI i metrics

4. Shared training programs:

Większość kompetencji jest wspólna (cybersecurity, incident response, risk management)
Dedykowane moduły dla DORA-specific i NIS2-specific requirements

5. Coordinated audits:

Internal audits powinny oceniać compliance z obydwoma regulacjami jednocześnie
Przygotowanie do multi-regulator audits (KNF + CSIRT)

Konsekwencje niezgodności – kary i ryzyka

DORA przewiduje surowe sankcje za niezgodność. Rozporządzenie jest bezpośrednio stosowane we wszystkich państwach członkowskich UE, a organy nadzorcze (w Polsce: KNF dla większości instytucji finansowych, NBP dla instytucji płatniczych) mają szerokie uprawnienia do egzekwowania wymogów.

Kary administracyjne

Zgodnie z Artykułem 50 i 51 DORA, państwa członkowskie muszą ustanowić skuteczne, proporcjonalne i odstraszające kary za naruszenia. Regulatory Technical Standards (RTS) opublikowane przez EBA precyzują: Maksymalne kary:

Do 2% rocznego globalnego obrotu instytucji finansowej za poważne naruszenia
Kary mogą być nakładane na osoby fizyczne odpowiedzialne (członków zarządu, kluczowych menedżerów) Przykłady naruszeń podlegających karom:
Brak wdrożenia solidnego frameworka zarządzania ryzykiem ICT
Nieprzeprowadzanie wymaganych testów odporności (w tym TLPT)
Nieraportowanie poważnych incydentów ICT w określonych terminach
Niezgodne z DORA umowy z dostawcami ICT
Brak należytej staranności wobec dostawców ICT
Niedostarczenie żądanych informacji organom nadzorczym
Nieprzestrzeganie zaleceń organów nadzorczych

Dodatkowe sankcje i środki nadzorcze

Oprócz kar finansowych, organy nadzorcze mogą:

1. Wydać nakazy i zalecenia:

Wstrzymanie określonych działań lub praktyk
Nakaz usunięcia naruszeń w określonym terminie
Nakaz wdrożenia konkretnych środków naprawczych

2. Ograniczenia działalności:

Zakaz świadczenia określonych usług
Ograniczenie ekspansji biznesowej (np. zakaz otwierania nowych oddziałów, wdrażania nowych produktów)

3. Publiczne ujawnienie naruszeń:

Publikacja informacji o naruszeniach i sankcjach
Negatywny wpływ na reputację i wizerunek

4. Nakaz zmiany w zarządzie:

W skrajnych przypadkach – wymóg odwołania osób odpowiedzialnych za naruszenia

Odpowiedzialność cywilna

Poza sankcjami administracyjnymi, instytucje finansowe mogą ponosić odpowiedzialność cywilną za szkody wynikające z niezgodności z DORA:

Klienci mogą dochodzić odszkodowań za straty wynikające z incydentów ICT (np. utrata dostępu do środków, straty inwestycyjne)
Akcjonariusze mogą pozywać za spadek wartości akcji spowodowany incydentami i karami regulacyjnymi
Partnerzy biznesowi mogą dochodzić odszkodowań za straty spowodowane incydentami

Ryzyko reputacyjne

To często najbardziej dotkliwa konsekwencja. Publiczne ujawnienie poważnego incydentu ICT lub kar regulacyjnych za niezgodność z DORA może:

Utratę zaufania klientów – masowe wycofywanie depozytów (bank run), rezygnacja z usług
Spadek wartości rynkowej – akcje instytucji finansowej mogą gwałtownie stracić na wartości
Problemy z pozyskaniem nowych klientów – długotrwały negatywny wpływ na brand
Trudności w pozyskiwaniu talentów – utrudniona rekrutacja

Ryzyko systemowe

Dla największych instytucji finansowych (systemowo ważnych – G-SII, O-SII) nieprzestrzeganie DORA może prowadzić do:

Intensywniejszego nadzoru – zwiększona częstotliwość audytów, dodatkowe wymogi kapitałowe
Ograniczeń w działalności – zakaz ekspansji, wymóg restrukturyzacji

Prawdopodobieństwo egzekucji

DORA to nie “martwa litera prawa”. Organy nadzorcze finansowego w UE mają:

Rozległe uprawnienia audytowe – mogą żądać dostępu do systemów, dokumentacji, przeprowadzać audyty na miejscu
Doświadczenie w egzekwowaniu – nadzór finansowy (KNF, EBA, ESMA) ma długą historię egzekwowania compliance (np. RODO, MiFID II, Basel III)
Międzynarodową koordynację– ESAs (European Supervisory Authorities) koordynują nadzór w całej UE Wniosek: Niezgodność z DORA to nie abstrakcyjne ryzyko. To realne, wysokie prawdopodobieństwo surowych kar i konsekwencji biznesowych.

Jak uniknąć kar – kluczowe działania

1. Traktuj DORA jako priorytet zarządu:

Zaangażowanie CEO i zarządu od początku
Regularny monitoring compliance (board reporting)

2. Przeprowadź rzetelny gap analysis:

Oceń obecny stan vs wymogi DORA
Zidentyfikuj wszystkie luki

3. Stwórz realistyczny action plan z timelinami:

Priorytetyzuj działania według ryzyka
Alokuj odpowiednie zasoby (budżet, ludzie)

4. Zainwestuj w kompetencje:

Przeszkol zespoły (ten artykuł to roadmapa!)
Zatrudnij specjalistów, jeśli brakuje kompetencji wewnętrznych

5. Dokumentuj wszystko:

DORA wymaga udokumentowania frameworka, procesów, testów, incydentów
“Jeśli nie jest udokumentowane, nie istnieje” – podejście audytora

6. Testuj regularnie:

Nie czekaj na audyt regulatora – przeprowadzaj własne testy i ćwiczenia
Ucz się na błędach znalezionych wewnętrznie, zanim znajdzie je regulator

7. Buduj kulturę resilience:

Resilience to nie tylko technologia – to kultura organizacyjna
Każdy pracownik musi rozumieć swoją rolę w budowaniu odporności

Jak EITT przygotowuje firmy finansowe na DORA

W EITT rozumiemy, że DORA to nie tylko wymóg compliance – to transformacja operacyjna, która wymaga głębokiej zmiany w sposobie, w jaki instytucje finansowe zarządzają technologią i ryzykiem ICT. Nasza misja to wspieranie polskich banków, ubezpieczycieli, firm inwestycyjnych i innych podmiotów finansowych w tej transformacji poprzez rozwijanie kompetencji ich zespołów.

Nasze podejście: od assessment do operational readiness

Faza 1: DORA Readiness Assessment

Rozpoczynamy od kompleksowej oceny gotowości Twojej instytucji:

Gap analysis – szczegółowe porównanie obecnego stanu z wymogami DORA (wszystkie 5 filarów)
ICT systems inventory – mapowanie systemów krytycznych i ich zależności
Vendor register review – ocena umów z dostawcami ICT pod kątem zgodności z DORA
Skills gap analysis – identyfikacja luk kompetencyjnych w zespołach
Risk assessment– określenie obszarów najwyższego ryzyka compliance Wynik: Raport DORA Readiness z priorytetyzacją działań i rekomendacjami. Faza 2: Customized Training Programs

Na podstawie assessment tworzymy program szkoleń dostosowany do Twojej instytucji, obejmujący: Dla zarządu i senior management:

DORA Strategic Leadership Workshop (2 dni)
- Odpowiedzialność zarządu zgodnie z art. 5 DORA
- ICT risk governance
- Crisis simulation – tabletop exercise
- Action planning dla Twojej instytucji

Dla zespołów IT, cybersecurity, risk:

DORA Technical Implementation Bootcamp (7 dni)
- ICT risk management framework
- Incident management i raportowanie (4h/72h/1m timeline)
- Penetration testing i TLPT
- Third-party risk management
- Business continuity i disaster recovery
- Hands-on labs i praktyczne ćwiczenia

Dla legal, compliance, procurement:

DORA Legal & Vendor Management (3 dni)
- Szczegółowa analiza rozporządzenia DORA i RTS
- Negocjowanie kontraktów zgodnych z DORA
- Vendor due diligence
- Raportowanie do regulatorów (KNF, NBP)

Dla wszystkich pracowników:

DORA Awareness Program (e-learning, 3h)
- Podstawy DORA i digital operational resilience
- Rola każdego pracownika
- Zgłaszanie incydentów ICT

Faza 3: Practical Tools & Templates

Nie tylko uczymy teorii – dostarczamy gotowe do użycia narzędzia:

DORA Gap Analysis Template – Excel/checklist do samooceny
ICT Risk Register Template – gotowy framework do mapowania ryzyk
Vendor Assessment Checklists – dla due diligence dostawców ICT
Contract Clauses Library – wzory klauzul DORA-compliant dla umów z dostawcami
Incident Classification Decision Tree – pomoc w klasyfikacji incydentów (major vs minor)
Incident Reporting Templates – gotowe formularze do raportowania do KNF/NBP
BCP/DRP Templates – wzory planów ciągłości i odzyskiwania
Testing Program Template– plan testów resilience zgodny z DORA Faza 4: Simulation Exercises

Teoria to jedno, praktyka to drugie. Oferujemy:

Crisis Tabletop Exercises:

Symulacja poważnego incydentu ICT (cyberatak, awaria cloud, supplier failure)
Ćwiczenie procedur crisis management
Testowanie komunikacji wewnętrznej i zewnętrznej
Identyfikacja luk w procedurach

Technical DR Tests:

Symulacja awarii systemów krytycznych
Testowanie disaster recovery procedures
Pomiar RTO/RPO
Post-exercise review i action plan

Incident Response Simulations:

Realistyczna symulacja incydentu cybersecurity
Ćwiczenie pełnego cyklu incident response
Testowanie raportowania w timeline DORA
Debriefing i lessons learned

Faza 5: Continuous Support & Advisory

DORA to nie “train and forget”. Oferujemy ciągłe wsparcie:

12-miesięczny dostęp do ekspertów DORA – możliwość zadawania pytań, konsultacji
Kwartalne webinary update – nowe wytyczne EBA/ESMA/EIOPA, emerging threats
Annual refresher training – aktualizacja wiedzy zespołów
Mock audits – symulacja audytu regulatora z feedbackiem
24/7 Helpdesk – wsparcie w sytuacjach kryzysowych (incydenty, przygotowanie do audytu)

Dlaczego EITT?

500+ ekspertów z doświadczeniem w IT, cyberbezpieczeńności, zarządzaniu ryzykiem, compliance, audycie
2500+ przeprowadzonych szkoleń dla wiodących instytucji finansowych, korporacji, administracji publicznej
4.8/5 średnia ocena od uczestników szkoleń – potwierdzenie jakości i praktycznego podejścia
Specjalizacja w sektorze finansowym – dogłębna znajomość specyfiki banków, ubezpieczycieli, firm inwestycyjnych
Praktyczne podejście – case studies z polskiego rynku, real-world scenarios, hands-on exercises
Certyfikowani eksperci – nasi trenerzy posiadają międzynarodowe certyfikacje (CISSP, CISA, CRISC, CEH, CBCP, ISO 27001 Lead Auditor)
Doświadczenie w regulacjach compliance – wspieraliśmy firmy w przygotowaniach do RODO, PSD2, MiFID II, AML6

Oferta dedykowana dla instytucji finansowych

Przygotowaliśmy pakiety DORA Readiness dostosowane do wielkości instytucji: Pakiet START (dla małych instytucji, 50-200 pracowników):

Gap analysis (2 dni on-site)
Awareness training dla wszystkich pracowników (e-learning)
3-dniowy warsztat technical dla IT/security teams (do 15 osób)
1-dniowy workshop dla zarządu
Pakiet templates i checklists
3 miesiące wsparcia ekspertów

Pakiet STANDARD (dla średnich instytucji, 200-1000 pracowników):

Comprehensive gap analysis (5 dni on-site)
Awareness training dla wszystkich (e-learning)
7-dniowy bootcamp technical dla IT/security/risk (do 30 osób)
2-dniowy warsztat dla zarządu z crisis simulation
3-dniowy kurs legal & vendor management (do 15 osób)
Pakiet templates, checklists, procedures
1 tabletop exercise
6 miesięcy wsparcia ekspertów + kwartalne webinary

Pakiet ADVANCED (dla dużych instytucji, 1000+ pracowników):

Extended gap analysis (10 dni on-site)
Awareness training dla wszystkich (e-learning + workshops)
Multiple technical bootcamps (dla różnych lokalizacji/zespołów)
Executive workshops + quarterly board briefings
Legal & vendor management intensive
Full suite of templates, procedures, playbooks
Multiple simulation exercises (tabletop, DR test, incident response)
12 miesięcy comprehensive support + mock audits
Dedicated DORA Advisor (fractional consultant)

Nie czekaj. DORA obowiązuje od stycznia 2025. Organy nadzorcze rozpoczęły już audyty. Firmy, które zainwestują w przygotowanie zespołów już teraz, unikną kar i zbudują realną przewagę konkurencyjną w postaci operational resilience.

👉 Sprawdź nasze szkolenia z cyberbezpieczeństwa, GRC i zarządzania ryzykiem 👉 Skontaktuj się z ekspertem EITT, aby omówić potrzeby Twojej instytucji

FAQ – najczęstsze pytania o DORA i kompetencje

Czy DORA dotyczy tylko dużych banków, czy także mniejszych instytucji finansowych?

DORA ma szeroki zakres i obejmuje praktycznie wszystkie podmioty finansowe w UE, niezależnie od wielkości:

Banki – wszystkie, od największych po małe banki spółdzielcze
Instytucje płatnicze i e-money – w tym małe fintechy
Firmy ubezpieczeniowe – wszystkie, niezależnie od wielkości
Firmy inwestycyjne – w tym małe domy maklerskie
Platformy kryptowalutowe (CASP)

Proporcjonalność: DORA przewiduje zasadę proporcjonalności – mniejsze, mniej złożone instytucje mogą stosować uproszczone podejście. Przykładowo:

TLPT (zaawansowane testy penetracyjne) są wymagane tylko dla dużych, systemowo istotnych instytucji
Framework zarządzania ryzykiem ICT powinien być proporcjonalny do wielkości i złożoności

Ale: Nawet mała instytucja musi spełnić podstawowe wymogi DORA (risk management, incident reporting, vendor contracts, basic testing).

Ile czasu mamy na wdrożenie DORA?

DORA weszła w życie 17 stycznia 2025 roku. To oznacza, że od tej daty instytucje finansowe muszą być zgodne z wymogami. W praktyce:

Jeśli jeszcze nie rozpocząłeś przygotowań – zaczynaj natychmiast
Organy nadzorcze (KNF, NBP) rozpoczęły już audyty zgodności z DORA
Brak compliance może skutkować karami i nakazami natychmiastowego usunięcia naruszeń

Timeline działań:

Natychmiast (miesiąc 1-2): Gap analysis i priorytetyzacja
Miesiąc 2-6: Szkolenia zespołów, aktualizacja procesów i dokumentacji, renegocjacja kontraktów z dostawcami
Ongoing: Regularne testy, ćwiczenia, ciągłe doskonalenie

Jakie są najczęstsze błędy instytucji finansowych w przygotowaniach do DORA?

1. Traktowanie DORA jako “projektu IT”: DORA to nie tylko IT. To transformacja obejmująca risk management, legal, procurement, operations, HR (szkolenia), zarząd. Częsty błąd: CIO dostaje zadanie “zaimplementuj DORA” bez zaangażowania innych działów.

2. Niedoszacowanie vendor management: Filar 4 (third-party risk) jest najbardziej czasochłonny. Renegocjacja setek kontraktów z dostawcami ICT może zająć miesiące. Wiele instytucji odkrywa to za późno.

3. Brak zaangażowania zarządu: Art. 5 DORA explicite wymaga zaangażowania zarządu. Jeśli zarząd traktuje DORA jako “techniczny wymóg” i deleguje całość na CIO – to naruszenie DORA.

4. Niewystarczające szkolenia: Organizacje inwestują w narzędzia (SIEM, firewalle), ale zaniedbują szkolenie ludzi. Tymczasem większość incydentów ICT wynika z błędu ludzkiego (phishing, misconfiguration).

5. Brak testowania w praktyce: Istnienie procedur na papierze to nie to samo, co ich działanie w praktyce. DORA wymaga regularnego testowania. Wiele instytucji ma “piękne” BCP/DRP, które nigdy nie były testowane – i okazują się bezużyteczne podczas rzeczywistego incydentu.

6. Ignorowanie concentration risk: Instytucje często nie zdają sobie sprawy, jak bardzo są uzależnione od 1-2 kluczowych dostawców (np. jeden cloud provider dla wszystkich krytycznych systemów). To ogromne ryzyko.

Czy możemy polegać na zapewnieniach naszego cloud providera o zgodności z DORA?

Częściowo, ale z dużą ostrożnością.

Co cloud provider może zrobić:

Zapewnić infrastrukturę zgodną z DORA (security controls, resilience, SLA)
Dostarczyć certyfikaty i audyty (ISO 27001, SOC 2, etc.)
Umożliwić audyt (zgodnie z wymogiem DORA)
Raportować incydenty dotyczące infrastruktury

Czego cloud provider NIE zrobi za Ciebie:

Nie przeprowadzi Twojego ICT risk assessment
Nie zapewni, że Ty używasz ich usług w sposób zgodny z DORA
Nie przeprowadzi Twoich testów resilience
Nie zgłosi incydentu do KNF/NBP (to Twój obowiązek, nie ich)

Responsibility model: W chmurze obowiązuje shared responsibility model:

Cloud provider odpowiada za security OF the cloud (infrastruktura, hardware, networking)
Ty odpowiadasz za security IN the cloud (Twoje dane, aplikacje, konfiguracja, access management) Wymogi kontraktowe DORA: Umowa z cloud providerem musi zawierać klauzule zgodne z DORA:
Prawo do audytu (ty lub wyznaczeni audytorzy)
Exit strategy – możliwość migracji do innego providera
Lokalizacja danych (jurysdykcja)
Dostęp organów nadzorczych (KNF, NBP)
Raportowanie incydentów

Praktyczny krok: Przeprowadź review umowy z cloud providerem i negocjuj dodatkowe klauzule, jeśli brakuje wymogów DORA.

Kto w organizacji powinien być odpowiedzialny za DORA compliance?

DORA wymaga multidisciplinary approach. Typowa struktura odpowiedzialności: Poziom strategiczny – Zarząd:

CEO – ostateczna odpowiedzialność
Zarząd (Board) – nadzór, zatwierdzanie framework, risk appetite
Risk Committee (komitet zarządu) – nadzór nad compliance Poziom operacyjny – Management:
CRO (Chief Risk Officer) – ownership nad ICT risk management framework
CIO (Chief Information Officer) – odpowiedzialność za IT operations, resilience, vendor management
CISO (Chief Information Security Officer) – cybersecurity, incident response
COO (Chief Operating Officer) – business continuity, operational resilience
General Counsel / Chief Compliance Officer – legal interpretation, regulatory reporting, vendor contracts
CFO (Chief Financial Officer)– budżetowanie inwestycji w resilience Poziom wykonawczy:
IT Risk Manager – day-to-day risk management
Vendor Risk Manager – third-party risk management
Incident Manager – zarządzanie incydentami ICT
Business Continuity Manager – BCP/DRP
Internal Auditor– audyty compliance z DORA Nowa rola: DORA Compliance Officer? Wiele instytucji tworzy dedykowaną rolę DORA Coordinator lub Digital Operational Resilience Officer, która koordynuje działania wszystkich wymienionych wyżej zespołów i jest single point of contact dla regulatora. W małych instytucjach: Funkcje mogą być łączone (np. CIO + CISO, CRO + Compliance), ale podstawowa wiedza i odpowiedzialność musi być jasno określona.

Jakie certyfikacje są najbardziej wartościowe dla compliance z DORA?

Dla Risk Managers:

CRISC (Certified in Risk and Information Systems Control) – ISACA, fokus na IT risk
CISA (Certified Information Systems Auditor) – ISACA, audyt IT controls Dla Cybersecurity Professionals:
CISSP (Certified Information Systems Security Professional) – (ISC)², najbardziej rozpoznawalna certyfikacja security
CEH (Certified Ethical Hacker) – EC-Council, dla penetration testers
GCIH (GIAC Certified Incident Handler) – GIAC/SANS, incident response Dla Business Continuity:
CBCP (Certified Business Continuity Professional) – DRI International
ISO 22301 Lead Implementer– business continuity management systems Dla Cloud Security:
AWS Certified Security – Specialty
Microsoft Certified: Azure Security Engineer Associate
Google Professional Cloud Security Engineer

Dla Compliance/Legal:

CIPP/E (Certified Information Privacy Professional/Europe) – IAPP, dla RODO + DORA synergies WAŻNE: Certyfikacje są wartościowe, ale nie zastępują szkoleń specyficznych dla DORA. Zalecamy połączenie: ogólne certyfikacje branżowe + dedykowane szkolenia DORA.

Jak często musimy przeprowadzać testy odporności operacyjnej?

DORA nie precyzuje jednej sztywnej częstotliwości– wymaga, aby testy były przeprowadzane regularnie i proporcjonalnie do profilu ryzyka instytucji. Wytyczne EBA sugerują: Testy podstawowe (dla wszystkich instytucji):

Vulnerability assessments: Co najmniej kwartalnie (4x/rok)
Testy penetracyjne: Co najmniej raz w roku
Business continuity tests (BCP): Co najmniej raz w roku
Disaster recovery tests (DRP): Co najmniej raz w roku
Scenario-based testing: Według potrzeb, ale minimum raz w roku TLPT (Threat-Led Penetration Testing) – dla dużych instytucji:
Co najmniej raz na 3 lata
Wymagane dla instytucji uznanych za “znaczące” przez nadzór (typically: duże banki, infrastruktura rynku kapitałowego)

Best practice:

Nie czekaj do końca roku – rozłóż testy równomiernie w ciągu roku
Różne typy testów w różnych okresach (np. Q1: pentest, Q2: DR test, Q3: BCP exercise, Q4: tabletop)
Po każdym teście: dokumentacja + action plan + implementacja zaleceń + retest

WAŻNE: Wyniki testów muszą być raportowane zarządowi i prowadzić do konkretnych działań naprawczych.

Czy DORA wpłynie na naszą strategię cloud computing?

Tak, ale nie oznacza to rezygnacji z chmury. DORA nie zakazuje korzystania z cloud computing – wręcz przeciwnie, dobrze zaprojektowana strategia cloud może zwiększyć operational resilience (redundancja, skalowalność, disaster recovery). Co się zmienia z DORA:

1. Wybór cloud providera:

Musisz upewnić się, że provider spełnia wymogi DORA (security, resilience, audytowalność)
Provider musi zgodzić się na klauzule kontraktowe wymagane przez DORA (audit rights, exit strategy)
Duzi providerzy (AWS, Azure, GCP) już oferują DORA-compliant frameworks

2. Multi-cloud i avoid concentration risk:

DORA wymaga zarządzania ryzykiem koncentracji dostawców
Rozważ strategię multi-cloud (różni providerzy dla różnych workloads) lub hybrid cloud (część on-premise, część cloud)
Exit strategy – realistyczny plan migracji do innego providera lub powrotu on-premise

3. Data location i sovereignty:

DORA wymaga, aby umowy określały lokalizację przetwarzania danych
Dla instytucji finansowych w UE: dane powinny być przetwarzane w UE (RODO + regulatory requirements)
Skonfiguruj cloud region policies

4. Enhanced monitoring i logging:

Zwiększona widoczność tego, co dzieje się w chmurze
Integration cloud logs z Twoim SIEM
Monitoring SLA i alerting na deviation

5. Testowanie cloud resilience:

Regularnie testuj failover między availability zones/regions
Testuj disaster recovery w chmurze
Chaos engineering – celowe wprowadzanie awarii w środowisku cloud do testowania odporności

Strategia: Cloud może być enabler DORA compliance, jeśli używasz go świadomie i zgodnie z wymogami regulacji.

Konkluzja: DORA to nie bariera dla innowacji czy cyfryzacji sektora finansowego. To standard jakości, który podnosi poprzeczkę dla całej branży i buduje zaufanie klientów. Instytucje, które zainwestują w kompetencje swoich zespołów i potraktują DORA jako szansę na budowanie przewagi konkurencyjnej, wygrają w długim terminie. Gotowi na DORA? Skontaktuj się z EITT, aby otrzymać spersonalizowaną ofertę szkoleń i wsparcia dla Twojej instytucji finansowej.

👉 Sprawdź nasze szkolenia z cyberbezpieczeństwa, GRC i zarządzania ryzykiem 👉 Umów się na bezpłatną konsultację DORA Readiness

Przeczytaj również

Rozwijaj swoje kompetencje

Chcesz pogłębić wiedzę z tego obszaru? Sprawdź nasze szkolenie prowadzone przez doświadczonych trenerów EITT.

➡️ Wiodący Wdrożeniowiec DORA (DORA Lead Implementer) — szkolenie EITT

Na skróty

Co to jest DORA i kogo dotyczy?

Dlaczego DORA powstała?

Kogo obowiązuje DORA?

Eksterytorialność DORA

5 filarów DORA – przegląd wymagań

Filar 1: Zarządzanie ryzykiem ICT (ICT Risk Management)

Filar 2: Zarządzanie incydentami ICT i raportowanie (ICT-related Incident Management and Reporting)

Filar 3: Testowanie odporności cyfrowej operacyjnej (Digital Operational Resilience Testing)

Filar 4: Zarządzanie ryzykiem podmiotów zewnętrznych ICT (ICT Third-Party Risk Management)

Filar 5: Wymiana informacji o zagrożeniach i podatnościach (Information Sharing)

Jakie kompetencje IT wymaga DORA od organizacji?

1. ICT Governance – Zarząd i Kadra Kierownicza Wyższego Szczebla

2. ICT Risk Management – Risk Managers i Audytorzy

3. Cybersecurity i Incident Response – CISO i Security Teams

4. IT Operations i Infrastructure – DevOps, SysAdmins, Network Engineers

5. Software Development – Developers i QA

6. Legal, Compliance i Procurement – Zarządzanie Kontraktami

7. Business Continuity Management – BCM Teams

Plan szkoleń zgodnych z DORA – kto czego musi się nauczyć

Faza 1: Inventory i Priorytetyzacja (Miesiąc 1-2)

Faza 2: Awareness Training – Wszyscy Pracownicy (Miesiąc 2-3)

Faza 3: Executive Training – Zarząd i Senior Management (Miesiąc 3)

Faza 4: Technical Training – IT, Security, Risk Teams (Miesiąc 4-6)

Track A: ICT Risk Management (dla Risk Managers, Audytorów)

Track B: Cybersecurity i Incident Response (dla CISO, SOC, Security Teams)

Track C: Operational Resilience (dla IT Ops, DevOps, SysAdmins)

Track D: Secure Development (dla Developers, QA)

Faza 5: Legal & Compliance Training (Miesiąc 5-6)

Faza 6: Specialized Certifications (Ongoing, Miesiąc 7-12)

Faza 7: Continuous Learning i Exercises (Ongoing)

DORA vs NIS2 – czym się różnią i co się pokrywa?

Główne różnice

Przecięcia i synergies

Tabela porównawcza – kluczowe wymogi

Strategia zintegrowanej zgodności DORA + NIS2

Konsekwencje niezgodności – kary i ryzyka

Kary administracyjne

Dodatkowe sankcje i środki nadzorcze

Odpowiedzialność cywilna

Ryzyko reputacyjne

Ryzyko systemowe

Prawdopodobieństwo egzekucji

Jak uniknąć kar – kluczowe działania

Jak EITT przygotowuje firmy finansowe na DORA

Nasze podejście: od assessment do operational readiness

Dlaczego EITT?

Oferta dedykowana dla instytucji finansowych

FAQ – najczęstsze pytania o DORA i kompetencje

Czy DORA dotyczy tylko dużych banków, czy także mniejszych instytucji finansowych?

Ile czasu mamy na wdrożenie DORA?

Jakie są najczęstsze błędy instytucji finansowych w przygotowaniach do DORA?

Czy możemy polegać na zapewnieniach naszego cloud providera o zgodności z DORA?

Kto w organizacji powinien być odpowiedzialny za DORA compliance?

Jakie certyfikacje są najbardziej wartościowe dla compliance z DORA?

Jak często musimy przeprowadzać testy odporności operacyjnej?

Czy DORA wpłynie na naszą strategię cloud computing?

Przeczytaj również

Rozwijaj swoje kompetencje

Powiązane szkolenia

DORA dla zarządu — odpowiedzialność prawna i cyfrowa odporność operacyjna

Rozporządzenie DORA: zapewnienie cyfrowej odporności operacyjnej w sektorze finansowym i dla dostawców ICT

Powiązane artykuły

Szkolenia IT dla banków - specyfika sektora finansowego

Obowiązkowe szkolenia IT w regulowanych branżach - checklist 2026

Budowanie zespołu AI: kluczowe role i kompetencje na 2026 rok

Poproś o ofertę

Rozwiń swoje kompetencje