FRAMEWORK · DORA

DORA — Cyfrowa odporność operacyjna.
Rozporządzenie UE 2022/2554.

W mocy od 17 stycznia 2025. Stosuje się do 22 000+ europejskich podmiotów finansowych i ich krytycznych dostawców ICT. Itamite pokrywa filary zarządzania ryzykiem ICT, zarządzania incydentami i testowania odporności z podpisanymi dowodami dla krajowych organów nadzoru (KNF, EBA).

Zobacz cennik Demo DORA

Kogo dotyczy DORA?

Podmioty finansowe: banki, kasy oszczędnościowe, EMI/PI, ubezpieczyciele i reasekuratorzy, zarządzający aktywami (UCITS, AIFM), firmy inwestycyjne, infrastruktury rynkowe (CCP, CSD), dostawcy krypto-aktywów (CASPs), dostawcy usług płatniczych (PSPs), agencje ratingowe, fundusze emerytalne, alternatywni zarządzający, dostawcy PEPP.

Szczególnie ważne: krytyczni dostawcy ICT obsługujący podmioty finansowe (cloud, centra danych, MSP, regulowane oprogramowanie). Jeśli Państwa firma świadczy usługi IT dla bankowości/finansów, DORA może stosować się do Państwa bezpośrednio.

Kary: do 10M€ lub 5% rocznego światowego obrotu, w zależności od tego, co jest wyższe. Za poważne naruszenia możliwe wykluczenie z rejestru autoryzowanych dostawców ICT → upadłość dostawcy.

PIĘĆ FILARÓW DORA

Co Itamite pokrywa

Filar 1: Zarządzanie ryzykiem ICT (Art. 5-15)

Itamite dostarcza pełną inwentaryzację aktywów ICT (Art. 8), identyfikację funkcji krytycznych, ciągłą analizę ryzyka poprzez mierzoną postawę (Art. 9), ochronę i prewencję (szyfrowanie, łatki, AV — Art. 9), ciągłe wykrywanie (Art. 10), zarządzanie ciągłością (Art. 11), uczenie się i ewolucję opartą na danych.

Filar 2: Zarządzanie incydentami ICT (Art. 17-23)

Niezmienialny audyt hash-chain jako dowód incydentów. Automatyczna klasyfikacja według wagi. Powiadomienie wstępne 4h po wykryciu, pośrednie 72h, końcowe 1 miesiąc — Itamite dostarcza weryfikowalną oś czasu techniczną. Integracja SIEM do raportowania władzom.

Filar 3: Testowanie odporności (Art. 24-27)

Roczne testy podstawowe (vulnerability assessment, scenario testing). Dla podmiotów istotnych: TLPT (Threat-Led Penetration Testing) co 3 lata. Itamite dostarcza inwentarz i dane do zdefiniowania zakresu testów oraz weryfikacji późniejszej remediacji.

Filar 4: Ryzyko stron trzecich ICT (Art. 28-44)

Rejestr informacji o wszystkich umowach kontraktowych z dostawcami ICT. Itamite jest dostawcą ICT: dostarczamy standardową dokumentację kontraktową DORA-ready (klauzule Art. 30, exit strategy, prawa audytowe, subkontraktowanie).

Filar 5: Wymiana informacji (Art. 45)

Opcjonalne możliwości wymiany informacji o zagrożeniach z innymi podmiotami. Itamite udostępnia API + webhooki do integracji z platformami wymiany (FS-ISAC, EU-FSF).

Itrion jako dostawca ICT DORA-ready

Dla klientów finansowych: konkretne kontrakty zgodne z Art. 30: opis funkcji krytycznych, lokalizacja przetwarzania w UE, prawo audytu na miejscu, ilościowe poziomy usług (SLA), uporządkowane wyjście z asystowaną migracją, wstępnie zatwierdzeni podwykonawcy.

NAJCZĘSTSZE PYTANIA

Pytania o DORA

Kto nadzoruje zgodność z DORA?

W Polsce: KNF (Komisja Nadzoru Finansowego) dla bankowości, ubezpieczeń i rynku kapitałowego. Na poziomie UE: EBA, ESMA, EIOPA. Dla krytycznych dostawców ICT: specyficzny ramowy nadzór EU-wide pod koordynacją ESAs.

Kiedy zostaję uznany za krytycznego dostawcę ICT?

Pierwsze ćwiczenie wyznaczania zostało przeprowadzone przez ESAs w 2024. Roczna lista publiczna. Jeśli zostaniesz wyznaczony jako krytyczny, bezpośredni nadzór europejski + wzmocnione obowiązki. Większość dostawców ICT NIE jest krytyczna w sensie formalnym, ale musi zgodnie z umowami spełniać DORA z powodu wymagań klientów.

Czy Itrion Software jest krytycznym dostawcą ICT DORA?

Niewyznaczony jako krytyczny EU-wide. Spełniamy DORA kontraktowo dla naszych klientów finansowych: dokumentacja Art. 30, możliwość audytu na miejscu, pisemna exit strategy, hosting w UE, deklarowani podwykonawcy. Lista klientów finansowych: pod NDA.

Ile trwa zgodność z DORA?

Dla podmiotu finansowego z nowoczesną platformą IT: 6-12 miesięcy. Od zera: 12-18 miesięcy. Itamite przyspiesza części inwentarza, zarządzania ryzykiem ICT i monitorowania (3-4 miesiące zaoszczędzone). Reszta (BCP, ład korporacyjny, testowanie TLPT) wymaga wyspecjalizowanej konsultacji.

Sektor finansowy podlegający DORA

Demo Enterprise z prawdziwym przypadkiem bankowości/ubezpieczeń + dostęp do kontraktów DORA-ready.

Zobacz cennik Poproś o demo