DORA wyjaśniona: wpływ na zakup oprogramowania w sektorze finansowym
DORA obowiązuje od 17 stycznia 2025 roku i zasadniczo zmienia sposób, w jaki organizacje finansowe dokonują zakupu i zawierają umowy na oprogramowanie. Oto wszystko, co musisz wiedzieć o pięciu filarach, wymogach umownych oraz wpływie na zarządzanie dostawcami.
- 1 lutego 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, czyli Digital Operational Resilience Act, obowiązuje od 17 stycznia 2025 roku we wszystkich państwach członkowskich UE. Dla organizacji finansowych i ich dostawców IT oznacza to fundamentalną zmianę: odporność cyfrowa przestaje być wyłącznie kwestią wewnętrzną IT i staje się regulowanym obowiązkiem biznesowym podlegającym nadzorowi i karom.
Czym jest DORA?
DORA to rozporządzenie UE, a nie dyrektywa, więc jest bezpośrednio stosowalnym prawem regulującym cyfrową odporność operacyjną sektora finansowego. Rozporządzenie jest częścią Pakietu Cyfrowych Finansów i dotyczy 20 kategorii podmiotów finansowych — od banków i ubezpieczycieli po fintechy i dostawców usług kryptograficznych.
Pięć filarów DORA
DORA organizuje swoje wymogi wokół pięciu kluczowych obszarów:
Zarządzanie ryzykiem IT: kompleksowy system identyfikacji, klasyfikacji i kontroli ryzyk IT
Raportowanie incydentów: poważne incydenty IT muszą być zgłaszane nadzorcom w ściśle określonych terminach
Testowanie odporności cyfrowej: regularne testy penetracyjne i scenariusze odpornościowe dla kluczowych systemów
Zarządzanie ryzykiem stron trzecich: obowiązki umowne, rejestry dostawców oraz analiza ryzyka koncentracji
Wymiana informacji: proaktywne dzielenie się informacjami o zagrożeniach w sektorze
Co DORA oznacza dla zakupu oprogramowania?
Czwarty filar, czyli zarządzanie ryzykiem stron trzecich, ma bezpośredni wpływ na sposób, w jaki organizacje finansowe dokonują zakupu i zawierają umowy na oprogramowanie:
Minimalne wymogi umowne: każda umowa IT musi zawierać zapisy dotyczące SLA, zgłaszania incydentów, praw do audytu, planu wyjścia, lokalizacji danych oraz ciągłości działania
Rejestr dostawców IT: obowiązkowy, aktualny i kompletny rejestr wszystkich dostawców IT, dostępny dla organów nadzoru
Ryzyko koncentracji: nadmierna zależność od jednego dostawcy (np. jednego dostawcy chmury) musi być oceniona i zgłoszona
Podwykonawcy: także poddostawcy Twoich dostawców mieszczą się w zakresie DORA
SoftVaro pomaga organizacjom finansowym zobrazować ich krajobraz oprogramowania i doprowadzić umowy do zgodności z wymogami DORA.
Najczęściej zadawane pytania
Najczęściej zadawane pytania na ten temat.
Dla kogo obowiązuje DORA?
DORA obowiązuje banki, ubezpieczycieli, instytucje inwestycyjne, instytucje płatnicze, dostawców usług kryptograficznych, fundusze emerytalne oraz wszystkich dostawców IT świadczących usługi krytyczne dla tych podmiotów.
Czy DORA dotyczy także mojego dostawcy oprogramowania?
Tak. Jeśli dostarczasz oprogramowanie lub usługi IT instytucji finansowej podlegającej DORA, jako dostawca IT jesteś zobowiązany do spełnienia umownych wymogów DORA narzuconych przez tę instytucję. Krytyczni dostawcy IT mogą także podlegać bezpośredniemu nadzorowi UE.
Jakie są kary za nieprzestrzeganie DORA?
Kary mogą sięgać do 2% całkowitego światowego rocznego obrotu. W przypadku krytycznych dostawców IT podlegających bezpośredniemu nadzorowi UE przewidziane są dodatkowe sankcje.
Gotowy, aby zaoszczędzić na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepszą ofertę u ponad 4 000 dostawców. Niezależnie, przejrzyście, w ciągu 24 godzin.