DORA nie tylko dla sektora finansowego – czy Twoja firma podlega nowym regulacjom?

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza jednolite zasady dotyczące odporności cyfrowej w sektorze finansowym. Choć DORA weszło w życie w styczniu 2023 roku, jego pełne stosowanie rozpoczęło się 17 stycznia 2025 r., z uwagi na 2-letni okres przejściowy na przygotowanie dla podmiotów, które zostały nim objęte. Co jednak istotne, regulacje te obejmują nie tylko banki, ubezpieczycieli czy firmy inwestycyjne, ale także podmioty spoza tradycyjnego sektora finansowego – w szczególności niektórych dostawców usług ICT. To oznacza, że firmy technologiczne, które świadczą kluczowe usługi dla podmiotów finansowych i zostaną uznane za dostawców krytycznych zgodnie z procedurami określonymi w rozporządzeniu, również mogą zostać objęte wymogami DORA.

Definicja usługi ICT w kontekście DORA

Zgodnie z art. 3 pkt 21 rozporządzenia DORA, usługi ICT obejmują wszelkie „usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT”. Definicja ta podkreśla kluczową rolę technologii w działalności podmiotów finansowych i obejmuje szeroki wachlarz usług, takich jak:

1. Usługi związane z infrastrukturą ICT - obejmują elementy techniczne, takie jak serwery, urządzenia sieciowe, systemy telekomunikacyjne oraz oprogramowanie; ich zadaniem jest wspieranie kluczowych funkcji operacyjnych instytucji;
2. Usługi przetwarzania danych - dotyczą przechowywania, zarządzania i analizy danych, w tym korzystania z rozwiązań chmurowych, takich jak SaaS czy PaaS;
3. Usługi zarządzania cyberbezpieczeństwem - obejmują działania mające na celu ochronę systemów ICT przed zagrożeniami cybernetycznymi, takie jak ataki hakerskie, phishing czy ransomware.

DORA nakłada na podmioty finansowe obowiązek skutecznego zarządzania ryzykiem ICT, co w praktyce oznacza, że organizacje te będą bardziej rygorystycznie podchodzić do wyboru i nadzorowania swoich dostawców technologicznych.

Jeśli Twoja firma dostarcza usługi ICT dla podmiotów finansowych – nawet jeśli nie jest częścią sektora finansowego – możesz spodziewać się, że Twój klient będzie wymagał od Ciebie zgodności z DORA, gdy zostanie ona uznana za dostawcę krytycznego. Niezależnie od tego, czy świadczysz usługi chmurowe, zarządzasz infrastrukturą IT czy dostarczasz narzędzia analityczne dla sektora finansowego – regulacja może Cię dotyczyć.

‍