Rozporządzenie UE 2022/2554

DORA obowiązuje.
Czy Twoja odporność ICT jest gotowa?

Akt o cyfrowej odporności operacyjnej wymaga od podmiotów finansowych zarządzania ryzykami ICT, zgłaszania incydentów w ciągu 4 godzin i testowania odporności operacyjnej — pod groźbą kar do 2% globalnego obrotu.

Obowiązuje od 17 stycznia 2025 r.

Przeskanuj swoją stronę teraz Zobacz plany Compliance

Czy DORA dotyczy Ciebie?

DORA dotyczy 21 typów podmiotów finansowych i ich kluczowych zewnętrznych dostawców usług ICT. Jeśli działasz w sektorze finansowym UE, bardzo prawdopodobnie jesteś objęty zakresem.

Banki

Podmiot finansowy

Ubezpieczenia

Podmiot finansowy

Firmy inwestycyjne

Podmiot finansowy

Instytucje płatnicze

Podmiot finansowy

Dostawcy kryptoaktywów

Podmiot finansowy

Zarządzający funduszami

Podmiot finansowy

Agencje ratingowe

Podmiot finansowy

Zewnętrzni dostawcy ICT

Dostawca krytyczny

Koszt niezgodności

Podmioty finansowe

2%

całkowitego rocznego globalnego obrotu

kary administracyjne określane przez krajowe organy właściwe

Kluczowi zewnętrzni dostawcy ICT

5 mln €

lub 1% średniego dziennego globalnego obrotu

plus okresowe kary pieniężne za dalszą niezgodność

Krajowe organy właściwe mogą również ograniczyć lub zawiesić działalność i pociągnąć zarząd do osobistej odpowiedzialności.

5 filarów DORA — i co monitoruje SiteGuardian

DORA ustanawia pięć filarów cyfrowej odporności operacyjnej. SiteGuardian na bieżąco monitoruje cztery z nich dla Twojej infrastruktury ICT dostępnej z sieci.

Art. 5–15

Zarządzanie ryzykiem ICT

Überwacht

SiteGuardian zapewnia ciągłe monitorowanie poziomu bezpieczeństwa infrastruktury dostępnej z sieci: walidacja TLS/SSL, śledzenie cyklu życia certyfikatów, wykrywanie podatności, wymuszanie nagłówków bezpieczeństwa, weryfikacja DNSSEC i niezmienny dziennik audytu do wykazania zarządzania ryzykiem.

Art. 17–23

Zarządzanie incydentami ICT

Überwacht

SiteGuardian wykrywa incydenty w czasie rzeczywistym, klasyfikuje je według ważności i obsługuje zgodne z DORA procesy raportowania — w tym wstępne powiadomienie w ciągu 4 godzin dla poważnych incydentów ICT, raporty pośrednie w ciągu 72 godzin i raporty końcowe w ciągu 1 miesiąca. Wstępnie wypełnione raporty incydentów dla krajowego organu właściwego są generowane automatycznie.

Art. 24–27

Testowanie cyfrowej odporności operacyjnej

Überwacht

SiteGuardian przeprowadza zautomatyzowane skany bezpieczeństwa obejmujące konfigurację TLS, nagłówki bezpieczeństwa HTTP, utwardzanie DNS, uwierzytelnianie e-mail (DMARC/SPF/DKIM) i walidację certyfikatów z wielu regionów geograficznych — zapewniając ciągłe bazowe testy odporności zgodnie z Art. 25.

Art. 28–30

Zarządzanie ryzykiem stron trzecich ICT

Überwacht

SiteGuardian ocenia poziom bezpieczeństwa dostawców na 5 poziomach dojrzałości, śledzi ryzyko koncentracji dla kluczowych dostawców ICT, monitoruje bezpieczeństwo TLS i poczty e-mail stron trzecich i wspiera generowanie rejestru informacji DORA (Art. 28(3)) dla wszystkich ustaleń umownych z zewnętrznymi dostawcami ICT.

Art. 31–44

Nadzór nad kluczowymi zewnętrznymi dostawcami ICT

Ten filar dotyczy dostawców ICT wyznaczonych jako krytyczni przez Europejskie Urzędy Nadzoru (ESA). Główny nadzorca przeprowadza inspekcje, wydaje zalecenia i może nakładać kary. SiteGuardian nie obejmuje bezpośrednio procesów nadzoru ESA.

Zgodność z DORA zaczyna się od widoczności

Przeskanuj swoją stronę, aby ocenić poziom bezpieczeństwa ICT. SiteGuardian mapuje każdy wynik na artykuły DORA — abyś wiedział dokładnie, gdzie się znajdujesz.

Bezpłatny skan bezpieczeństwa Zobacz plany Compliance

Bezpłatny na zawsze dla 1 monitora. Karta kredytowa nie jest wymagana.

Najczęściej zadawane pytania

Czym jest DORA?

DORA (Rozporządzenie 2022/2554) to unijny akt o cyfrowej odporności operacyjnej. Tworzy kompleksowe ramy zarządzania ryzykiem ICT w sektorze finansowym, obejmujące zarządzanie ryzykiem, raportowanie incydentów, testowanie odporności, zarządzanie ryzykiem stron trzecich i wymianę informacji. W przeciwieństwie do dyrektywy, DORA ma bezpośrednie zastosowanie we wszystkich państwach członkowskich UE.

Kiedy DORA zaczęła obowiązywać?

DORA weszła w życie 16 stycznia 2023 r. i jest w pełni obowiązująca od 17 stycznia 2025 r. Wszystkie objęte zakresem podmioty finansowe i kluczowi zewnętrzni dostawcy ICT muszą teraz spełniać jej wymagania.

Czy DORA dotyczy dostawców ICT?

Tak. DORA dotyczy nie tylko podmiotów finansowych, ale także ich kluczowych zewnętrznych dostawców usług ICT — w tym platform chmurowych, dostawców SaaS, usług analizy danych i dostawców oprogramowania. Europejskie Urzędy Nadzoru (ESA) wyznaczają, którzy dostawcy są uznawani za krytycznych i podlegają bezpośredniemu nadzorowi.

Jakie są terminy zgłaszania incydentów w ramach DORA?

W przypadku poważnych incydentów ICT DORA wymaga: wstępnego powiadomienia w ciągu 4 godzin od klasyfikacji (i nie później niż 24 godziny od wykrycia), raportu pośredniego w ciągu 72 godzin i raportu końcowego w ciągu 1 miesiąca. SiteGuardian automatycznie śledzi te terminy i generuje wstępnie wypełnione raporty.

Jak SiteGuardian pomaga w zgodności z DORA?

SiteGuardian na bieżąco monitoruje infrastrukturę ICT dostępną z sieci pod kątem zagrożeń bezpieczeństwa (TLS, nagłówki, DNS, uwierzytelnianie e-mail), wykrywa incydenty w czasie rzeczywistym, przeprowadza zautomatyzowane testy odporności z wielu regionów i zapewnia ocenę ryzyka dostawców na 5 poziomach. Wyniki są mapowane na artykuły DORA, a raporty zgodności są gotowe do audytu.