DORA wyjaśniona: wpływ na zakup oprogramowania w sektorze finansowym
DORA obowiązuje od 17 stycznia 2025 roku i fundamentalnie zmienia sposób, w jaki organizacje finansowe kupują i zawierają umowy na oprogramowanie. Oto wszystko, co musisz wiedzieć o pięciu filarach, wymogach umownych oraz wpływie na zarządzanie dostawcami.
- 1 lutego 2025
- 5 min
- DORA – Digital Operational Resilience Act
DORA, czyli Digital Operational Resilience Act, obowiązuje od 17 stycznia 2025 roku we wszystkich państwach członkowskich UE. Dla organizacji finansowych i ich dostawców IT oznacza to istotną zmianę: odporność cyfrowa przestaje być wewnętrznym problemem IT i staje się regulowanym obowiązkiem biznesowym z nadzorem i karami.
Czym jest DORA?
DORA to rozporządzenie unijne, a nie dyrektywa, czyli prawo bezpośrednio stosowane, regulujące cyfrową odporność operacyjną sektora finansowego. Rozporządzenie jest częścią Digital Finance Package i dotyczy 20 kategorii podmiotów finansowych – od banków i ubezpieczycieli po fintechy i dostawców usług kryptowalutowych.
Pięć filarów DORA
DORA opiera swoje wymagania na pięciu kluczowych obszarach:
Zarządzanie ryzykiem IT: kompleksowe ramy identyfikacji, klasyfikacji i kontrolowania ryzyk IT
Raportowanie incydentów: poważne incydenty IT muszą być raportowane organom nadzoru w ścisłych terminach
Testowanie odporności cyfrowej: okresowe testy penetracyjne i scenariusze odpornościowe dla krytycznych systemów
Zarządzanie ryzykiem stron trzecich: zobowiązania umowne, rejestry dostawców oraz analiza ryzyka koncentracji
Wymiana informacji: proaktywne dzielenie się informacjami o zagrożeniach w sektorze
Co oznacza DORA dla zakupu oprogramowania?
Czwarty filar, zarządzanie ryzykiem stron trzecich, ma bezpośredni wpływ na sposób, w jaki organizacje finansowe kupują i zawierają umowy na oprogramowanie:
Minimalne wymogi umowne: każda umowa IT musi zawierać klauzule dotyczące SLA, raportowania incydentów, praw audytu, planu wyjścia, lokalizacji danych i ciągłości działania
Rejestr dostawców IT: obowiązkowy, aktualny i kompletny rejestr wszystkich dostawców IT musi być dostępny dla regulatorów
Ryzyko koncentracji: nadmierna zależność od jednego dostawcy (np. jednego dostawcy chmury) musi być oceniona i raportowana
Podwykonawcy: również dostawcy twoich dostawców podlegają zakresowi DORA
SoftVaro pomaga organizacjom finansowym mapować ich krajobraz oprogramowania oraz dostosowywać umowy do wymogów DORA.
Najczęściej zadawane pytania
Najczęściej zadawane pytania dotyczące tego tematu.
Dla kogo obowiązuje DORA?
DORA obowiązuje banki, ubezpieczycieli, instytucje inwestycyjne, instytucje płatnicze, dostawców usług kryptowalutowych, fundusze emerytalne oraz wszystkich dostawców IT świadczących usługi krytyczne dla tych podmiotów.
Czy DORA obowiązuje również mojego dostawcę oprogramowania?
Tak. Jeśli dostarczasz oprogramowanie lub usługi IT instytucji finansowej objętej DORA, jako dostawca IT jesteś zobowiązany do spełnienia umownych wymagań DORA, które ta instytucja na ciebie nakłada. Krytyczni dostawcy IT mogą również podlegać bezpośredniemu nadzorowi UE.
Jakie są kary za nieprzestrzeganie DORA?
Kary mogą sięgać do 2% globalnego rocznego obrotu. Dla krytycznych dostawców IT podlegających bezpośrednio nadzorowi UE obowiązują dodatkowe sankcje.
Gotowy, aby oszczędzać na oprogramowaniu?
SoftVaro negocjuje dla Ciebie najlepsze oferty u ponad 4 000 dostawców. Niezależnie, transparentnie, w ciągu 24 godzin.