Elementrica
03Realizacje04Referencje05Firma06Aktualności07Kontakt
PLENDE

Wzmocnienie cyberbezpieczeństwa w sektorze finansowym: kompletny przewodnik po ustawie o cyfrowej odporności operacyjnej (DORA)

ElementricaElementrica7 min
Wzmocnienie cyberbezpieczeństwa w sektorze finansowym: kompletny przewodnik po ustawie o cyfrowej odporności operacyjnej (DORA)

DORA nie jest kolejnym formularzem do odhaczenia. To unijne rozporządzenie, które nakłada na instytucje finansowe twarde obowiązki: zarządzanie ryzykiem ICT, zgłaszanie incydentów, nadzór nad dostawcami i regularne testy odporności, w tym testy penetracyjne oparte na zagrożeniach (TLPT). Za zgodność odpowiada zarząd, a nie dział IT. Poniżej pokazujemy, co DORA realnie zmienia, kogo dotyczy i jak przygotować firmę bez paniki na ostatnią chwilę.

Czym jest DORA i kogo dotyczy

Rozporządzenie o cyfrowej odporności operacyjnej (Digital Operational Resilience Act, DORA) to część unijnego pakietu finansów cyfrowych. Ujednolica zasady odporności operacyjnej w całym sektorze finansowym UE i obowiązuje bezpośrednio, bez potrzeby osobnej ustawy krajowej.

Dotyczy szerokiego grona podmiotów: banków, ubezpieczycieli, firm inwestycyjnych, dostawców usług płatniczych, a także krytycznych dostawców ICT, na przykład firm chmurowych. Jeśli działasz w finansach lub obsługujesz takie podmioty, DORA prawdopodobnie Cię obejmuje.

Data jest konkretna: przepisy obowiązują od 17 stycznia 2025 roku. To nie odległy plan, tylko bieżący wymóg, którego brak może zablokować kontrakt albo negatywnie wpłynąć na wynik audytu.

Dlaczego DORA powstała

Sektor finansowy w całości stoi na technologii: chmura, płatności online, wzajemnie połączeni dostawcy. Każde z tych ogniw powiększa powierzchnię ataku.

Awaria jednego dostawcy chmury albo udany atak na system płatności to nie problem informatyczny. To wstrzymane przelewy, niedostępne konta klientów i realne ryzyko dla stabilności rynku. DORA wymusza, żeby firma potrafiła taki scenariusz wytrzymać i szybko się z niego podnieść.

Pięć filarów DORA

  • Zarządzanie ryzykiem ICT. Ramy zarządzania ryzykiem technologicznym włączone do strategii firmy. Za apetyt na ryzyko i nadzór odpowiada zarząd.
  • Zgłaszanie incydentów. Obowiązek klasyfikowania i raportowania istotnych incydentów ICT właściwym organom, według jednolitych zasad.
  • Testy odporności, w tym TLPT. Regularne oceny podatności i testy penetracyjne. Dla znaczących podmiotów obowiązkowe testy oparte na zagrożeniach (TLPT) co najmniej raz na trzy lata.
  • Nadzór nad dostawcami ICT. Mapowanie łańcucha dostaw i kontrola dostawców. Krytyczni dostawcy zewnętrzni mogą podlegać bezpośredniemu nadzorowi na poziomie UE.
  • Wymiana informacji. Dzielenie się wiedzą o zagrożeniach w sektorze, żeby słabość jednej firmy nie stała się problemem wszystkich.

TLPT, czyli testy oparte na realnych zagrożeniach

TLPT (Threat-Led Penetration Testing) to testy penetracyjne prowadzone według scenariuszy realnych napastników. Zamiast ogólnego skanu, zespół odtwarza taktyki, techniki i procedury (TTP) grup, które faktycznie atakują sektor finansowy.

Znaczące podmioty muszą przeprowadzać TLPT co najmniej raz na trzy lata. Dobry test obejmuje nie tylko technikę, ale też ludzi i procesy: socjotechnikę, symulację zagrożenia wewnętrznego i sprawdzenie, jak zespół obrony reaguje na atak w czasie rzeczywistym.

Wynik TLPT to nie lista luk, tylko odpowiedź na pytanie zarządu: czy przetrwamy ukierunkowany atak i gdzie pęka nasza obrona. To sprawdzian gotowości najbliższy rzeczywistości, jaki można kupić bez czekania na prawdziwy incydent.

Red team, blue team, purple team

TLPT często łączy dwie perspektywy. Red team gra rolę atakującego. Blue team broni: monitoruje sieć, wykrywa i reaguje. Purple team to model współpracy obu stron, w którym każda wykryta luka od razu przekłada się na lepsze reguły detekcji i szybszą reakcję.

Dla Ciebie znaczy to jedno: test ma nie tylko pokazać, że da się wejść, ale realnie podnieść zdolność Twojego zespołu do wykrycia i zatrzymania ataku.

Jak przygotować firmę do DORA

  • Zmapuj dostawców ICT. Sprawdź, kto przetwarza Twoje dane i procesy, i zapisz w umowach wymóg zgodności z DORA oraz prawo do audytu.
  • Uporządkuj zgłaszanie incydentów. Jasny plan reakcji, klasyfikacja incydentów i procedura raportowania, przećwiczone, a nie tylko opisane.
  • Zaplanuj testy. Harmonogram ocen podatności i testów penetracyjnych, a dla znaczących podmiotów cykl TLPT.
  • Zaangażuj zarząd. DORA czyni organ zarządzający odpowiedzialnym za ryzyko ICT. To on zatwierdza budżet i politykę bezpieczeństwa.
  • Przeszkol ludzi. Nie tylko IT. Kadra i pracownicy pierwszej linii to najczęstszy wektor ataku.

Od obowiązku do przewagi

DORA łączy się z NIS2 i RODO w jeden obraz odporności cyfrowej. Firmy, które potraktują ją jak listę zakazów, poniosą koszt i nic więcej. Te, które użyją jej do realnego podniesienia dojrzałości bezpieczeństwa, zyskają argument w rozmowach z klientami i regulatorem.

Nie wiesz, czy Twoja firma jest znaczącym podmiotem i czy potrzebujesz TLPT? Umów bezpłatną konsultację. W 30 minut, w rozmowie z konsultantem, ustalimy zakres wymogów DORA dla Twojej organizacji i kolejne kroki do audytu.

Przygotowujesz firmę do DORA?

Umów bezpłatną konsultację, a ustalimy zakres wymogów DORA i plan testów TLPT dla Twojej organizacji.

Poprzedni
Testy penetracyjne a ocena podatności: kompleksowy przewodnik pozwalający zrozumieć różnice
Następny
Dlaczego wyniki CVSS często nie odzwierciedlają rzeczywistych zagrożeń