Regulacja DORA (Digital Operational Resilience Act – tłumaczenie “Ustawa o odporności operacyjnej cyfrowej”) jest inicjatywą Unii Europejskiej mającą na celu zwiększenie odporności operacyjnej podmiotów finansowych na incydenty cyfrowe.

Jej kluczowe aspekty obejmują:

1. Zakres stosowania: DORA dotyczy szerokiego spektrum instytucji finansowych, takich jak banki, firmy ubezpieczeniowe, giełdy papierów wartościowych, instytucje płatnicze oraz firmy technologiczne świadczące usługi dla sektora finansowego (np. dostawcy chmury).
2. Odporność operacyjna: DORA nakłada obowiązek na podmioty finansowe, aby zapewniały zdolność do działania w sposób ciągły, pomimo incydentów związanych z technologią informacyjną (cyberataków, awarii systemów itp.). Wymaga to wdrożenia odpowiednich procesów, zasobów i technologii do monitorowania, wykrywania i reagowania na takie incydenty.
3. Zarządzanie ryzykiem ICT: Podmioty finansowe muszą skutecznie zarządzać ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT), w tym posiadać odpowiednie systemy do identyfikowania i oceny ryzyk oraz wdrażania planów reagowania i naprawy.
4. Zarządzanie relacjami z dostawcami ICT: Organizacje finansowe muszą szczegółowo zarządzać ryzykami związanymi z usługami świadczonymi przez zewnętrznych dostawców technologii, takich jak usługi chmurowe, narzędzia informatyczne i inne rozwiązania ICT. DORA wprowadza wymogi dotyczące umów z dostawcami oraz ich monitorowania.
5. Raportowanie incydentów: Podmioty finansowe muszą raportować znaczące incydenty związane z technologią informacyjną do odpowiednich organów nadzorczych. DORA określa szczegółowe wymogi w zakresie sposobu i terminów raportowania.
6. Testowanie odporności cyfrowej: DORA wymaga od podmiotów regularnego przeprowadzania testów odporności cyfrowej, takich jak testy penetracyjne, symulacje ataków oraz inne testy związane z bezpieczeństwem ICT, aby upewnić się, że systemy są odpowiednio chronione przed zagrożeniami.
7. Koordynacja na poziomie UE: DORA wprowadza mechanizmy koordynacji działań nadzorczych na poziomie Unii Europejskiej, aby zapewnić jednolitość i skuteczność w zarządzaniu ryzykiem cyfrowym w całym sektorze finansowym.

Celem DORA jest ochrona sektora finansowego przed cyfrowymi zagrożeniami oraz zapewnienie, że instytucje finansowe są w stanie utrzymać swoje operacje w obliczu awarii technologicznych lub cyberataków.