Europejskie rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) nakłada na podmioty finansowe - a pośrednio na ich dostawców ICT - obowiązek prowadzenia wyczerpującego rejestru umów, precyzyjnych klauzul umownych i datowanych dowodów audytowych. SYAGA DORA-Express pomaga sprostać tym wymaganiom bez improwizacji, niezależnie od tego, czy jesteś podmiotem finansowym czy dostawcą.
DORA to rozporządzenie, nie dyrektywa: stosuje się bezpośrednio we wszystkich państwach członkowskich, bez konieczności czekania na ustawę transponującą.
Rozporządzenie (UE) 2022/2554 z 14 grudnia 2022, opublikowane w Dzienniku Urzędowym UE 27 grudnia 2022, weszło w życie 16 stycznia 2023 i jest stosowane od 17 stycznia 2025. Żadna transpozycja krajowa nie jest wymagana: jest bezpośrednio skuteczne.
Każdy podmiot finansowy musi prowadzić i corocznie przekazywać organom kompletny rejestr swoich umów ICT: dostawca, rodzaj usługi, krytyczność funkcji, kraj hostingu danych.
Prawa audytu i inspekcji, gwarancje dostępności i integralności danych, testowane plany wyjścia, zgłaszanie incydentów bez zwłoki. Klauzule te przenoszą się z Twojego klienta finansowego na Ciebie, jeśli jesteś jego dostawcą ICT.
Przed podpisaniem lub odnowieniem umowy bank, ubezpieczyciel lub inwestor wysyła kwestionariusz cyber (governance, MFA, EDR, szyfrowanie, świadomość zagrożeń). Odpowiedź na niego bez udokumentowanego dowodu skutkuje utratą kontraktu.
18-19 listopada 2025 europejskie organy nadzoru (EBA, ESMA, EIOPA) opublikowały pierwszą oficjalną listę krytycznych dostawców ICT na podstawie artykułu 32 DORA. Wśród nazw potwierdzonych w oficjalnych komunikatach: AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (i 14 innych dostawców niepodanych z nazwy w naszych źródłach).
Konkretna konsekwencja: jeśli Twoje usługi krytyczne opierają się na jednym z tych dostawców, Twój klient - podmiot finansowy - musi to teraz udokumentować w swoim rejestrze ICT - i może zapytać Cię o Twój własny łańcuch podwykonawstwa.
Źródło: oficjalne komunikaty EIOPA i ESMA z 18-19 listopada 2025 (eiopa.europa.eu, esma.europa.eu).
Ustrukturyzowane wsparcie w 5 etapach, aby udokumentować Twoją zgodność - bez obiecywania tego, czego ani narzędzie, ani firma doradcza nie mogą zaświadczyć za Ciebie.
Czy jesteś podmiotem finansowym bezpośrednio podlegającym (jedną z 21 kategorii artykułu 2), czy dostawcą ICT objętym pośrednio przez klauzule umowne Twoich klientów finansowych (artykuł 30)? Dokładny zakres warunkuje wszystko dalej.
Odpowiadamy na Twój kwestionariusz due diligence banku, inwestora lub ubezpieczyciela (governance, MFA, EDR, szyfrowanie, świadomość zagrożeń...), opierając się na audycie technicznym Twojego tenanta Microsoft 365 jako datowanym i weryfikowalnym dowodzie.
Pomagamy Ci ustrukturyzować Twój rejestr umów ICT (art. 28 ust. 3) oraz zweryfikować lub wprowadzić minimalne i wzmocnione klauzule umowne z artykułu 30 do Twoich umów z dostawcami.
Nasz PRA/PCA Suite oferuje profil sektorowy Finanse (DORA, PSD2, ACPR), który obejmuje wymagania testów odporności operacyjnej z rozdziału IV DORA, zgodny z ISO 22301.
Przekazanie Twojemu kierownictwu, CISO lub CFO skonsolidowanej dokumentacji, z dokładnymi punktami do rozstrzygnięcia przez Twojego prawnika przed jakąkolwiek komunikacją z organami.
Konkretne, opatrzone źródłami dokumenty, bez obietnicy certyfikacji, której nikt nie może zagwarantować
10 pytań typu due diligence bank / M&A, udokumentowanych i opatrzonych źródłami (ILPA DDQ, CSA CAIQ, kwestionariusze ubezpieczycieli cyber).
Podsumowanie rozporządzenia (UE) 2022/2554 opatrzone źródłami.
Struktura wyczerpującego rejestru wymaganego przez organy.
Do wprowadzenia lub weryfikacji w Twoich umowach z dostawcami ICT.
Plan ciągłości działania i odtwarzania, dedykowany profil sektorowy.
Formaty PDF i DOCX, konsolidujące wszystkie dokumenty.
Fragment 10 pytań, które dla Ciebie dokumentujemy, ze źródłem każdego pytania
| Temat | Pytanie | Źródło |
|---|---|---|
| Governance | Czy wasza polityka bezpieczeństwa opiera się na uznanym standardzie (NIST, ISO 27001)? | ILPA DDQ 2.0 |
| Audyt zewnętrzny | Czy przeprowadzacie coroczny niezależny audyt i testy penetracyjne? | CSA CAIQ v4 |
| Plan incydentów | Czy istnieje formalny, udokumentowany i utrzymywany plan reagowania na incydenty? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Dla jakich usług wymagacie uwierzytelniania wieloskładnikowego? | Travelers - MFA Supplement |
| Konta uprzywilejowane | Czy dostępy są zgodne z zasadą najmniejszych uprawnień, okresowo weryfikowane? | CSA CAIQ v4 IAM |
| Poczta elektroniczna | Jakiej licencji M365 używacie? Czy aktywny jest Defender / zaawansowane threat hunting? | vCSO.ai Cyber DD Checklist |
| Szyfrowanie | Czy dyski stacji roboczych są w pełni zaszyfrowane? | Google VSAQ |
| Szkolenia | Czy istnieje program świadomości bezpieczeństwa dla wszystkich pracowników? | CSA CAIQ v4 HRS |
Każdy dokument wyraźnie wskazuje, co obejmuje - i czego nie obejmuje
Rejestr ICT (art. 28), klauzule umowne (art. 30), terminy zgłaszania (art. 19), odniesienie do wyznaczonych krytycznych dostawców ICT (art. 32).
DORA jest lex specialis względem NIS2 dla sektora finansowego: objęte podmioty stosują DORA zamiast równoważnych środków NIS2.
Profil PRA/PCA Finanse jest zgodny z ISO 22301, standardem zarządzania ciągłością działania stosowanym uzupełniająco do DORA.
Zgłoszenie incydentu DORA (organowi nadzoru finansowego) jest odrębne od zgłoszenia RODO (organowi ochrony danych) w przypadku naruszenia danych osobowych: oba mogą być wymagane jednocześnie.
Każda sprawa DORA jest inna w zależności od Twojego statusu - spersonalizowana wycena w każdym przypadku
Świadczysz usługi jednemu lub kilku podmiotom finansowym
Podlegasz bezpośrednio DORA (jedna z 21 kategorii, art. 2)
Regularna aktualizacja dokumentacji (obowiązki, umowy, rejestr)
Skontaktuj się z nami, aby otrzymać spersonalizowaną wycenę zależną od Twojego statusu (podmiot finansowy lub dostawca ICT).
DORA wyjaśniona prostym językiem, bez żargonu prawnego. Każdy punkt poniżej odsyła do oficjalnego tekstu, który go potwierdza.
DORA ma zastosowanie do europejskich podmiotów finansowych: banków, ubezpieczycieli, firm inwestycyjnych, platform rynkowych, zarządzających funduszami, dostawców usług płatniczych... a także ich dostawców informatycznych. Bardzo małe podmioty korzystają z uproszczonych zasad.
Rozporządzenie obejmuje 6 głównych obszarów: zarządzanie ryzykiem informatycznym, nadzór nad Twoimi dostawcami zewnętrznymi, regularne testy odporności, zgłaszanie poważnych incydentów, wymianę informacji o zagrożeniach oraz nadzór nad największymi dostawcami informatycznymi.
Tekst przyjęty 14 grudnia 2022, opublikowany w Dzienniku Urzędowym UE 27 grudnia 2022 (Dz.U. L 333). Wejście w życie 16 stycznia 2023. Obowiązki obowiązują faktycznie od 17 stycznia 2025.
Najwięksi dostawcy informatyczni (chmura, hosting...) uznani za „krytycznych” dla sektora finansowego są odtąd kontrolowani bezpośrednio na poziomie europejskim, z wiodącym organem nadzoru, który może im narzucić środki.
Przed DORA każdy kraj UE miał własne zasady zgłaszania poważnego incydentu informatycznego. Odtąd stosuje się jedną europejską procedurę: poważne incydenty są zgłaszane bezpośrednio właściwym organom.
Tekst przewiduje, że organy publikują nakładane przez siebie kary administracyjne. Dokładne kwoty grzywien nie są ustabilizowane w źródłach dostępnych do dziś - do potwierdzenia w miarę oficjalnych doprecyzowań.