Sześć miesięcy po wejściu w życie unijnego rozporządzenia DORA (Digital Operational Resilience Act) sektor finansowy w Europie i Polsce stoi przed wejściem w nową erę zarządzania ryzykiem i cyberbezpieczeństwem. Najnowsze badania pokazują, iż choć dostosowanie się do wymagań jest priorytetem dla niemal wszystkich instytucji, to wciąż istnieje luka między deklarowaną gotowością a realną cyfrową odpornością. Wyzwania są liczne, a skutki regulacji odczuwalne już dziś.
DORA – nowy standard odporności cyfrowej
Zgodnie z najnowszym badaniem przeprowadzonym przez Censuswide na zlecenie Veeam, aż 96% instytucji finansowych w regionie EMEA uznaje, iż musi zwiększyć swoją odporność, aby sprostać wymogom DORA. Rozporządzenie to, obowiązujące od początku 2025 roku, narzuca bankom i innym podmiotom finansowym w całej UE (oraz firmom powiązanym gospodarczo, jak w Wielkiej Brytanii) konieczność radykalnego podniesienia standardów ochrony przed cyberatakami, zakłóceniami IT i utratą danych.
DORA stała się niekwestionowanym priorytetem: aż 94% ankietowanych firm postawiło jej realizację wyżej w hierarchii celów niż jeszcze miesiąc przed jej wejściem w życie. Blisko 40% badanych określa rozporządzenie jako w tej chwili najważniejszy priorytet w obszarze odporności cyfrowej. Jednak wdrażanie przepisów to wciąż proces w toku — połowa organizacji już włączyła DORA do swoich programów zapewnienia odporności, ale dla 39% to dopiero cel, nad którym aktywnie pracują.
Wyzwania, nieoczekiwane skutki i polska perspektywa
Implementacja DORA przyniosła szereg wyzwań. Aż 41% instytucji raportuje zwiększony stres i presję na zespoły IT i bezpieczeństwa, 37% odczuwa wzrost kosztów narzucanych przez dostawców ICT, a co piąta organizacja wciąż nie zabezpieczyła pełnego budżetu na spełnienie nowych wymogów. Wskazuje to na znaczące obciążenie finansowe i operacyjne, zwłaszcza iż aż 24% firm nie wdrożyło jeszcze kluczowych elementów, takich jak testy odzyskiwania danych czy procedury raportowania incydentów.
Szczególnie trudne okazało się nadzorowanie partnerów zewnętrznych (tzw. third parties). Jedna na trzy firmy wskazała ten obszar jako największe wyzwanie – zarówno ze względu na skalę współpracy z podmiotami trzecimi, jak i ograniczoną przejrzystość ich działań.
W polskich realiach – jak podkreśla Tomasz Krajewski, Dyrektor Techniczny Sprzedaży na Europę Wschodnią w Veeam – fundamenty cyfrowej odporności były budowane od lat, głównie dzięki rekomendacjom UKNF, takim jak Rekomendacja D, Rekomendacja M oraz tzw. Komunikat Chmurowy z 2020 r. Praktyki te, choć pierwotnie miały status soft law, w dużej mierze pokrywają się z wymogami DORA. Polski nadzór (KNF) już zapowiedział uchylenie dotychczasowych wytycznych, by zapewnić spójność regulacyjną i uniknąć wątpliwości interpretacyjnych.
Krajewski zwraca też uwagę, iż „wdrożenie DORA to proces czasochłonny i nie wolno popadać w samozadowolenie, choćby jeżeli instytucje deklarują pełną gotowość”. Przypomina, iż 69% firm, które padły ofiarą ataku ransomware, deklarowało gotowość na incydent – do czasu, aż do niego doszło. Realna odporność cyfrowa to proces, a DORA i pokrewne regulacje są tu cennymi drogowskazami.
Nowe narzędzia i perspektywy na przyszłość
W odpowiedzi na potrzeby rynku Veeam wraz z McKinsey opracował model dojrzałości odporności danych (DRMM). Ten pierwszy w branży kompleksowy framework, oparty o doświadczenia ponad 500 liderów IT i bezpieczeństwa, pozwala na ocenę i budowanie cyfrowej odporności w sposób interdyscyplinarny — łącząc zarządzanie IT, bezpieczeństwem i zgodnością w jedną strategię.
Eksperci podkreślają, iż prawdziwym celem DORA nie jest jedynie formalna zgodność z przepisami, ale podniesienie świadomości i całościowe podejście do odporności cyfrowej. Potrzeba zapewnienia integralności kopii zapasowych, sprawnego raportowania incydentów czy testowania odporności staje się nie tylko obowiązkiem, ale i koniecznością w dobie rosnących zagrożeń.
