Wprowadzenie do Audytu DORA
Audyt DORA (Digital Operational Resilience Act) służy do oceny odporności cyfrowej Twojej firmy. Składa się z analizy ryzyka, przeglądu procedur bezpieczeństwa oraz testów odporności na cyberzagrożenia. Celem audytu jest zapewnienie, że Twoja firma jest zgodna z regulacjami DORA, które mają na celu wzmocnienie bezpieczeństwa i odporności operacyjnej instytucji finansowych na zagrożenia cyfrowe.
Regulacje prawne DORA
Digital Operational Resilience Act (DORA) to regulacje Unii Europejskiej mające na celu wzmocnienie odporności operacyjnej sektora finansowego na cyberzagrożenia. DORA określa wymogi dotyczące zarządzania ryzykiem ICT (Information and Communication Technology) i zobowiązuje instytucje finansowe do wdrożenia solidnych ram zarządzania ryzykiem cyfrowym.
Zakres audytu:
Ocena infrastruktury IT: Szczegółowa analiza i ocena aktualnego stanu infrastruktury IT, identyfikacja potencjalnych luk i słabych punktów.
Analiza procedur bezpieczeństwa: Weryfikacja istniejących procedur i polityk bezpieczeństwa, ocena ich skuteczności i zgodności z najlepszymi praktykami.
Testy penetracyjne: Przeprowadzenie kontrolowanych ataków w celu oceny odporności systemów na rzeczywiste zagrożenia.
Korzyści z audytu:
Zwiększenie bezpieczeństwa cyfrowego: Poprawa ochrony danych i systemów przed cyberatakami poprzez identyfikację i usunięcie słabości.
Minimalizacja ryzyka operacyjnego: Redukcja ryzyka przerw w działalności operacyjnej poprzez lepsze przygotowanie na potencjalne zagrożenia.
Spełnienie wymogów DORA: Zapewnienie zgodności z regulacjami prawnymi.
Kogo dotyczy rozporządzenie DORA?
Rozporządzenie (UE) 2022/2554 DORA obejmuje praktycznie cały sektor finansowy działający w Unii Europejskiej. W szerokiej grupie podmiotów regulowanych znajdują się banki, instytucje płatnicze, firmy inwestycyjne, ubezpieczyciele i reasekuratorzy, towarzystwa funduszy inwestycyjnych, dostawcy usług kryptoaktywów, izby rozliczeniowe, kontrahenci centralni oraz repozytoria transakcji.
Drugą grupą — pośrednio, ale z istotnymi konsekwencjami — są dostawcy kluczowych usług ICT dla podmiotów finansowych. To dostawcy chmury, integratorzy systemów core’owych, dostawcy SaaS dla bankowości i usług płatniczych. DORA wprowadza dla nich obowiązki kontraktowe, audytowe i raportowe wobec instytucji finansowych, które z nich korzystają.
Mikroprzedsiębiorstwa w sektorze finansowym objęte są zasadą proporcjonalności — większość wymagań ma do nich zastosowanie w ograniczonym zakresie. Pełny rygor dotyczy podmiotów średnich i dużych oraz wszystkich kluczowych dostawców ICT, niezależnie od ich wielkości.
Pięć filarów DORA — co audytujemy
Rozporządzenie DORA zostało zbudowane wokół pięciu obszarów odporności cyfrowej. Audyt Virtline weryfikuje stan zgodności w każdym z nich, identyfikując luki i konkretne działania korygujące.
1. Zarządzanie ryzykiem ICT. Sprawdzamy, czy organizacja posiada ramy zarządzania ryzykiem ICT zatwierdzone przez zarząd, czy ryzyka są zinwentaryzowane i ocenione, czy istnieją kontrole proporcjonalne do skali zagrożeń. Weryfikujemy też kompetencje zespołu odpowiedzialnego za bezpieczeństwo ICT.
2. Zarządzanie incydentami i raportowanie. Oceniamy proces wykrywania, klasyfikacji i raportowania incydentów ICT — w tym terminowość zgłoszeń do organów nadzoru (KNF w Polsce, EBA, ESMA, EIOPA), kompletność dokumentacji incydentów i mechanizmy lessons learned po zakończeniu obsługi.
3. Testy odporności cyfrowej. Audyt obejmuje przegląd programu testów — od testów podstawowych (skanowanie podatności, testy ciągłości) po zaawansowane TLPT (Threat-Led Penetration Testing) wymagane dla największych podmiotów. Weryfikujemy też zakres, częstotliwość i kompetencje wykonawców testów.
4. Zarządzanie ryzykiem dostawców ICT. Sprawdzamy umowy z dostawcami pod kątem klauzul wymaganych przez DORA (prawo do audytu, eskalacja, lokalizacje przetwarzania, ścieżki wyjścia), rejestry informacji o dostawcach kluczowych oraz procesy oceny przed nawiązaniem współpracy.
5. Wymiana informacji o cyberzagrożeniach. Oceniamy uczestnictwo w mechanizmach wymiany informacji o zagrożeniach — czy organizacja należy do branżowych grup ISAC, czy korzysta z feedów threat intelligence i czy ma procedury weryfikacji i działania na podstawie otrzymanych ostrzeżeń.
Jak przebiega audyt DORA — etapy
Audyt prowadzimy w czterech etapach, kończących się konkretnym artefaktem. Cały proces dla średniej organizacji trwa od ośmiu do dwunastu tygodni, w zależności od dostępności zespołu klienta i głębokości analizy w obszarach o najwyższym ryzyku.
Etap 1 — przygotowanie i analiza dokumentów (1–2 tyg). Zbieramy istniejącą dokumentację: polityki, procedury, rejestry ryzyk, umowy z dostawcami, raporty z testów. Robimy wstępny mapping względem wymagań DORA i identyfikujemy obszary wymagające pogłębionej weryfikacji.
Etap 2 — wywiady i obserwacja procesów (2–4 tyg). Prowadzimy wywiady z zespołami: zarządzania ryzykiem, bezpieczeństwa IT, operacji, compliance, zakupów, działu prawnego. Obserwujemy procesy operacyjne (np. obsługę zgłoszenia incydentu na próbie historycznych przypadków). Weryfikujemy dowody techniczne — konfiguracje, logi, dashboardy.
Etap 3 — analiza luk i raport (2–3 tyg). Przygotowujemy raport audytowy z mapą zgodności, listą luk i klasyfikacją ryzyka (Wysokie / Średnie / Niskie). Każda luka opisana jest z konkretną referencją do artykułu DORA i sugerowanym sposobem remediacji.
Etap 4 — workshop wynikowy i roadmapa (1 tydzień). Prezentujemy wyniki zarządowi i kierownictwu operacyjnemu. Wspólnie ustawiamy priorytety, oszacowujemy koszty działań naprawczych i tworzymy roadmapę z konkretnymi terminami. Klient otrzymuje pakiet — raport audytowy, executive summary, plan działań naprawczych — gotowy do prezentacji w trakcie kontroli organu nadzoru.
DORA a NIS2 — kiedy stosować oba
DORA i NIS2 są często mylone, ponieważ oba dotyczą cyberbezpieczeństwa i weszły w życie w zbliżonym okresie. Różnica jest jednak istotna. NIS2 to dyrektywa horyzontalna obejmująca podmioty kluczowe i ważne w 18 sektorach (energetyka, transport, zdrowie, finanse, ICT, sektor publiczny i inne). DORA to rozporządzenie sektorowe dotyczące wyłącznie podmiotów finansowych i ich dostawców ICT.
W praktyce duża część instytucji finansowych podlega obu aktom — z DORA jako regulacją specjalistyczną (lex specialis) dla wymagań ICT. NIS2 i DORA nakładają się w obszarach takich jak zarządzanie ryzykiem, obsługa incydentów i ciągłość działania, ale różnią się detalami: terminami raportowania, klasyfikacją incydentów, wymogami testów. Dla podmiotu finansowego priorytetem jest spełnienie wymagań DORA — uznawanych za bardziej szczegółowe i restrykcyjne.