Zgodność z DORA w praktyce. Gdzie najczęściej pojawiają się luki?
Autor: Karolina Orłowicz, Audytor w zespole bezpieczeństwa informacji DEKRA
22 kwi 2026Wiele instytucji finansowych deklaruje dziś, że spełnia wymagania rozporządzenia DORA. W praktyce jednak zgodność z DORA jest znacznie trudniejsza do osiągnięcia niż może się wydawać na podstawie samej dokumentacji. Najczęściej problem nie wynika z braku wdrożeń, ale z błędniej interpretacji wymagań regulacyjnych oraz zbyt dużego skupienia na formalnej stronie zgodności.
Czy certyfikat ISO 27001 oznacza zgodność z DORA?
To najczęstszy mit. Posiadanie certyfikatu ISO 27001 to doskonały fundament, ale nie oznacza automatycznej zgodności z rozporządzeniem DORA.
Norma ISO koncentruje się na zarządzaniu bezpieczeństwem informacji w organizacjach z różnych branż. DORA rozszerza wymagania ISO 27001 o wymagania regulujące specyficzne wymagania dla sektora finansowego i ich dostawców.
Wprowadza dodatkowe wymagania regulacyjne, które obejmują między innymi raportowanie incydentów do organów nadzorczych KNF zgodnie z standardami wydanymi przez EBA, zarządzanie dostawcami ICT oraz odpowiedzialność zarządu za ryzyko technologiczne. Oznacza to, że organizacja może posiadać dojrzały system bezpieczeństwa, a jednocześnie nie spełniać wszystkich wymagań DORA.
Dlaczego dokumentacja nie gwarantuje zgodności z DORA?
Kompletne polityki i plany ciągłości działania to tylko połowa sukcesu. Rozporządzenie wymaga, aby te procesy działały w praktyce.
Jak wskazuje Karolina Orłowicz, ekspertka DEKRA:
„Organizacje często są przekonane, że są zgodne z DORA, dopóki ktoś nie sprawdzi tego w praktyce. Problem nie polega na braku procedur, ale na tym, że nie zawsze działają one w rzeczywistych scenariuszach. DORA wskazuje dobre praktyki dla organizacji do działania pod presją.”
Rozporządzenie wymaga, aby procesy działały w praktyce i były regularnie testowane, w tym, dla wybranych instytucji, poprzez zaawansowane testy odporności typu TLPT (Threat-Led Penetration Testing). Oznacza to konieczność weryfikacji, czy organizacja rzeczywiście potrafi skutecznie reagować na incydenty oraz utrzymać ciągłość działania w sytuacjach kryzysowych.
Jakie są najczęstsze luki w zgodności z DORA?
Najczęściej identyfikowane problemy nie dotyczą pojedynczych braków, lecz obszarów, które są niedoszacowane lub traktowane jako drugorzędne.
- brak pełnej identyfikacji i klasyfikacji dostawców ICT,
- niewystarczające zapisy umowne z dostawcami usług technologicznych,
- brak powiązania testów odporności z realnymi scenariuszami ryzyka,
- ograniczone zaangażowanie zarządu w nadzór nad ryzykiem ICT.
Dlaczego zarządzanie dostawcami ICT jest kluczowe w DORA?
Rozporządzenie DORA rozszerza zakres odpowiedzialności organizacji na podmioty zewnętrzne, które świadczą usługi technologiczne.
Oznacza to, że instytucja finansowa odpowiada nie tylko za własne systemy, ale również za sposób, w jaki zarządza ryzykiem związanym z dostawcami ICT.
W praktyce wymaga to nie tylko monitorowania dostawców, ale także odpowiedniego uregulowania relacji umownych oraz oceny ich wpływu na ciągłość działania organizacji.
Na czym polega realna zgodność z DORA?
DORA wprowadza podejście oparte na dowodach (evidence-based). Organizacja musi być w stanie wykazać, że:
- 1. Zarząd aktywnie nadzoruje ryzyko ICT.
- 2. Incydenty są klasyfikowane i raportowane w rygorystycznych terminach.
- 3. Testy odporności przekładają się na realne poprawki w systemach.
- 4. W przypadku wybranych instytucji realizowane są obowiązkowe, zaawansowane testy odporności typu TLPT (Threat-Led Penetration Testing).
Częstym problemem jest brak zdecydowania się na przegląd i potwierdzenie zgodności przez niezależnego eksperta z doświadczeniem w wielu organizacjach. Audyt pozwala na świeżo spojrzeć na działające procedury i wychwycenie błędów, których sami nie zauważymy.
Jak sprawdzić, czy organizacja spełnia wymagania DORA?
Najskuteczniejszym sposobem jest audyt zgodności z wymaganiami DORA. Takie podejście pozwala zidentyfikować rzeczywiste luki oraz określić, które obszary wymagają dostosowania przed kontrolą organów nadzorczych.