Jak przygotować się do wymagań DORA?

Rozporządzenie DORA to kolejny przykład, jak regulacje mogą całkowicie zmienić zasady gry. Jeśli świadczysz usługi dla branży kryptowalutowej, musisz wiedzieć, że nie chodzi tu tylko o wielkie korporacje. Nowe obowiązki obejmują także małych i średnich przedsiębiorców. W teorii DORA ma zwiększyć odporność operacyjną sektora finansowego na cyberzagrożenia. W praktyce? Oznacza obowiązkowe audyty, nowe procedury, konieczność zatrudnienia ekspertów IT, zakupy systemów monitorowania i prowadzenie dokumentacji na poziomie, który często wykracza daleko poza dotychczasowe standardy. Jeśli zaniedbasz te wymagania, ryzykujesz nie tylko wysokie kary finansowe, ale nawet zakaz prowadzenia działalności w tym zakresie.

Przymusowy audyt DORA – pierwszy krok

Pierwszą rzeczą, o którą musisz zadbać, jest przeprowadzenie audytu zgodności. I to nie raz na zawsze. Audyty muszą być regularne, bo DORA wymaga stałego oceniania odporności operacyjnej i skuteczności ochrony przed zagrożeniami IT. Co się z tym wiąże?

• zatrudnienie specjalistów od audytów,

• inwestycja w narzędzia monitorowania zagrożeń,

• przeprowadzanie testów odporności cyfrowej,

• przygotowanie dokumentacji na wypadek kontroli.

Brzmi jak spory koszt? I tak właśnie jest. Szacunki mówią o wydatkach od kilkudziesięciu do nawet kilkuset tysięcy złotych, w zależności od wielkości organizacji i stopnia skomplikowania usług. A to dopiero początek. Warto więc odpowiednio wcześniej przygotować się na to, co najprawdopodobniej czeka w przyszłości firmy m.in. z branży kryptowalut.

Co zrobić teraz i jak przygotować się na DORA w 2025?

DORA nie zostawia wyboru. To obowiązek, który dotyczy każdego podmiotu finansowego oraz ich dostawców. Audyt zgodności to pierwszy krok, bez którego Twoja organizacja nie udowodni należytej staranności, a zarząd naraża się na odpowiedzialność prawną. Jeśli nie masz pewności, czy Twoja organizacja spełnia wymogi DORA, warto działać już teraz. Skontaktuj się z nami – przeprowadzimy audyt, wskażemy luki i pomożemy Ci zminimalizować koszty dostosowania się do nowych przepisów. DORA to wyzwanie, ale z odpowiednim przygotowaniem można je pokonać.

Nowe obowiązki – także wobec dostawców

DORA nie poprzestaje na Twojej własnej organizacji. Obejmuje także dostawców usług IT. Jeśli Twój partner nie spełnia wymagań, konsekwencje ponosisz Ty. To oznacza, że musisz nie tylko wdrożyć system zarządzania ryzykiem ICT, ale również stale monitorować, czy Twoi dostawcy spełniają standardy. Musisz więc przygotować regulaminy, procedury i systemy audytowe, które będą działały nie tylko w teorii, ale w praktyce. I musisz mieć na to wszystko dowody.

Dlaczego wdrożenie DORA boli?

Największy problem? Państwo nie zapewnia żadnego wsparcia finansowego. Żadnych dotacji, żadnych ulg. Wszystkie koszty – od audytów, przez zakupy nowych systemów, po organizację szkoleń – musisz pokryć samodzielnie. Często oznacza to konieczność ograniczenia innych inwestycji albo przesunięcia środków z działań rozwojowych. To szczególnie bolesne dla małych i średnich przedsiębiorców. Konkurujesz z gigantami, ale musisz spełniać te same rygorystyczne wymagania.