Co dalej z DORA? Utrzymanie rejestru dostawców ICT, to nadal wyzwanie
Po przesłaniu wiosną 2025 raportów z rejestrów informacji o dostawcach ICT dalsze jego utrzymanie stało się jednym z kluczowych obowiązków instytucji finansowych w ramach zgodności z rozporządzeniem DORA. Rejestr ten nie jest już tylko narzędziem ewidencyjnym – pełni funkcję strategiczną w zarządzaniu ryzykiem operacyjnym. Aby sprostać wymaganiom regulatora, organizacje powinny wdrożyć zautomatyzowane systemy umożliwiające bieżącą aktualizację danych, integrację z systemami ITSM oraz śledzenie powiązań usług ICT z funkcjami krytycznymi. Szczególny nacisk kładzie się na jakość danych, ich spójność oraz zgodność z jednolitym modelem danych, który umożliwia efektywne raportowanie do organów nadzorczych. Manualne zarządzanie rejestrem staje się nieefektywne i ryzykowne, dlatego coraz więcej instytucji decyduje się na dedykowane platformy wspierające klasyfikację dostawców, analizę ryzyka oraz automatyczne generowanie raportów zgodnych z aktualnymi wytycznymi KNF i EBA. Współpraca między działami IT, compliance i operacyjnymi jest niezbędna, by zapewnić ciągłość, przejrzystość i odporność cyfrową organizacji.
DORA: Test odporności dla sektora finansowego. Najważniejsze informacje z video case study
W 2024 roku cztery litery – DORA – stały się dla polskiej branży finansowej synonimem chaosu. Choć rozporządzenie weszło w życie już w grudniu 2022 roku, to dopiero komunikat Komisji Nadzoru Finansowego (KNF) na początku 2024 roku, wymagający gotowych rejestrów na kwiecień, wywołał prawdziwą burzę. W rozmowie z Mateuszem Stefanowiczem, Sebastian Drożdżał – ekspert z wieloletnim doświadczeniem w sektorze finansowym, telekomunikacyjnym i przemysłowym – opowiada o kulisach wdrażania DORA i wyzwaniach, które z tym się wiązały.
Od spokoju do kryzysu: początek wdrożenia
Na początku panowało przekonanie, że DORA to „kolejny rejestr do wypełnienia”. Jednak rzeczywistość okazała się znacznie bardziej skomplikowana. Instytucje musiały w ekspresowym tempie skatalogować setki dostawców usług ICT, przeanalizować umowy, często nieaktualne lub niekompletne, oraz zmierzyć się z niejasnościami definicyjnymi, np. czym są „funkcje krytyczne”.
Wyzwania instytucji finansowych przy wdrażaniu DORA
1. Brak spójności i kompletności dokumentacji – umowy z dostawcami często nie zawierały kluczowych zapisów, takich jak exit plan, SLA czy zapisy o testach TLPT.
2. Opór dostawców – reakcje były różne: od gotowych aneksów po rezygnację ze współpracy. Firmy amerykańskie kwestionowały zapisy o audytach.
3. Problemy z klasyfikacją usług – trudności w ocenie, które usługi wspierają funkcje krytyczne, prowadziły do nadinterpretacji.
4. Brak zamienności dostawców – rozporządzenie nie uwzględniało możliwości szybkiego zastąpienia dostawcy.
Strategie radzenia sobie z wdrożeniem
Kluczowe było mapowanie strumienia wartości – podejście lean pozwalające zidentyfikować punkty krytyczne w procesach. Automatyzacja okazała się niezbędna. Wdrożenie systemu RED INTO GREEN umożliwiło aktualizację formularzy, generowanie raportów i śledzenie zmian w regulacjach.
DORA na tle innych regulacji
Sebastian Drożdżał porównuje DORA do NIS2 oraz regulacji w sektorze medycznym. DORA to słuszna idea, ale wdrożenie zbyt formalistyczne. Sektor medyczny jest bardziej otwarty na dialog i audyty prowadzone z intencją poprawy, nie karania.
Wnioski i rekomendacje
DORA to nie jednorazowy projekt, lecz proces ciągłego doskonalenia. Potrzebne jest forum wymiany wiedzy między instytucjami. Regulator powinien dostarczyć narzędzia klasyfikacji usług i dostawców. Automatyzacja i systemowe podejście są niezbędne, zwłaszcza dla mniejszych instytucji.
