Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    Jak wdrożyć DORA w firmie ubezpieczeniowej?

    RODO Wizards

    Digital Operational Resilience Act (DORA) to nowe unijne rozporządzenie dotyczące cyfrowej odporności operacyjnej instytucji finansowych. Jego celem jest zapewnienie stabilności operacyjnej w obliczu zagrożeń cyfrowych poprzez skuteczne zarządzanie ryzykiem ICT, obowiązkowe raportowanie incydentów oraz regularne testowanie systemów. Jak wdrożyć DORA w firmie ubezpieczeniowej?

    Rozporządzenie DORA zacznie obowiązywać 17 stycznia 2025 roku. Poprzedza je dwuletni okres dostosowawczy, który rozpoczął się w styczniu 2023. Firmy ubezpieczeniowe – podobnie jak banki, firmy inwestycyjne i inni uczestnicy sektora finansowego – muszą pilnie dostosować się do nowych przepisów. Tylko w ten sposób zachowają zgodność z prawem i zapewnią ciągłość działania.

    Czym jest rozporządzenie DORA i kogo obejmuje?

    Rozporządzenie DORA (Digital Operational Resilience Act) to inicjatywa Unii Europejskiej. Jej celem jest wzmocnienie cyberbezpieczeństwa oraz odporności operacyjnej firm z sektora finansowego.

    DORA wprowadza wspólne zasady, które zobowiązują instytucje do radzenia sobie z incydentami ICT. Oczekuje się, że będą potrafiły im zapobiegać, odpowiednio reagować oraz szybko przywracać sprawność działania.

    Regulacja obejmuje 20 typów podmiotów, w tym m.in. zakłady ubezpieczeń, pośredników ubezpieczeniowych, banki, fintechy, fundusze VC i dostawców usług płatniczych. Co ważne, DORA dotyczy także dostawców usług ICT, takich jak firmy oferujące chmurę czy outsourcing IT. Jeśli zostaną uznani za dostawców krytycznych, będą objęci bezpośrednim nadzorem.

    Dlaczego wprowadzono DORA? 

    Głównym powodem wdrożenia DORA jest rosnąca skala cyberzagrożeń oraz silne uzależnienie sektora finansowego – w tym branży ubezpieczeniowej – od technologii.

    Cyberatak następuje dziś średnio co 39 sekund. Globalne straty z cyberprzestępczości sięgają aż 5 bilionów euro rocznie. Zakłócenia cyfrowe, takie jak ransomware, awarie centrów danych czy błędy ludzkie, mogą sparaliżować kluczowe usługi finansowe – uderzając nie tylko w jedną firmę, ale też w cały rynek.

    DORA ma temu zapobiegać. Firmy ubezpieczeniowe muszą mieć plany awaryjne, skuteczne zabezpieczenia oraz procedury działania na wypadek incydentu. W efekcie zwiększa się stabilność finansowa i ochrona klientów oraz partnerów.

    Wymogi DORA dla firm ubezpieczeniowych

    DORA w sektorze ubezpieczeń narzuca szereg konkretnych obowiązków, które mają zwiększyć odporność cyfrową organizacji. Najważniejsze wymogi DORA dla firm ubezpieczeniowych można podsumować w następujących obszarach:

    • Ustanowienie systemu zarządzania ryzykiem ICT to jeden z podstawowych obowiązków wynikających z DORA. Ubezpieczyciel musi wdrożyć kompleksowe ramy zarządzania ryzykiem ICT, zintegrowane z ogólnym systemem zarządzania ryzykiem w firmie. Obejmuje to m.in. opracowanie polityk i procedur bezpieczeństwa. Wyznaczenie ról i odpowiedzialności (z aktywnym udziałem zarządu), regularne oceny ryzyka oraz tworzenie planów jego ograniczania. Zarząd i najwyższa kadra kierownicza muszą być bezpośrednio zaangażowani w nadzór nad ryzykiem ICT. DORA wymaga, aby regularnie zatwierdzali strategie, zapewniali odpowiednie zasoby na cyberbezpieczeństwo i aktywnie budowali kulturę świadomości ryzyka w całej organizacji.
    • Monitorowanie i raportowanie incydentów ICT to kolejny obowiązek wynikający z DORA. Firmy ubezpieczeniowe muszą wdrożyć procedury dotyczące klasyfikacji, obsługi i zgłaszania incydentów ICT. Każdy poważny incydent – np. atak hakerski, wyciek danych klientów czy awaria krytycznego systemu – podlega obowiązkowemu zgłoszeniu do organu nadzoru. W Polsce będzie to Komisja Nadzoru Finansowego. DORA ujednolica sposób raportowania: wymaga wstępnego zgłoszenia w ciągu 24 godzin od wykrycia incydentu. Dodatkowo kolejnych aktualizacji oraz raportu końcowego po zakończeniu działań. W tym celu ubezpieczyciel powinien wdrożyć wewnętrzny system detekcji i raportowania incydentów. Zapewni on szybkie powiadamianie zarówno wewnętrznego kierownictwa, jak i regulatora. Przykład: jeśli atak ransomware zaszyfruje dane i zakłóci obsługę polis. To firma ma obowiązek poinformować KNF w ciągu doby i podjąć działania zaradcze.
    • Regularne testowanie odporności cyfrowej. DORA nakłada obowiązek cyklicznego testowania zabezpieczeń i odporności systemów ICT w firmie ubezpieczeniowej. Organizacja powinna przeprowadzać m.in. testy penetracyjne (symulowane ataki na systemy), testy podatności, ćwiczenia symulacyjne i testy planów ciągłości działania. Większe instytucje będą musiały dodatkowo realizować okresowe TLPT (Threat-Led Penetration Testing). Są to zaawansowane testy odporności na zagrożenia prowadzone przez niezależnych ekspertów co najmniej raz na trzy lata. Regularne testy pozwalają wykryć luki w zabezpieczeniach i sprawdzić, czy firma jest w stanie odpornie funkcjonować w warunkach cyberataków lub awarii. Wyniki testów należy dokumentować i wykorzystywać do doskonalenia procedur oraz systemów bezpieczeństwa.
    • Zarządzanie dostawcami ICT (third-party risk). Firmy ubezpieczeniowe korzystające z zewnętrznych dostawców usług ICT – takich jak chmura, outsourcing centrów danych czy systemy teleinformatyczne – muszą aktywnie zarządzać ryzykiem związanym z tymi podmiotami. Zgodnie z DORA obowiązuje je prowadzenie rejestru umów, przeprowadzanie due diligence. Dodatkowo regularna ocena poziomu ryzyka dla każdego z kluczowych partnerów. Umowy powinny zawierać wymagane klauzule dotyczące bezpieczeństwa, ciągłości działania, obowiązku zgłaszania incydentów, udziału w testach odporności i prawa do audytu. Organizacje muszą także wdrożyć plany awaryjne (tzw. plany wyjścia) na wypadek zakłóceń po stronie dostawcy, szczególnie w przypadku usług krytycznych. Co istotne, największe firmy technologiczne świadczące usługi dla sektora finansowego mogą zostać uznane przez europejskie organy nadzoru za tzw. „czwartych dostawców krytycznych” (CTPP), co oznacza, że instytucje ubezpieczeniowe będą musiały przekazywać dodatkowe informacje nadzorcom na temat współpracy z tymi podmiotami.
    • Zapewnienie ciągłości działania i planów awaryjnych. DORA wymaga posiadania planów ciągłości działania (BCP) i planów odzyskiwania po awarii (DR), które będą uwzględniać różne scenariusze incydentów ICT. Firma ubezpieczeniowa powinna przygotować procedury na wypadek np. długotrwałej awarii systemu polis, utraty łączności z centrum danych czy masowego naruszenia danych. Plany te muszą być regularnie testowane i aktualizowane, aby w sytuacji kryzysowej umożliwić szybkie przywrócenie krytycznych usług.
    • Wymiana informacji o zagrożeniach nie jest obowiązkowa, ale DORA zdecydowanie ją rekomenduje. Instytucje finansowe, w tym ubezpieczyciele, powinny aktywnie uczestniczyć w inicjatywach współdzielenia wiedzy, np. w ramach forów ISAC. Dzięki temu mogą szybciej reagować na nowe techniki ataków i uczyć się na doświadczeniach innych. Jeśli firma angażuje się w taki proces, musi poinformować o tym organy nadzoru oraz zapewnić przestrzeganie zasad poufności podczas przekazywania danych.

    Podsumowując, DORA dla sektora ubezpieczeń ustanawia wysokie standardy w zakresie zarządzania ryzykiem IT i bezpieczeństwa. Firmy ubezpieczeniowe muszą posiadać formalnie udokumentowane procedury i techniczne zabezpieczenia, które zapewnią, że nawet w obliczu poważnego ataku cybernetycznego czy awarii – kluczowe usługi dla klientów będą mogły być utrzymane lub szybko wznowione. W kolejnej części przedstawiamy, jak krok po kroku wdrożyć DORA w organizacji, aby spełnić powyższe wymagania.

    jak wdrożyć DORA w firmie ubezpieczeniowej

    Co grozi za brak zgodności z DORA?

    Nieprzestrzeganie wymogów DORA wiąże się z poważnymi konsekwencjami prawnymi i finansowymi. Regulatorzy otrzymali mocne narzędzia, aby egzekwować nowe przepisy i zniechęcać instytucje do zaniedbywania cyfrowej odporności. Oto główne skutki braku zgodności z DORA:

    • Kary finansowe – DORA przewiduje dotkliwe kary pieniężne nakładane na instytucje finansowe za naruszenia. Maksymalna wysokość kar zależy od skali naruszenia: do 10 mln euro lub 2% rocznego światowego obrotu firmy (w zależności, która wartość jest wyższa) za naruszenia standardowe, a nawet do 20 mln euro lub 4% obrotu w przypadku najpoważniejszych uchybień. Dla porównania – są to poziomy porównywalne z karami z RODO, co pokazuje wagę, jaką regulator przykłada do odporności cyfrowej. Kary mogą być nakładane wielokrotnie, a w skrajnych sytuacjach przepisy pozwalają na periodyczne kary pieniężne (np. dzienne) aż do momentu usunięcia stwierdzonych niezgodności.
    • Sankcje dla osób zarządzających – Odpowiedzialność za zgodność z DORA spoczywa na kierownictwie instytucji, stąd w razie rażących zaniedbań konsekwencje mogą dotknąć również osoby fizyczne. Organy nadzoru mają prawo nałożyć kary indywidualne (finansowe) na członków zarządu lub kadrę kierowniczą wyższego szczebla – nawet do 1 000 000 euro grzywny. Ponadto, w skrajnych przypadkach, możliwe są zakazy pełnienia funkcji kierowniczych w sektorze finansowym dla osób odpowiedzialnych za poważne naruszenia przepisów. Tego rodzaju sankcje personalne mają wymusić należytą dbałość managementu o kwestie odporności cyfrowej.
    • Nakazy i ograniczenia nadzorcze – Regulator (np. KNF) może wydać szereg decyzji administracyjnych wobec niezgodnej z DORA firmy. Mogą to być wiążące polecenia wprowadzenia środków naprawczych (np. nakaz opracowania brakującej procedury, ulepszenia zabezpieczeń w określonym terminie). W przypadku stwierdzenia poważnego ryzyka niewywiązywania się z wymogów, nadzór może także ograniczyć działalność instytucji finansowej do czasu usunięcia nieprawidłowości. DORA daje również możliwość zawieszenia korzystania z usług danego dostawcy ICT lub zakazania nawiązania z nim współpracy, jeśli jego niewłaściwe praktyki stanowią zagrożenie dla instytucji finansowej. Innymi słowy, ubezpieczyciel, który ignoruje standardy DORA, może zostać zmuszony do zerwania umowy z kluczowym partnerem technologicznym, co samo w sobie byłoby bardzo dotkliwe operacyjnie.
    • Publiczne ujawnienie naruszeń (utrata reputacji). Organy nadzoru zobowiązane są do publikowania informacji o nałożonych sankcjach za naruszenia DORA. Oznacza to, że nazwa instytucji ukarana za brak zgodności trafi do publicznych komunikatów, co niesie poważne ryzyko dla reputacji firmy. W branży finansowej zaufanie jest kluczowe – utrata reputacji na skutek publicznego napiętnowania może skutkować odpływem klientów, trudnościami we współpracy z partnerami biznesowymi oraz zainteresowaniem mediów, co dodatkowo potęguje kryzys, W efekcie, koszty braku zgodności to nie tylko grzywny, ale i potencjalnie wielokrotnie większe straty pośrednie wynikające z uszczerbku na renomie.

    Wzmocnij swoją cyfrową odporność już dziś

    Rozporządzenie DORA stanowi wyzwanie, ale i szansę dla firm ubezpieczeniowych. Z jednej strony wymaga inwestycji w systemy bezpieczeństwa, nowe procedury i szkolenia. Z drugiej – jego wdrożenie przełoży się na zwiększenie odporności cyfrowej organizacji, co w dobie powszechnych cyberzagrożeń jest bezcenne. Kadra menedżerska powinna potraktować DORA nie tylko jako obowiązek regulacyjny. Tylko jako impuls do usprawnienia zarządzania ryzykiem i unowocześnienia praktyk IT. Firmy ubezpieczeniowe, które proaktywnie podejdą do tych zmian, zyskają przewagę.

    Jeśli masz pytania lub potrzebujesz wsparcia we wdrożeniu DORA w swojej organizacji – skontaktuj się z zespołem Wizards. Nasi eksperci chętnie pomogą w przeprowadzeniu analizy luk, opracowaniu planu dostosowania oraz wdrożeniu skutecznych rozwiązań spełniających Digital Operational Resilience Act. Dzięki profesjonalnemu wsparciu Wizards proces dostosowania do DORA przebiegnie sprawniej. Twoja firma szybko odczuje korzyści płynące z podniesienia poziomu bezpieczeństwa i zgodności. Zapraszamy do kontaktu – razem zadbamy o cyfrową odporność Twojego biznesu!