Od 18 stycznia 2025 roku sektor finansowy w Unii Europejskiej zacznie funkcjonować według zasad określonych w rozporządzeniu DORA (Digital Operational Resilience Act). Jego celem jest zwiększenie odporności cybernetycznej firm, co czyni tę regulację zbliżoną tematycznie do dyrektywy NIS2, choć różni je zakres i adresaci. NIS2 obejmuje wiele sektorów rynku, podczas gdy DORA dotyczy firm finansowych. Kluczowym elementem tego rozporządzenia jest jego kompleksowe podejście nie tylko do minimalizacji ryzyka naruszeń bezpieczeństwa, ale także zabezpieczenia łańcuchów dostaw IT oraz ciągłości działania cyfrowych usług krytycznych.

Raport ENISA Threat Landscape 2024 wskazuje, że w ubiegłym roku sektor finansowy znalazł się w pierwszej trójce najczęściej atakowanych gałęzi gospodarki i dotyczył go niemal co dziesiąty (9%) incydent bezpieczeństwa. Najczęściej były to ataki typu DDoS (Distributed Denial of Service), oprogramowanie ransomware oraz przypadki przejęcia danych.

Rosnąca liczba cyberataków to jedno, ale z roku na rok ich zasięg staje się coraz większy, a skutki coraz bardziej dotkliwe. Opieszałość firm finansowych w ochronie swoich zasobów i infrastruktury IT może mieć dalekosiężne konsekwencje. To nie tylko przestoje w działalności i rysa na wizerunku. Cyberataki na sektor finansowy należy rozpatrywać w kategorii zagrożenia dla stabilności gospodarczej kraju i regionu, a także utraty zaufania obywateli na przykład do cyfrowych usług bankowych i związanego z tym regresu technologicznego.

Cyfrowe wyzwania sektora finansowego

W ostatnich latach firmy finansowe przeszły intensywną transformację cyfrową. Popularność technologii takich, jak chmura obliczeniowa czy sztuczna inteligencja w sektorze finansów rośnie z każdym rokiem. Dzięki nim przedsiębiorstwa mogą personalizować swoje usługi, lepiej odpowiadać na potrzeby klientów i zwiększać efektywność operacyjną. Jednocześnie, decentralizacja środowisk IT, rozwój hybrydowych modeli chmurowych i gwałtowny wzrost wykorzystania narzędzi do analizy dużych zbiorów danych powodują zwiększone ryzyko cyberataków.

Sektor finansowy boryka się również z tzw. długiem technologicznym. Przestarzałe rozwiązania, niejednorodne procesy i brak odpowiedniej integracji narzędzi IT sprawiają, że wiele firm ma trudności z wdrożeniem spójnych zabezpieczeń. Dużą zaletą rozporządzenia DORA jest to, że wymusza ono kompleksowe (horyzontalne) spojrzenie na bezpieczeństwo operacyjne przedsiębiorstw. Oznacza to, że nie wystarczy podnieść odporność cybernetyczną wybranych działów. Każda firma musi zintegrować technologie, procesy biznesowe oraz rozwiązania dostarczane przez zewnętrznych partnerów technologicznych w ramach jednej – odpornej na zagrożenia – struktury.

Co DORA zmieni w praktyce?

Jednym z kluczowych aspektów DORA jest promowanie podejścia „tech-first”. Regulacja nie ma na celu ograniczenia wykorzystania technologii w sektorze finansowym, ale zachęca do jej odpowiedzialnego wdrażania. W ramach unijnych przepisów firmy powinny opracować kompleksową strategię cyberbezpieczeństwa, która obejmuje cały ekosystem firmy, od podstawowych procesów operacyjnych po relacje z dostawcami sprzętu i oprogramowania IT. A skoro o nich mowa, rozporządzenie DORA zwraca także uwagę na obronę przed zjawiskiem vendor lock-in. To sytuacja, w której przedsiębiorstwo staje się silnie zależne od usług jednego dostawcy chmury, co znacząco utrudnia lub wręcz uniemożliwia ich zmianę na inne rozwiązanie.

Firmy muszą zapewnić sobie elastyczność i niezależność od pojedynczych dostawców narzędzi IT, a jednym ze sposobów na to jest uwzględnienie w strategii wprowadzania technologii chmurowych tzw. planu wyjścia. Jest to zestaw kroków pozwalających na swobodne zrezygnowanie z platformy lub na zmianę dostawcy. Powinien zawierać dokładną analizę umowy z partnerem technologicznym, w tym aspektów związanych z automatycznym przedłużaniem współpracy, zmianą funkcjonalności w trakcie korzystania z usługi czy kosztem przeniesienia zasobów poza chmurę. Ważne jest także, by w umowie pojawił się zapis gwarantujący klientowi wsparcie dostawcy przy wychodzeniu z usługi (tzw. asysta wyjścia), a najlepiej przez cały okres migracji do nowego rozwiązania.

Hybrydowe platformy chmurowe mogą odegrać ważną rolę w zapewnianiu swobody współpracy z różnymi dostawcami technologii. Są to rozwiązania, które umożliwiają spójne wdrażanie i zarządzanie aplikacjami w różnych środowiskach (lokalnym, prywatnym lub publicznym), pozwalając połączyć najlepsze cechy każdego z nich i zminimalizować ryzyko uzależnienia od jednego dostawcy. Mogą one również dać większą kontrolę nad bezpieczeństwem danych i miejscem ich przechowywania. Dla sektora finansowego ma to ogromne znaczenie nie tylko w kontekście DORA, ale również przepisów RODO czy wymagań dotyczących suwerenności danych.

Patrząc w przyszłość

Wdrożenie DORA może być wyzwaniem dla części firm z sektora finansowego, jednak należy je postrzegać jako krok naprzód zarówno dla branży, jak i dla społeczeństwa. Unijna regulacja skłania firmy do myślenia horyzontalnego, zamiast koncentrować się wyłącznie na wąskich aspektach operacyjnych; w ten sposób promuje prowadzenie działalności w sposób stabilny, bezpieczny i oparty na nowoczesnych technologiach. Wymusza także standaryzację stosu technologicznego oraz umożliwia bezpieczne przenoszenie aplikacji i danych, co zwiększa elastyczność oraz możliwości sieciowe. W efekcie sektor zyskuje lepsze przygotowanie na przyszłe wyzwania i zagrożenia, a zespoły mogą skupić się na innowacjach i strategicznym wnoszeniu wartości do biznesu.