Brandsit

Tag: DORA

  • Jak NIS2 i DORA zmieniają działy IT? Nowe strategie w rekrutacji IT

    Jak NIS2 i DORA zmieniają działy IT? Nowe strategie w rekrutacji IT

    Jeszcze niedawno debata o bezpieczeństwie IT koncentrowała się wokół liczby wakatów, traktując niedobór rąk do pracy jako główny hamulec rozwoju. Raport SANS i GIAC Workforce Research 2026 rzuca jednak zupełnie nowe światło na tę diagnozę. Okazuje się, że to nie puste krzesła stanowią o kruchości systemów, lecz niewidoczne gołym okiem luki w kompetencjach osób, które na tych krzesłach już zasiadają. 60% organizacji posiada kompletne zespoły, które mimo pełnego składu, pozostają bezbronne wobec nowoczesnych zagrożeń.

    Świt inżynierii regulacyjnej

    Tradycyjny podział na działy prawne dbające o literę przepisów oraz działy techniczne dbające o bity i bajty przestał istnieć. Skokowy wzrost znaczenia zgodności regulacyjnej – z poziomu 40 do 95 procent w ciągu zaledwie roku – wymusił narodziny nowej kasty specjalistów. Dyrektywy takie jak NIS2 czy DORA przestały być traktowane jako uciążliwy obowiązek biurokratyczny, stając się fundamentem projektowania ról zawodowych. Dzisiejszy rynek pracy nie szuka już po prostu administratora systemów; pożąda inżyniera regulacyjnego, który potrafi przełożyć rygorystyczne ramy prawne na architekturę chmurową.

    W marcu 2026 roku odnotowano ponad dwa i pół tysiąca aktywnych ogłoszeń dla inżynierów bezpieczeństwa AI i ML. To zjawisko pokazuje, że rynek przestał wierzyć w uniwersalność dawnych ekspertów. Prawie co trzecia firma stworzyła dedykowane stanowiska dla osób operujących na styku sztucznej inteligencji i ochrony danych. Ta specjalizacja nie jest wyborem estetycznym, lecz koniecznością wynikającą z faktu, że to właśnie na styku nowych technologii i braku wiedzy o ich zabezpieczaniu dochodzi do 27 procent udanych ataków.

    Erozja fundamentów i paraliż poznawczy

    Automatyzacja, która miała być wybawieniem dla przeciążonych zespołów, wprowadziła nieoczekiwane zaburzenie w ekosystemie kadr. Sztuczna inteligencja przejęła zadania na poziomie podstawowym, które przez dekady służyły jako naturalne poligon doświadczalny dla młodszych analityków SOC. Wycinając te szczeble kariery, organizacje niechcący zlikwidowały system wczesnego szkolenia przyszłych ekspertów. Powstaje wyrwa pokoleniowa, której nie da się zasypać doraźnym zatrudnieniem, ponieważ na rynku brakuje gotowych kandydatów spełniających wyśrubowane wymagania 2026 roku.

    W tym samym czasie najwyższe szczeble kadrowe mierzą się ze zjawiskiem określanym jako „AI Fry”. To specyficzny rodzaj wypalenia wynikający z ciągłego przełączania kontekstu między licznymi narzędziami wspieranymi przez sztuczną inteligencję. Choć narzędzia te skracają czas analizy manualnej, paradoksalnie podnoszą poziom stresu u 61 procent pracowników. Nadmiar danych i konieczność nieustannej weryfikacji sugestii generowanych przez algorytmy sprawiają, że nawet najbardziej doświadczeni specjaliści pracują na granicy wydolności kognitywnej.

    Nowa waluta: Dowód zamiast obietnicy

    Weryfikacja kompetencji przeszła najbardziej radykalną transformację w historii sektora IT. Dyplom akademicki, niegdyś złoty standard rekrutacji, obecnie znajduje się w priorytetach jedynie 17 procent pracodawców. W świecie, gdzie technologia dezaktualizuje się w cyklach kwartalnych, teoretyczna podstawa uniwersytecka ustąpiła miejsca certyfikacjom i praktycznym dowodom biegłości. Dla 64 procent liderów to właśnie certyfikat stanowi twardą walutę weryfikowalną podczas audytu.

    Ten zwrot ku pragmatyzmowi wymusza na organizacjach korzystanie z ustrukturyzowanych ram kompetencyjnych, takich jak NICE czy ECSF. Pozwalają one precyzyjnie zmapować braki w zespole, zamieniając intuicyjne poszukiwanie „dobrego informatyka” w matematyczną operację uzupełniania brakujących ogniw w łańcuchu bezpieczeństwa. Inwestycja w rozwój istniejących pracowników przestaje być postrzegana jako benefit, a staje się kluczowym elementem zarządzania ryzykiem operacyjnym.

    Edukacja jako twardy element infrastruktury

    Często spotykanym błędem w zarządzaniu jest traktowanie czasu na naukę jako zasobu, który można poświęcić w imię bieżących operacji. Dane są jednak nieubłagane: 60 procent firm przyznaje, że to właśnie czyste obciążenie pracą uniemożliwia niezbędne szkolenia, co w prostej linii prowadzi do opóźnień w projektach i osłabienia reakcji na incydenty. Zespoły uwięzione w trybie reaktywnym tracą zdolność do adaptacji, co w kontekście surowych kar za brak zgodności z NIS2 staje się realnym zagrożeniem finansowym dla całej korporacji.

  • Niewidoczny punkt w architekturze bezpieczeństwa. Dlaczego środowisko druku wymaga strategicznego podejścia?

    Niewidoczny punkt w architekturze bezpieczeństwa. Dlaczego środowisko druku wymaga strategicznego podejścia?

    W wielu organizacjach ten obszar wciąż traktowany jest jako kwestia operacyjna, a nie element strategii bezpieczeństwa. Tymczasem z perspektywy dyrektora ds. informatyki czy dyrektora ds. bezpieczeństwa informacji jest to pełnoprawny komponent architektury IT – z własnymi ryzykami, zależnościami i konsekwencjami biznesowymi. Canon w swoim podejściu do środowiska pracy zakłada, że urządzenie drukujące nie jest peryferium, lecz aktywnym węzłem sieciowym. A każdy węzeł w sieci powinien podlegać takim samym standardom ochrony, jak serwer czy stacja robocza.

    Nowe regulacje zmieniają perspektywę – środowisko druku również w zakresie NIS2 i DORA

    Rosnące znaczenie regulacji NIS2 i DORA dodatkowo uwypukla konieczność takiego podejścia. Zarówno NIS2, jak i DORA definiują wymogi dotyczące całości infrastruktury ICT, obejmując m.in.:

    • zarządzanie ryzykiem w każdym punkcie sieci,
    • zapewnienie integralności i poufności przetwarzanych danych,
    • nadzór nad konfiguracją, aktualizacjami i podatnościami,
    • kontrolę dostępu użytkowników i systemów,
    • pełną możliwość audytu oraz raportowania incydentów.

    Urządzenia wielofunkcyjne są pełnoprawnymi węzłami infrastruktury – przetwarzają dokumenty, łączą się z usługami chmurowymi, przechowują dane lokalnie, mają własne systemy operacyjne, a często również moduły integracji z systemami biznesowymi. Z punktu widzenia regulatora nie różnią się więc od innych elementów systemu ICT. Organizacja musi kontrolować całe środowisko IT i OT, zapewniając odporność operacyjną wszystkich komponentów oraz ich zgodność z politykami bezpieczeństwa. Wymogi NIS2 i DORA obejmują też pełną widoczność konfiguracji, ocenę podatności, monitoring aktywności oraz nadzór nad podmiotami trzecimi – co wspierają rozwiązania Canon (imageFORCE / uniFLOW Online), zapewniające centralne zarządzanie, audytowalność oraz zaawansowane mechanizmy bezpieczeństwa.

    Canon
    źródło: Canon

    Dokument jako realny wektor ryzyka

    Badanie[1] zrealizowane na zlecenie Canon Polska przez K+Research by Insight Lab pokazuje, że 55% organizacji wskazuje nieświadome działania pracowników jako jedno z głównych zagrożeń dla bezpieczeństwa informacji. To istotna obserwacja – większość incydentów nie wynika z zaawansowanych ataków, lecz z codziennych, rutynowych czynności.

    W obszarze druku może to oznaczać pozostawione na tacy dokumenty zawierające dane wrażliwe, skany wysyłane do niewłaściwych odbiorców, brak kontroli nad dostępem do wydruków czy urządzenia z nieaktualnym oprogramowaniem podłączone do sieci firmowej.

    Jeżeli organizacja wdraża architekturę opartą na zasadzie ograniczonego zaufania, a jednocześnie traktuje urządzenia wielofunkcyjne jako element techniczny zarządzany poza główną polityką bezpieczeństwa, powstaje niespójność systemowa. To właśnie w takich miejscach pojawiają się luki.

    „Bezpieczeństwo dokumentów nie powinno opierać się wyłącznie na procedurach i świadomości użytkowników. Równie istotne jest zaprojektowanie środowiska pracy w taki sposób, aby mechanizmy ochrony były naturalnym elementem architektury systemu i codziennych procesów. Dzięki temu ogranicza się przestrzeń na błędy, a polityka bezpieczeństwa może być realizowana w sposób spójny i przewidywalny w całej organizacji” – podkreśla Dariusz Szwed, ekspert Canon Polska.

    Dariusz Szwed, Canon
    Dariusz Szwed, Canon Polska

    Regulacje a praktyka: druk jako element odporności operacyjnej

    Wymogi NIS2 i DORA mają tu bezpośrednie przełożenie. Obowiązki wynikające z tych regulacji oznaczają, że:

    • pomijanie drukarek w projektach bezpieczeństwa skutkuje niespójnością systemową,
    • niezabezpieczone urządzenia mogą prowadzić do niezgodności regulacyjnej,
    • brak widoczności konfiguracji i logów może uniemożliwić spełnienie wymogu raportowania incydentów,
    • niedostateczna kontrola nad urządzeniami peryferyjnymi może zostać uznana za lukę w nadzorze nad dostawcami ICT.

    W tym kontekście środowisko druku nie jest już obszarem wspierającym – to integralny element cyfrowej odporności organizacji.

    Ochrona wbudowana w architekturę urządzenia

    Platforma Canon imageFORCE została zaprojektowana zgodnie z zasadą „Secure by Design”. Oznacza to, że mechanizmy ochrony nie są dodatkiem konfigurowanym na końcu wdrożenia, lecz integralną częścią projektu urządzenia. Obejmują one bezpieczne uruchamianie, szyfrowanie danych, weryfikację integralności oprogramowania oraz analizę środowiska sieciowego.

    Mechanizm oceny konfiguracji bezpieczeństwa wspiera administratorów w dostosowaniu ustawień do polityk obowiązujących w organizacji, ograniczając ryzyko błędnej konfiguracji. Z perspektywy zespołów IT istotne jest to, że urządzenia mogą być zarządzane zgodnie z jednolitymi zasadami obowiązującymi w całej infrastrukturze, co ułatwia audyt, raportowanie oraz utrzymanie spójności polityk bezpieczeństwa.

    „Środowisko druku i obiegu dokumentów powinno być traktowane jako integralna część architektury bezpieczeństwa, a nie jej uzupełnienie. Dlatego nasze rozwiązania – platforma uniFLOW Online, mechanizm Security Environment Estimation oraz urządzenia imageFORCE wykorzystujące mechanizmy sztucznej inteligencji – zostały zaprojektowane tak, aby działały w jednym, spójnym ekosystemie” – dodaje Dariusz Szwed.

    Canon imageForce
    Canon imageFORCE

    Centralne zarządzanie w modelu chmurowym

    Drugim elementem systemu jest uniFLOW Online – chmurowa platforma do zarządzania drukiem i skanowaniem. W środowiskach rozproszonych, obejmujących wiele lokalizacji, kluczowe znaczenie ma możliwość centralnego definiowania zasad i ich egzekwowania niezależnie od miejsca pracy użytkownika.

    Rozwiązanie to umożliwia kontrolę dostępu, bezpieczne uwalnianie wydruków oraz monitorowanie aktywności użytkowników. Jednocześnie dostarcza dane analityczne pozwalające nie tylko optymalizować koszty, lecz także identyfikować potencjalne nieprawidłowości. W kontekście rosnących wymagań regulacyjnych pełna widoczność operacyjna i możliwość raportowania stają się równie istotne jak sama funkcjonalność urządzeń.

    Canon imageFORCE
    źródło: Canon

    Od kosztu administracyjnego do elementu strategii odporności

    Ponad połowa organizacji postrzega integrację nowych technologii z istniejącą infrastrukturą IT jako istotne wyzwanie. To jeden z powodów, dla których środowisko druku bywa pomijane w strategicznych projektach transformacyjnych.

    Podejście oparte na integracji rozwiązań – łączące urządzenia imageFORCE z centralnym zarządzaniem poprzez uniFLOW Online – pozwala traktować procesy dokumentowe jako część większej architektury odporności organizacyjnej. Integracja z chmurą, możliwość skalowania oraz spójne polityki bezpieczeństwa sprawiają, że nie jest to już obszar czysto administracyjny.

    Dla dyrektora ds. informatyki oznacza to konieczność zmiany perspektywy. Druk i skanowanie nie są wyłącznie procesami pomocniczymi. To element łańcucha przetwarzania informacji, który – jeśli nie jest odpowiednio zabezpieczony – może stać się najsłabszym ogniwem całej architektury.

    [1] Badanie „Funkcjonowanie polskich biur”, Canon Polska, czerwiec 2025, N=200 (przedstawiciele średnich i dużych firm w Polsce; kadra zarządzająca, IT i administracja). Więcej informacji na stronie: https://www.canon.pl/business/insights/articles/transformacja-polskich-biur-badania-2025/

  • DORA: IBM oficjalnie pod unijnym nadzorem jako kluczowy dostawca technologii

    DORA: IBM oficjalnie pod unijnym nadzorem jako kluczowy dostawca technologii

    Decyzja europejskich regulatorów o włączeniu IBM do grona kluczowych zewnętrznych dostawców usług ICT nie jest zaskoczeniem, ale stanowi istotny precedens w relacjach na linii Big Tech – sektor finansowy. Europejskie Urzędy Nadzoru, w skład których wchodzą EBA, EIOPA oraz ESMA, oficjalnie potwierdziły strategiczną rolę amerykańskiego koncernu, co w praktyce oznacza objęcie go bezpośrednim nadzorem na poziomie unijnym w ramach rozporządzenia DORA (Digital Operational Resilience Act).

    Dla rynku finansowego jest to sygnał, że cyfrowa odporność operacyjna przestaje być wyłącznie wewnętrznym problemem banków czy ubezpieczycieli, a staje się kwestią systemową, wymagającą ścisłej kontroli dostawców technologii. Jak zauważa Piotr Pietrzak, Technical Sales Leader w IBM na region Polski, krajów bałtyckich i Ukrainy, DORA wymusza właśnie takie systemowe podejście do odporności cyfrowej. Nowe przepisy obejmują szerokie spektrum podmiotów – od firm inwestycyjnych po instytucje płatnicze – traktując technologię jako integralny element stabilności rynku i bezpieczeństwa klientów.

    Status kluczowego dostawcy to dla IBM z jednej strony prestiżowe potwierdzenie pozycji zaufanego partnera, a z drugiej zobowiązanie do jeszcze ściślejszej współpracy z organami nadzoru (ESA). Firma od dłuższego czasu przygotowywała swoje struktury technologiczne i governance, aby sprostać nowym wymogom. W okresie poprzedzającym wdrożenie regulacji, zespoły IBM prowadziły szeroko zakrojone działania dostosowawcze, równolegle rozwijając globalne technologie cyberbezpieczeństwa.

    Z perspektywy CIO instytucji finansowych, objęcie IBM bezpośrednim nadzorem unijnym jest wiadomością uspokajającą. Oznacza to, że korzystanie z infrastruktury i usług tego dostawcy wiąże się z dodatkową gwarancją zgodności regulacyjnej. IBM zapowiada dalsze dostarczanie wytycznych i zasobów, które pomogą klientom w nawigowaniu po skomplikowanych wymogach DORA, nie tracąc przy tym z oczu innowacyjności.

    Cel nowych regulacji jest jednoznaczny: ograniczenie ryzyka systemowego w europejskim ekosystemie finansowym. Włączenie kluczowych graczy technologicznych w ramy bezpośredniego nadzoru to krok, który redefiniuje odpowiedzialność za bezpieczeństwo cyfrowe na Starym Kontynencie. IBM deklaruje pełną gotowość do konstruktywnej współpracy z regulatorami, wykorzystując swoje doświadczenie w zarządzaniu ryzykiem, by proces adaptacji przebiegł płynnie zarówno dla samej firmy, jak i jej partnerów biznesowych.

  • DORA, NIS2 i RODO: Koniec ery „złotej rączki” w IT

    DORA, NIS2 i RODO: Koniec ery „złotej rączki” w IT

    Wymagamy od działów IT innowacji, wdrażania sztucznej inteligencji i cyfryzacji procesów biznesowych. Jednocześnie zarzucamy te same zespoły bezprecedensową ilością regulacji prawnych i wymogów bezpieczeństwa. W roku 2026, w obliczu rosnących napięć geopolitycznych i skomplikowania cyberzagrożeń, utrzymywanie pełnej odporności cyfrowej i zgodności (compliance) wyłącznie zasobami wewnętrznymi staje się nie tylko ryzykowne, ale i ekonomicznie nieefektywne. Czas na redefinicję podejścia do outsourcingu.

    Jeszcze dekadę temu rola działu IT była klarowna: utrzymać systemy przy życiu. Dziś CIO i menedżerowie IT stoją w niewygodnym rozkroku. Z jednej strony zarządy oczekują od nich bycia architektami wzrostu biznesu. Z drugiej – organy regulacyjne (unijne i krajowe) narzucają rygorystyczne ramy, takie jak DORA, NIS2 czy RODO, które wymagają tytanicznej pracy administracyjnej i audytorskiej. Próba pogodzenia tych dwóch światów w ramach jednego, wewnętrznego zespołu, coraz częściej kończy się „zadyszką operacyjną”.

    Koniec ery „Zosia-Samosia” w IT

    Tradycyjny model, w którym wewnętrzny zespół administratorów dba o wszystko – od resetowania haseł, przez konfigurację chmury, aż po zaawansowane strategie anty-ransomware – wyczerpał się. W obliczu ilościowej i jakościowej zmiany w cyberprzestępczości, o której coraz głośniej mówią eksperci, firma nie jest w stanie utrzymać wewnętrznie tak szerokiego spektrum kompetencji na poziomie eksperckim.

    Rok 2026 zapowiada się jako czas weryfikacji. Firmy, które będą próbowały robić wszystko sami, utkną w bieżączce utrzymaniowej, tracąc z oczu innowacje. Wnioski płynące z analizy rynku są jednoznaczne: wewnętrzne IT powinno stać się centrum strategii biznesowej. To oni znają specyfikę firmy, jej produkty i klientów. Natomiast tzw. „cyfrowa hydraulika” – czyli utrzymanie ciągłości działania, backupy, łatanie systemów i zapewnienie zgodności z regulacjami – to zadania, które muszą zostać oddane specjalistom, dla których jest to core business.

    Outsourcing 2.0: Od technologii do procesów

    Aby ten model zadziałał, musimy zmienić myślenie o usługach zewnętrznych. Usługi zdalnie zarządzane (RMS – Remote Managed Services) przestały być sposobem na to, by było „taniej”. Dziś są sposobem na to, by było „bezpieczniej i zgodnie z prawem”.

    Nowoczesny dostawca usług zarządzanych nie ogranicza się do udostępnienia przestrzeni dyskowej czy zdalnego pulpitu. W 2026 roku oczekuje się od niego przejęcia odpowiedzialności za całe procesy operacyjne. Kluczowa staje się tu audytowalność. W kontekście dyrektyw takich jak NIS2 czy rozporządzenia DORA, firma musi nie tylko być bezpieczna, ale musi umieć to udowodnić.

    Dlatego wyspecjalizowani dostawcy dostarczają dziś gotowe runbooki (scenariusze reagowania na incydenty), regularne raporty zgodności oraz – co być może najważniejsze – przeprowadzają cykliczne testy odzyskiwania danych. Backup, którego nie przetestowano, jest w świetle dzisiejszych zagrożeń bezwartościowy. Przeniesienie tych obowiązków na zewnątrz zdejmuje z zarządu potężne ryzyko operacyjne.

    Pułapka gigantów i suwerenność danych

    Decyzja o wyborze partnera technologicznego w 2026 roku nie jest już tylko kwestią ceny i parametrów technicznych. To decyzja strategiczna, a nawet geopolityczna. Ostatnie lata, w tym głośne awarie gigantów chmurowych (jak incydenty w Microsoft Azure), brutalnie obnażyły ryzyko polegania na jednym, globalnym dostawcy (tzw. vendor lock-in).

    Firmy coraz częściej dostrzegają, że wygoda chmury publicznej może być pułapką. Ryzyko przestojów czy utraty dostępu do danych krytycznych to jedno. Drugim aspektem jest suwerenność.

    • Suwerenność danych: Czy wiesz, gdzie fizycznie leżą twoje dane i jakiemu prawu podlegają?
    • Suwerenność technologiczna: Czy masz zdolność do zmiany dostawcy bez paraliżu firmy?

    W odpowiedzi na te wyzwania rośnie popularność rozwiązań hybrydowych i multicloud. Pozwalają one korzystać z elastyczności gigantów, ale kluczowe zasoby trzymać pod „własną”, lokalną jurysdykcją. Tutaj kluczowa jest rola europejskich dostawców usług IT. Wsparcie techniczne ulokowane w UE, rozumiejące niuanse RODO i lokalnych przepisów, staje się wartością nadrzędną nad generycznym call center w innej strefie czasowej. Lokalne wsparcie to gwarancja, że „cyfrowa autonomia” nie jest tylko pustym hasłem w strategii firmy.

    Backup to teraz cybersecurity (i wymóg prawny)

    Największa zmiana mentalna, jaka musi dokonać się w głowach decydentów IT, dotyczy kopii zapasowych. Do niedawna backup był polisą na wypadek pożaru, zalania serwerowni lub błędu pracownika (Disaster Recovery). Dziś to pierwsza linia obrony przed atakiem (Cyber Recovery).

    Cyberprzestępcy, wspomagani przez techniki oparte na sztucznej inteligencji, zmienili taktykę. Ich celem nie jest już tylko zaszyfrowanie danych produkcyjnych. Ataki są teraz celowane bezpośrednio w kopie zapasowe, aby uniemożliwić ofierze odzyskanie sprawności bez płacenia okupu.

    Wymusza to fuzję dyscyplin backupu i cyberbezpieczeństwa. Nowoczesna strategia ochrony danych musi opierać się na trzech filarach, które trudno zbudować samodzielnie bez ogromnych nakładów inwestycyjnych:

    1. Niezmienność (Immutable Storage): Gwarancja, że raz zapisanego backupu nie da się nadpisać ani skasować przez określony czas – nawet z uprawnieniami administratora.

    2. Air-gap (Szczelina powietrzna): Fizyczne lub logiczne odseparowanie kopii od sieci produkcyjnej.

    3. Clean Rooms (Czyste pomieszczenia): Środowiska do odzyskiwania danych, w których systemy są skrupulatnie sprawdzane pod kątem wirusów przed przywróceniem ich do produkcji.

    Właśnie tutaj rola zewnętrznego dostawcy jest nie do przecenienia. Budowa własnego „clean roomu” i utrzymywanie drugiego, niezależnego Data Center to kosztowny koszmar dla każdego CFO. Zakup tych kompetencji w modelu usługowym (BaaS/DRaaS) jest po prostu bardziej opłacalny i – co ważniejsze – skuteczniejszy.

    Stabilizacja to fundament innowacji

    W roku 2026 i w kolejnych latach wygrają te organizacje, które zrozumieją, że bezpieczeństwo i zgodność z przepisami to sporty zespołowe. Zdalnie zarządzane usługi nie mają zastępować wewnętrznego IT, ale je stabilizować.

    Firmy, które systematycznie chronią swoje dane poprzez profesjonalnych partnerów zewnętrznych, są lepiej przygotowane na awarie techniczne i ataki hakerskie. Ale zyskują coś jeszcze cenniejszego – czas i zasoby swoich własnych ekspertów, którzy zamiast walczyć z „cyfrową hydrauliką”, mogą skupić się na budowaniu przewagi konkurencyjnej biznesu. Niezależny, audytowalny i odporny backup staje się więc nie tylko kosztem operacyjnym, ale kluczowym czynnikiem zrównoważonych procesów biznesowych.

  • Koniec dzikiego zachodu w chmurze. Unia Europejska bierze pod lupę 19 gigantów IT

    Koniec dzikiego zachodu w chmurze. Unia Europejska bierze pod lupę 19 gigantów IT

    We wtorek organy regulacyjne Unii Europejskiej wykonały bezprecedensowy ruch, wskazując 19 firm – w tym Amazon Web Services, Google Cloud oraz Microsoft – jako krytycznych dostawców usług dla europejskiej bankowości. Decyzja ta fundamentalnie zmienia układ sił na linii Big Tech – nadzór finansowy, przenosząc relacje z poziomu partnerskiego na ściśle regulowany.

    Ruch ten jest bezpośrednią konsekwencją wejścia w życie rozporządzenia DORA (Digital Operational Resilience Act). Nowe przepisy dają europejskim organom nadzoru (EBA, EIOPA, ESMA) uprawnienia do bezpośredniej kontroli firm technologicznych, które do tej pory odpowiadały jedynie przed swoimi klientami biznesowymi. Regulatorzy nie ukrywają, że ich głównym celem jest mitygacja ryzyka systemowego. W dobie powszechnej cyfryzacji awaria u jednego z wiodących dostawców chmury obliczeniowej mogłaby sparaliżować znaczną część europejskiego systemu bankowego, wywołując efekt domina o trudnych do oszacowania skutkach.

    Lista podmiotów objętych nowym reżimem nadzorczym jest zróżnicowana, co pokazuje, jak głęboko technologia przeniknęła do finansów. Oprócz „wielkiej trójki” chmurowej (AWS, Google, Microsoft), na celowniku znalazły się również IBM, dostawcy danych rynkowych tacy jak Bloomberg i London Stock Exchange Group (LSEG), a także operatorzy telekomunikacyjni, w tym Orange, oraz firmy doradcze jak Tata Consultancy Services. Każdy z tych podmiotów będzie teraz musiał udowodnić, że posiada odpowiednie ramy zarządzania ryzykiem, a ich infrastruktura jest odporna na cyberataki i awarie techniczne.

    Reakcja branży na to ogłoszenie była wyważona i dyplomatyczna, co sugeruje, że giganci technologiczni od dawna przygotowywali się na ten scenariusz. Przedstawiciele Microsoftu i Google Cloud natychmiast zadeklarowali pełną gotowość do współpracy, podkreślając swoje zaangażowanie w kwestie cyberbezpieczeństwa. Z kolei LSEG otwarcie przyjął nowe oznaczenie, traktując je jako potwierdzenie swojej kluczowej roli w ekosystemie. Milczenie zachowały póki co Bloomberg i Orange, co może wskazywać na trwające wewnętrzne analizy nowych obowiązków regulacyjnych.

    Decyzja Brukseli wpisuje się w szerszy, globalny trend zacieśniania kontroli nad infrastrukturą krytyczną. Europejski Bank Centralny wprost wymienia zakłócenia technologiczne obok napięć geopolitycznych jako główne zagrożenia dla sektora. Podobne kroki podejmuje Wielka Brytania, choć tamtejszy proces legislacyjny jest opóźniony względem unijnego – Londyn planuje wskazać swoje podmioty krytyczne dopiero w przyszłym roku. Europa po raz kolejny staje się więc poligonem doświadczalnym dla nowych standardów regulacyjnych w świecie technologii.

  • Poza własne mury: Jak zabezpieczyć cyfrowy łańcuch dostaw?

    Poza własne mury: Jak zabezpieczyć cyfrowy łańcuch dostaw?

    Współczesne cyberbezpieczeństwo przechodzi fundamentalną transformację. Model, w którym firma była niczym twierdza otoczona wysokim murem, odchodzi do lamusa.

    Atakujący nauczyli się, że najsłabszym punktem obrony jest często nie sama forteca, a jej rozległa sieć powiązań. Nowe regulacje unijne, takie jak DORANIS2, brutalnie obnażają tę prawdę, zmuszając zarządy do redefinicji pojęcia odporności.

    Dziś prawdziwe bezpieczeństwo cyfrowe nie kończy się na granicy własnej sieci, lecz rozciąga się na cały łańcuch dostaw.

    Przez lata korporacje inwestowały ogromne środki w zabezpieczanie własnej infrastruktury, skupiając się na prewencji i reagowaniu na incydenty wewnątrz organizacji. To podejście, choć wciąż fundamentalne, stało się nieadekwatne do skali i złożoności współczesnych zagrożeń.

    Cyberprzestępcy coraz rzadziej decydują się na frontalny atak na dobrze chronione cele. Zamiast tego, wybierają ścieżkę najmniejszego oporu, wykorzystując słabiej zabezpieczonych dostawców, podwykonawców i partnerów technologicznych jako wektor ataku. Ryzyko uległo rozproszeniu, a jego źródła często leżą poza bezpośrednią kontrolą firmy.

    W tym nowym krajobrazie, strategia polegająca wyłącznie na ograniczaniu szkód po fakcie jest nie do obrony. W dobie, gdy każda godzina przestoju może generować straty liczone w milionach i bezpowrotnie niszczyć zaufanie klientów, kluczem staje się proaktywne, inteligentne zapobieganie.

    Tę zmianę paradygmatu dostrzegł również europejski regulator, który za pomocą nowych przepisów przenosi ciężar odpowiedzialności z działów IT bezpośrednio na barki zarządów i rad nadzorczych.

    Dwie kluczowe inicjatywy legislacyjne wyznaczają nowe standardy na całym kontynencie. Pierwszą jest Rozporządzenie o Operacyjnej Odporności Cyfrowej (DORA), które od początku 2025 roku nakłada na sektor finansowy i jego kluczowych dostawców IT rygorystyczne wymogi w zakresie zarządzania ryzykiem cyfrowym.

    Filozofia DORA jest jednoznaczna: odporność instytucji finansowej jest nierozerwalnie związana z odpornością jej partnerów. Nie wystarczy już reagować na incydenty; należy zapewnić ciągłość krytycznych usług nawet w przypadku, gdy zawiedzie zewnętrzny dostawca.

    W praktyce oznacza to konieczność dogłębnej analizy i ciągłego monitorowania całego ekosystemu technologicznego.

    Drugim filarem tej rewolucji jest Dyrektywa NIS2, która radykalnie rozszerza katalog podmiotów objętych podobnymi, wysokimi standardami. W jej zasięgu znalazły się kluczowe sektory gospodarki, takie jak energetyka, transport, ochrona zdrowia, gospodarka wodna czy infrastruktura cyfrowa.

    Dla wielu firm działających w tych branżach, NIS2 oznacza potrzebę zbudowania od podstaw dojrzałych procesów zarządzania ryzykiem stron trzecich. Obie regulacje łączy wspólny mianownik: wprowadzają jasne obowiązki sprawozdawcze i osobistą odpowiedzialność kadry zarządzającej.

    Odporność cyfrowa przestaje być zagadnieniem technicznym, a staje się kluczowym elementem ładu korporacyjnego i strategii biznesowej.

    W tej nowej rzeczywistości prawnej i operacyjnej tradycyjne metody oceny partnerów, takie jak audyty czy ankiety bezpieczeństwa, okazują się niewystarczające. Statyczny obraz uzyskany raz na rok jest bezużyteczny w konfrontacji z zagrożeniami, które ewoluują w cyklach dobowych.

    Firmy potrzebują dynamicznego, niemal żywego obrazu sytuacji zagrożeń, który pozwoli na wczesne identyfikowanie, priorytetyzację i neutralizację ryzyk, zanim te zdążą się zmaterializować.

    Odpowiedzią na to wyzwanie jest analityka zagrożeń, znana jako Threat Intelligence. To ciągły proces zbierania danych o cyberatakach, złośliwym oprogramowaniu i taktykach przestępców, a następnie ich analizowania i przekształcania w użyteczną wiedzę.

    Skutecznie wdrożona analityka pozwala organizacji zrozumieć, jakie kampanie są wymierzone w jej branżę, czy u któregoś z kluczowych dostawców doszło do incydentu, oraz czy dane uwierzytelniające pracowników nie krążą w sieci po wycieku z innego serwisu.

    Efektywne wykorzystanie tej wiedzy opiera się na spójnym procesie obronnym. Zaczyna się on od analizy i priorytetyzacji, czyli zrozumienia, które zagrożenia są najbardziej realne dla specyfiki firmy i jej łańcucha dostaw.

    Następnie, zdobyta wiedza jest wykorzystywana do działań prewencyjnych, takich jak proaktywne wzmacnianie zabezpieczeń, wdrażanie uwierzytelniania wieloskładnikowego czy blokowanie komunikacji ze zidentyfikowanymi jako złośliwe serwerami.

    Trzecim elementem jest wczesne wykrywanie, polegające na ciągłym monitorowaniu własnych systemów i sieci partnerów w poszukiwaniu wskaźników kompromitacji (IoC) dostarczanych przez platformy Threat Intelligence. Całość domyka zautomatyzowana reakcja, która pozwala na błyskawiczne działanie w odpowiedzi na incydent, na przykład przez automatyczne resetowanie przejętych kont czy izolowanie zainfekowanych maszyn.

    Należy jednak pamiętać, że regulacje takie jak DORA i NIS2 wyznaczają jedynie poziom minimalny. Krajobraz zagrożeń rozwija się znacznie szybciej niż jakikolwiek proces legislacyjny. Osiągnięcie zgodności z przepisami to dopiero punkt startowy, a nie cel sam w sobie.

    Prawdziwa, długoterminowa odporność wymaga czegoś więcej: zbudowania kultury bezpieczeństwa, w której zarządzanie ryzykiem stron trzecich jest trwale zintegrowane ze strategią biznesową firmy, procesem wyboru dostawców i codziennymi operacjami.

    Czas na przygotowania i teoretyczne rozważania bezpowrotnie minął. Organizacje, które dziś zrozumieją, że ich stabilność i bezpieczeństwo zależą bezpośrednio od higieny cyfrowej ich najmniejszych partnerów, nie tylko spełnią wymogi prawa, ale przede wszystkim zbudują trwałą przewagę konkurencyjną w coraz bardziej nieprzewidywalnym cyfrowym świecie.

  • Cyberbezpieczeństwo schodzi z serwerowni na salę zarządu. Jak rozmawiać o DORA i NIS2 z zarządem?

    Cyberbezpieczeństwo schodzi z serwerowni na salę zarządu. Jak rozmawiać o DORA i NIS2 z zarządem?

    Wyobraź sobie tę scenę, tak dobrze znaną każdemu specjaliście IT: stoisz przed zarządem. Masz pięć minut, żeby wytłumaczyć, dlaczego firma potrzebuje znacznego budżetu na „coś”, co w najlepszym wypadku sprawi, że… nic się nie wydarzy. Przez lata walka o środki na cyberbezpieczeństwo przypominała syzyfową pracę. To się właśnie skończyło.

    Pojawienie się nowych, ogólnoeuropejskich regulacji – DORA (Digital Operational Resilience Act) i dyrektywy NIS2 – to nie kolejna techniczna nowinka, którą można zignorować. To potężny argument biznesowy, który na stałe przenosi dyskusję o bezpieczeństwie z serwerowni prosto na salę posiedzeń zarządu.

    Dają one specjalistom IT język i narzędzia, aby w końcu przebić się do świadomości C-level. To już nie jest rozmowa o technologii, to rozmowa o przetrwaniu i przyszłości firmy.

    Nowe zasady gry

    Do tej pory wiele decyzji dotyczących cyberbezpieczeństwa można było odkładać w czasie. Teraz to już nie jest prośba, to twardy obowiązek prawny. DORA, celująca w sektor finansowy, oraz NIS2, rozszerzająca wymogi na kluczowe sektory gospodarki, wprowadzają fundamentalne zmiany.

    Nowe przepisy ustanawiają przede wszystkim osobistą odpowiedzialność kadry zarządzającej za wszelkie zaniedbania, co jest argumentem skutecznie przyciągającym uwagę. Co więcej, celem regulacji nie jest samo unikanie ataków, ale zapewnienie ciągłości działania nawet w trakcie poważnego kryzysu.

    Największa rewolucja dotyczy jednak podejścia do partnerów. Zabezpieczanie tylko własnej firmy jest dziś jak instalowanie tytanowych drzwi w domu z papierowymi ścianami. Obie dyrektywy jasno mówią: jesteś tak bezpieczny, jak najsłabszy dostawca.

    To w łańcuchu dostaw czai się dziś największe, często niewidoczne ryzyko, którym zarząd musi zrozumieć i którym musi zarządzać.

    Jak przetłumaczyć język techniczny na język korzyści?

    Kluczem do sukcesu jest porzucenie technicznego żargonu na rzecz języka, który rozumie każdy członek zarządu: języka ryzyka, pieniędzy i strategii.

    Pierwszym krokiem jest zmiana perspektywy i rozpoczęcie rozmowy o ryzyku, a nie o technologii. Zarząd nie musi znać różnicy między EDR a XDR. Musi za to rozumieć, jakie ryzyko biznesowe akceptuje, nie inwestując w nowoczesne narzędzia.

    Zamiast prosić o „zaawansowany system do korelacji logów”, należy przedstawić scenariusz biznesowy: „Jeśli nasz kluczowy dostawca zostanie zhakowany, dowiemy się o wycieku danych naszych klientów z mediów.

    To ryzyko utraty reputacji i kar na poziomie milionów złotych. Potrzebujemy narzędzia, które da nam wczesne ostrzeżenie”.

    Po drugie, należy posługiwać się językiem pieniędzy, a nie procentów. Abstrakcyjne pojęcia, takie jak „uptime”, warto zastąpić konkretnymi stratami finansowymi. Zamiast mówić o zapewnieniu dostępności serwerów na poziomie 99,99%, lepiej zapytać: „Każda godzina niedziałania naszej platformy sprzedażowej to strata rzędu 50 000 zł w przychodach. DORA wymaga od nas posiadania planu awaryjnego. Na jak wysoką stratę możemy sobie pozwolić, zanim zareagujemy?”.

    Po trzecie, dyskusja powinna dotyczyć realnych zagrożeń, a nie hipotetycznych możliwości. Dzięki nowoczesnym narzędziom do analizy zagrożeń (threat intelligence) nie trzeba już opierać się na przypuszczeniach. Zamiast ostrzegać przed „teoretycznym ryzykiem phishingu”, można przedstawić twarde dane: „Nasze systemy analityczne pokazują, że grupa hakerska specjalizująca się w atakach na firmy z naszej branży jest teraz wyjątkowo aktywna. W zeszłym miesiącu zaatakowali naszego głównego konkurenta. To nie jest pytanie 'czy’, tylko 'kiedy’ spróbują u nas”.

    Plan działania w 3 krokach

    Teoria jest ważna, ale liczy się działanie. Zamiast przedstawiać zarządowi problem, przyjdź z gotowym planem. Skuteczne podejście zaczyna się od przygotowania „mapy ryzyka”. Należy na niej zidentyfikować trzech do pięciu kluczowych dostawców, bez których firma nie może funkcjonować, i krótko opisać, jak awaria każdego z nich wpływa na finanse i operacje.

    Następnym krokiem jest stworzenie „karty argumentów” dla każdego zidentyfikowanego ryzyka. Powinno to być jednostronicowe podsumowanie w języku biznesowym, wyjaśniające problem, jego konsekwencje finansowe i proponowane rozwiązanie wraz z kosztem.

    Na koniec, zamiast prosić o ogólne zwiększenie budżetu, należy zaproponować konkretne, mierzalne cele, takie jak przeprowadzenie audytu bezpieczeństwa u najważniejszych partnerów do końca kwartału w celu redukcji ryzyka operacyjnego o określony procent.

    Wielka szansa

    DORANIS2 to nie jest kolejny problem do rozwiązania. To wyjątkowa szansa. To moment, w którym specjaliści IT, uzbrojeni w twarde, biznesowe argumenty, mogą w końcu zająć strategiczne miejsce przy stole, na które zasługują.

    Drzwi do sali zarządu są teraz otwarte szerzej niż kiedykolwiek wcześniej. Nie czekaj, aż ktoś cię zaprosi. Przygotuj argumenty, mów językiem biznesu i poprowadź swoją firmę w kierunku prawdziwej cyberodporności.

  • Standard zamiast chaosu: nadchodzi Europejski Portfel Tożsamości Cyfrowej

    Standard zamiast chaosu: nadchodzi Europejski Portfel Tożsamości Cyfrowej

    Czy jesteśmy gotowi na cyfrową rewolucję, która uporządkuje chaos procedur, podpisów i silosowych rozwiązań?

    W wielu obszarach regulowanych, takich jak cyberbezpieczeństwo czy przeciwdziałanie praniu pieniędzy, wciąż dominuje podejście silosowe – zarówno w interpretacji przepisów, jak i w doborze rozwiązań technicznych. Każdy sektor opracowuje własne narzędzia, formularze i procedury zgodności, nierzadko ignorując fakt, że cele i środki techniczne są w dużej mierze tożsame. 

    Przykładem może być równoległe wdrażanie wymogów wynikających z Dyrektywy NIS2 i Rozporządzenia DORA – regulacji mających wspólną oś bezpieczeństwa, a mimo to egzekwowanych w całkowitym oderwaniu od siebie.

    W rezultacie instytucje, niezależnie od ich podstawowego profilu działalności, obciążane są obowiązkami wykraczającymi daleko poza ich naturalny zakres. Przykładowo, instytucja finansowa musi równocześnie świadczyć usługi, zarządzać ryzykiem, odpowiadać za bezpieczeństwo systemów informatycznych, realizować procesy uwierzytelniania i podpisywania dokumentów, a także zapewniać zgodność z lokalnymi i unijnymi przepisami.

    Taki model obciąża wewnętrzne zasoby, zwiększa koszty i prowadzi do fragmentaryzacji podejścia, które powinny być wspólne. Zamiast dążyć do standaryzacji i ponownego wykorzystania istniejących ram prawnych – takich jak Rozporządzenie eIDAS – często obserwuje się próby tworzenia odrębnych, niekompatybilnych rozwiązań. Efektem jest marnotrawstwo potencjału, zarówno technologicznego, jak i organizacyjnego.

    Unijna odpowiedź: eIDAS 2.0 i AMLR

    Tymczasem są już dostępne i rozwijane rozwiązania na poziomie unijnym, które adresują potrzeby zdalnej identyfikacji w sposób spójny, bezpieczny i zgodny z przepisami. Z jednej strony mamy eIDAS 2.0 – rozporządzenie definiujące technologie i poziomy zaufania dla usług identyfikacji i uwierzytelnienia.

    Z drugiej – dyrektywę unijną w sprawie przeciwdziałania praniu pieniędzy (AMLD) i towarzyszące jej regulacyjne standardy techniczne (RTS), które wprost wskazują, że identyfikacja klienta bez jego fizycznej obecności powinna opierać się na środkach określonych w eIDAS, w szczególności na poziomach bezpieczeństwa średnim (substantial) lub wysokim (high) oraz kwalifikowanych usługach zaufania.

    Co więcej, zarówno w motywach, jak i artykułach nowego rozporządzenia AMLR, pojawia się bezpośrednie odniesienie do Rozporządzenia eIDAS jako rekomendowanej podstawy technicznej. Zapisy te nie tylko pozwalają na stosowanie rozwiązań wprowadzanych przez eIDAS w celu realizacji obowiązków AML, ale wręcz zachęcają do ich wykorzystania.

    Zgodnie z motywem 66 AMLR: „Rozwiązania eIDAS umożliwiają bezpieczne środki identyfikacji i weryfikacji klienta […] i mogą obniżać poziom ryzyka do standardowego lub nawet niskiego.” W przypadku, gdy taka identyfikacja elektroniczna nie jest dostępna (np. klient zamieszkuje państwo spoza Unii Europejskiej), należy użyć kwalifikowanych usług zaufania.

    Rozporządzenie AMLR oraz planowane projekty regulacyjnych standardów technicznych określają m.in. wymogi w zakresie należytej staranności wobec klienta, w tym identyfikacji zdalnej. Niemniej Komisja Europejska nie ukrywa, że jej celem jest ujednolicenie metod zdalnej weryfikacji i identyfikacji klientów – niezależnie od sektora.

    Prace legislacyjne idą w kierunku przeciwdziałania powstawaniu tzw. „wysp”, czyli sytuacji, w których bank może coś zrobić, a leasingodawca czy operator telekomunikacyjny już nie. W przyszłości punktem odniesienia do zdalnej identyfikacji klienta mają nie być lokalne wytyczne sektorowe, ale właśnie zapisy rozporządzenia eIDAS – bez względu na to, czy identyfikuje bank, kwalifikowany dostawca usług zaufania czy firma z branży telekomunikacyjnej.

    Czym jest Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet)?

    Konkretną odpowiedzią na te potrzeby jest Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet), który musi być akceptowany przez sektor finansowy od grudnia 2027 roku. Rozwiązanie to umożliwi zdalną identyfikację, uwierzytelnienie, bezpieczne udostępnianie danych oraz składanie kwalifikowanych podpisów – bezpłatnie dla osób fizycznych do celów nieprofesjonalnych.

    Co istotne, jeśli instytucja zaakceptuje portfel, to nie tylko spełni obowiązki dotyczące przeciwdziałania praniu brudnych pieniędzy, ale również zyska możliwość rezygnacji z tradycyjnej formy dokumentowej – bo ten sam portfel zawiera funkcjonalność złożenia kwalifikowanego podpis elektronicznego.

    Powyższy opis jasno wskazuje, że Rozporządzenie AMLR oraz Rozporządzenie eIDAS 2.0 w zakresie identyfikacji klienta wzajemnie się uzupełniają. Rozporządzenie AMLR określa co trzeba zrobić (czyli obowiązek należytej staranności wobec klienta i wymagania przy identyfikacji).

    Natomiast rozporządzenie eIDAS 2.0 definiuje jak to zrobić (czyli technologie, poziomy zaufania i standardy, jakie należy stosować).

    W praktyce oznacza to, że spełnienie wymagań AMLR w zakresie identyfikacji wymaga użycia narzędzi zgodnych z eIDAS, a usługi dostosowane do eIDAS 2.0 (np. portfel cyfrowy, kwalifikowany epodpis) mogą być wykorzystywane do zgodnego z prawem onboardingu klienta.

    Po co tworzyć kosztowne, niespójne i trudne w utrzymaniu alternatywy, skoro zbliża się rozwiązanie kompleksowe, regulacyjne i uniwersalne? Portfel cyfrowy spełni wymagania w przedmiotowym zakresie AML, eIDAS zadba o zgodność techniczną, a podpis kwalifikowany pozwoli odejść nie tylko od dokumentów papierowych, ale też od mozaiki cyfrowych podpisów na rzecz jednego, spójnego standardu. To rozwiązanie przyszłości. I to bardzo bliskiej.

  • DORA, czyli jak nowe prawo UE rewolucjonizuje IT w polskim sektorze finansowym?

    DORA, czyli jak nowe prawo UE rewolucjonizuje IT w polskim sektorze finansowym?

    Sektor finansowy, od lat będący w awangardzie cyfrowej transformacji, stoi u progu kolejnej rewolucji. Nie jest ona jednak napędzana przez nową technologię, lecz przez prawo. Mowa o Rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego, znanym jako DORA (Digital Operational Resilience Act).

    Obowiązujące od 17 stycznia 2025 roku, nie jest to kolejna dyrektywa do powolnej implementacji, ale bezpośrednio stosowany akt prawny, który fundamentalnie redefiniuje zasady gry dla całego ekosystemu IT w polskiej branży finansowej.

    Skala tej zmiany jest porównywalna z wdrożeniem RODO, a jej głównym celem jest zakończenie ery fragmentarycznych, krajowych regulacji i stworzenie jednolitego, wysokiego standardu odporności na cyberzagrożenia w całej Unii Europejskiej.   

    DORA to coś więcej niż zbiór technicznych wytycznych. To zmiana paradygmatu, która przenosi ostateczną odpowiedzialność za cyberbezpieczeństwo z działów IT na najwyższe szczeble zarządcze.

    Cyfrowa odporność przestaje być kwestią techniczną, a staje się strategicznym filarem zarządzania ryzykiem całej organizacji, wymagającym od zarządów aktywnego zaangażowania i głębokiego zrozumienia technologicznych wyzwań.   

    Anatomia rewolucji: Pięć filarów DORA

    Aby zrozumieć skalę nadchodzących zmian, należy przeanalizować pięć wzajemnie powiązanych filarów, na których opiera się cała konstrukcja DORA.

    1. Zarządzanie Ryzykiem ICT: To fundament rozporządzenia. Nakłada on na instytucje finansowe obowiązek wdrożenia kompleksowych i udokumentowanych ram zarządzania ryzykiem technologicznym. Kluczową nowością jest jednoznaczne przypisanie ostatecznej odpowiedzialności za ten obszar organowi zarządzającemu. Zarząd musi nie tylko zatwierdzić strategię, ale także aktywnie nadzorować jej realizację, co wymaga od jego członków odpowiednich kompetencji do oceny ryzyk cyfrowych.  
    2. Zarządzanie i Raportowanie Incydentów: DORA standaryzuje proces obsługi incydentów, wprowadzając zharmonizowany system raportowania. Największym wyzwaniem są niezwykle krótkie terminy: wstępne powiadomienie o poważnym incydencie musi trafić do organu nadzoru (w Polsce KNF) w ciągu zaledwie 24 godzin od jego klasyfikacji . W praktyce wymusza to na organizacjach inwestycje w zaawansowane systemy monitorowania (SIEM) i automatyzacji reakcji (SOAR).  
    3. Testowanie Operacyjnej Odporności Cyfrowej: Rozporządzenie formalizuje i zaostrza wymogi dotyczące testowania. Oprócz corocznych testów podatności, wprowadza obowiązek przeprowadzania co najmniej raz na trzy lata zaawansowanych testów penetracyjnych opartych na analizie zagrożeń – Threat-Led Penetration Testing (TLPT). Są to kontrolowane symulacje realnych cyberataków, przeprowadzane na systemach produkcyjnych przez zewnętrznych, certyfikowanych ekspertów.  
    4. Zarządzanie Ryzykiem Stron Trzecich: To prawdopodobnie najbardziej rewolucyjny element DORA. Instytucje finansowe stają się w pełni odpowiedzialne za ryzyko generowane przez cały łańcuch dostaw usług ICT – od globalnych dostawców chmury po lokalne software house’y. Rozporządzenie narzuca rygorystyczne wymogi dotyczące umów, w tym gwarancję prawa do audytu, oraz wprowadza mechanizm bezpośredniego nadzoru UE nad kluczowymi dostawcami technologii (Critical Third-Party Providers, CTPPs).  
    5. Wymiana Informacji o Zagrożeniach: Ostatni filar promuje współpracę w ramach zaufanych społeczności w celu wymiany informacji i analiz dotyczących cyberzagrożeń. Celem jest stworzenie systemu wczesnego ostrzegania, który pozwoli całemu sektorowi uczyć się na błędach i proaktywnie wzmacniać mechanizmy obronne.   

    Polski kontekst: KNF nie zostawia złudzeń

    Komisja Nadzoru Finansowego (KNF) przyjęła bardzo proaktywną postawę, jasno komunikując rynkowi, że nie będzie taryfy ulgowej. W swoim stanowisku UKNF podkreślił, że DORA, jako rozporządzenie, jest aktem prawa bezpośrednio stosowanym i brak krajowych przepisów wykonawczych nie wstrzymuje obowiązku jej przestrzegania od 17 stycznia 2025 roku .

    Najważniejszą konsekwencją dla polskiego rynku jest zmiana paradygmatu regulacyjnego. DORA, jako lex specialis (prawo szczegółowe), zastępuje i uchyla dotychczasowe, dobrze znane krajowe wytyczne, takie jak Rekomendacja D czy Komunikat chmurowy.

    Kończy się era elastycznego soft law, a zaczyna twarde, zharmonizowane na poziomie UE prawo, które nie pozostawia miejsca na dowolność interpretacyjną. Aby umożliwić rynkowi działanie w nowej rzeczywistości, KNF wdrożyła konkretne narzędzia, w tym obowiązek posiadania przez każdą instytucję identyfikatora LEI oraz dedykowane systemy do sprawozdawczości i obsługi incydentów.

    Za nieprzestrzeganie przepisów grożą dotkliwe sankcje, w tym kary finansowe sięgające 10% rocznego obrotu, a w skrajnych przypadkach nawet odpowiedzialność karna dla członków zarządu.   

    Główne wyzwania i priorytety inwestycyjne

    Dostosowanie się do DORA to proces złożony i kosztowny, który zdominuje budżety IT w polskim sektorze finansowym w najbliższych latach. Można zidentyfikować trzy główne obszary, które stanowią największe wyzwania.

    Po pierwsze, zarządzanie ryzykiem stron trzecich. Dla wielu instytucji oznacza to tytaniczną pracę polegającą na przeglądzie i renegocjacji setek, a nawet tysięcy umów z dostawcami technologii . Każdy kontrakt musi zostać dostosowany do rygorystycznych wymogów DORA, co jest zadaniem nie tylko dla prawników, ale i dla biznesu oraz IT.

    Po drugie, zaawansowane testy penetracyjne (TLPT). To skomplikowane i drogie przedsięwzięcia, a na rynku brakuje wyspecjalizowanych firm z odpowiednimi certyfikatami i doświadczeniem.

    Ograniczona podaż takich usług może prowadzić do wzrostu cen i problemów z dostępnością, a same testy wymagają bezprecedensowej współpracy z dostawcami, których systemy również muszą być objęte zakresem testów.   

    Po trzecie, zintegrowane raportowanie incydentów. Spełnienie 24-godzinnego terminu na zgłoszenie jest praktycznie niemożliwe bez zautomatyzowanych procesów.

    Wiele organizacji będzie musiało zainwestować w modernizację lub wdrożenie nowoczesnych platform SIEM i SOAR, zintegrowanych z wewnętrznymi procedurami i systemami raportowania KNF.

    Te trzy obszary, uzupełnione o konieczność szeroko zakrojonych szkoleń dla kadr na wszystkich szczeblach, zdeterminują główne kierunki inwestycji w nadchodzących miesiącach.   

    DORA jako katalizator modernizacji

    Choć wdrożenie DORA wiąże się z ogromnymi wyzwaniami, postrzeganie go wyłącznie jako obciążenia regulacyjnego byłoby błędem. W dłuższej perspektywie rozporządzenie to ma potencjał, by stać się potężnym katalizatorem pozytywnych zmian i modernizacji.

    Odporność cyfrowa staje się kluczowym elementem przewagi konkurencyjnej. Organizacje, które skutecznie wdrożą DORA, będą postrzegane przez klientów i partnerów jako bardziej wiarygodne i bezpieczne.

    Rygorystyczne wymogi wobec dostawców doprowadzą do podniesienia standardów w całym sektorze technologicznym, eliminując z rynku podmioty, które nie są w stanie zapewnić odpowiedniego poziomu bezpieczeństwa.   

    Co więcej, DORA może stać się impulsem do redukcji długu technologicznego i przyspieszenia migracji do chmury. Uchylenie niejasnego „Komunikatu chmurowego” i zastąpienie go zharmonizowanym, europejskim standardem daje instytucjom finansowym znacznie większą pewność regulacyjną .

    W połączeniu z presją na modernizację może to zachęcić niezdecydowane dotąd podmioty do strategicznej i zgodnej z DORA migracji do chmury, postrzegając ją jako sposób na osiągnięcie wymaganej odporności i elastyczności.

    Czas na działanie

    Termin 17 stycznia 2025 roku jest nieprzekraczalny. Czas na analizy dobiegł końca – nadszedł moment na intensywne działania. DORA to nie są kolejne wytyczne, które można dowolnie interpretować. To nowy, obowiązkowy system operacyjny dla technologii w europejskim sektorze finansowym.

    pOrganizacje, które potraktują to wyzwanie priorytetowo, nie tylko zapewnią sobie zgodność z prawem, ale przede wszystkim zbudują solidny fundament pod bezpieczny i stabilny rozwój.

  • DORA: Nowe RODO czy ukryta żyła złota dla branży IT?

    DORA: Nowe RODO czy ukryta żyła złota dla branży IT?

    Data 17 stycznia 2025 roku na stałe zapisała się w kalendarzach europejskiego sektora finansowego i tysięcy jego technologicznych partnerów. Wejście w życie rozporządzenia DORA (Digital Operational Resilience Act) oznaczało dla nich początek nowej ery współdzielonej odpowiedzialności. 

    W kuluarach branży IT natychmiast pojawiło się pytanie: czy to powtórka z RODO – lata przygotowań, niepewności i kosztów? A może wręcz przeciwnie – precyzyjnie zdefiniowana szansa na rozwój? 

    Prawda jest taka, że DORA to znacznie więcej niż obowiązek. To szczegółowy plan zapotrzebowania na technologie i usługi, który inteligentne firmy IT mogą przekuć w konkretne kontrakty. 

    W przeciwieństwie do RODO, które chroniło dane, DORA chroni całe procesy operacyjne, co stanowi znacznie szersze i bardziej techniczne pole do działania, kreując tym samym ukrytą żyłę złota dla dostawców technologii.

    Aby zrozumieć skalę tych możliwości, wystarczy przełożyć hermetyczny język regulacji na konkretne zapotrzebowanie rynkowe.

     DORA w pięciu filarach definiuje, za co sektor finansowy i jego partnerzy będą musieli zapłacić. Pierwszy filar, dotyczący zarządzania ryzykiem ICT, zmusza organizacje do dogłębnego zrozumienia własnej infrastruktury. 

    To już nie czas na domysły – firmy muszą dokładnie wiedzieć, jakie zasoby cyfrowe posiadają, jak są one ze sobą połączone i gdzie leżą ich słabości. 

    Taki wymóg wprost generuje popyt na zaawansowane testy penetracyjne, ćwiczenia typu Red Team oraz platformy do zarządzania powierzchnią ataku (ASM), które pozwalają spojrzeć na własną organizację oczami agresora. 

    Równocześnie drugi filar, koncentrujący się na ryzyku stron trzecich, rewolucjonizuje relacje z dostawcami. Kończy się era polegania na certyfikatach i deklaracjach. 

    Instytucje finansowe są teraz zobligowane do ciągłego monitorowania i audytowania swoich partnerów, co otwiera ogromny rynek dla platform klasy Vendor Risk Management (VRM) oraz usług doradczych, pomagających w tworzeniu i utrzymaniu wymaganego prawem „Rejestru Informacji”.

    Kolejne wymogi pogłębiają tę transformację, przenosząc ciężar z analizy na działanie. 

    Filar trzeci, czyli zarządzanie incydentami, wymaga posiadania ustrukturyzowanych i przetestowanych procesów reagowania. 

    Oznacza to wzrost zapotrzebowania na wdrożenia i obsługę systemów SIEM/SOAR, które automatyzują wykrywanie i reakcję, a także na usługi stałej gotowości (Incident Response Retainers), gwarantujące dostęp do ekspertów w momencie kryzysu. 

    Symulacje kryzysowe, tzw. tabletop exercises, z niszowej praktyki stają się standardem. 

    Czwarty filar DORA, poświęcony zarządzaniu zmianą, wprowadza rygor do procesów wdrożeniowych. Każda nowa aplikacja, każda aktualizacja infrastruktury musi być oceniona pod kątem wpływu na odporność operacyjną.

    To z kolei tworzy idealne warunki dla firm specjalizujących się w metodykach DevSecOps, które integrują bezpieczeństwo z całym cyklem życia oprogramowania, oraz dla narzędzi monitorujących integralność systemów.

    Ostatni, piąty filar, dotyczący testowania odporności, spina wszystkie poprzednie w spójną całość. Organizacje muszą nie tylko regularnie testować swoje systemy, ale także być w stanie udowodnić swoją dojrzałość audytorom.

    To pole do popisu dla dostawców platform GRC (Governance, Risk, Compliance), które automatyzują proces zbierania dowodów, oraz dla wyspecjalizowanych firm zdolnych przeprowadzić najbardziej zaawansowane testy, takie jak Threat-Led Penetration Testing (TLPT), symulujące realne, ukierunkowane ataki.

    W ten sposób pięć filarów DORA tworzy spójny ekosystem popytu, obejmujący cały cykl życia cyberbezpieczeństwa – od identyfikacji ryzyka, przez ochronę i detekcję, aż po reakcję i audyt.

    Ta nowa rzeczywistość fundamentalnie zmienia dynamikę rynku. Status „DORA-Ready” lub „DORA-Compliant” przestaje być jedynie marketingowym sloganem, a staje się twardą walutą w przetargach i kluczowym kryterium wyboru dostawcy przez sektor finansowy.

    Firmy IT, które już zainwestowały w dostosowanie swoich usług, procesów i produktów, zyskują potężną przewagę konkurencyjną. Są w stanie nie tylko spełnić wymogi klienta, ale także aktywnie pomóc mu w osiągnięciu zgodności, pozycjonując się jako partner strategiczny.

    Te organizacje, które zignorują ten trend, ryzykują stopniową marginalizacją i odcięcie od jednego z najbardziej lukratywnych i stabilnych sektorów gospodarki. Kluczowa staje się proaktywna komunikacja swojej gotowości na DORA – w materiałach firmowych, w rozmowach handlowych i w samej architekturze oferowanych rozwiązań.

    DORA nie jest zatem kolejną biurokratyczną przeszkodą, lecz precyzyjną mapą drogową. Wskazuje obszary, w które sektor finansowy, pod groźbą dotkliwych kar, po prostu musi zainwestować. Dla branży technologicznej pytanie nie brzmi „czy”, ale „jak szybko” przekuje te regulacyjne wymogi w innowacyjną ofertę.

    Zwycięzcami ery DORA nie będą ci, którzy jedynie pasywnie się dostosują, ale ci, którzy poprowadzą swoich klientów przez ten skomplikowany proces. Czas przestać traktować DORA jako zadanie dla prawników, a zacząć postrzegać je jako strategiczne wyzwanie dla inżynierów i wizjonerów rozwoju biznesu. Rynek już powstał, a jego zasady zostały jasno zdefiniowane. Wystarczy po niego sięgnąć.

  • DORA pół roku po wdrożeniu: 96% firm finansowych wciąż niegotowych

    DORA pół roku po wdrożeniu: 96% firm finansowych wciąż niegotowych

    Pół roku po wejściu w życie unijnej ustawy o odporności operacyjnej cyfrowej (DORA), instytucje finansowe wciąż mierzą się z wyzwaniami, które ta regulacja ze sobą niesie. Choć ramy prawne obowiązują od stycznia 2025 r., aż 96% organizacji z sektora finansowego w regionie EMEA wciąż uznaje, że musi poprawić swoją odporność, by spełnić wymogi nowego prawa.

    Wyniki badania zrealizowanego na zlecenie Veeam Software wskazują, że mimo wysokiej świadomości regulacyjnej, tempo wdrażania przepisów pozostaje nierówne. Co prawda 94% firm traktuje DORA z większą powagą niż przed jej wejściem w życie, ale tylko połowa w pełni włączyła jej wymagania do strategii odporności. Dla 39% organizacji DORA pozostaje kluczowym punktem zainteresowania, jednak niekoniecznie oznacza to pełną gotowość operacyjną.

    Największym wyzwaniem okazuje się nie tylko skala przepisów, ale i ich złożoność. Przepis na zgodność? Nie tak prosty, jak mogłoby się wydawać. Przykładowo: co czwarta firma nie wdrożyła jeszcze procedur testowania ciągłości działania ani mechanizmów raportowania incydentów. Równie wysoki odsetek nie wyznaczył nawet jednostki odpowiedzialnej za zgodność z DORA.

    Problemem nie jest wyłącznie organizacyjne zapóźnienie. 41% firm wskazuje na rosnącą presję i przeciążenie zespołów IT oraz cyberbezpieczeństwa. Dodatkowym obciążeniem są wyższe koszty, przenoszone przez dostawców IT (37%) oraz niedobór budżetu na działania związane z regulacjami (20%). Uderza to nie tylko w płynność wdrożeń, ale i w innowacyjność – co piąta firma uważa, że obecna struktura przepisów ogranicza zdolność do konkurowania.

    Szczególnie trudnym aspektem pozostaje monitorowanie ryzyka zewnętrznego – choć 34% firm uważa ten element za najtrudniejszy, jedynie 20% oficjalnie go jeszcze nie wdrożyło. Trudność ta wynika m.in. z braku przejrzystości w działaniach partnerów oraz rozproszenia ekosystemów IT.

    W odpowiedzi na te potrzeby, na rynku pojawiły się pierwsze narzędzia wspierające systematyczną ocenę odporności. Jednym z nich jest opracowany przez Veeam i McKinsey model dojrzałości odporności danych (DRMM). Pozwala on organizacjom na wielowymiarową analizę gotowości operacyjnej i integrację obszarów IT, bezpieczeństwa i zgodności w ramach jednej strategii. Co ważne – model oparty został na doświadczeniach ponad 500 liderów z sektora.

    Zgodność z DORA to dla wielu firm nie cel sam w sobie, lecz element szerszej transformacji. Regulacja ta zmusza organizacje do krytycznego spojrzenia na odporność cyfrową – nie jako projekt IT, ale jako fundament biznesowej ciągłości. Problem w tym, że fundament ten wciąż jest w budowie. I choć kierunek został wyznaczony, droga do odporności operacyjnej może okazać się dłuższa niż zakładano.