Przewodnik DORA i Uwierzytelnianie

Przewodnik dla menedżerów i ekspertów nadzorujących obszary tożsamości, bezpieczeństwa oraz zgodności w organizacjach działających w sektorach regulowanych.

1. Wprowadzenie: Od polityki do egzekwowania przepisów

Rozporządzenie Digital Operational Resilience Act (DORA) zostało przyjęte przez Parlament Europejski i Radę w grudniu 2022 roku i weszło w życie 16 stycznia 2023 roku. Z dniem 17 stycznia 2025 roku obowiązkowe stało się pełne stosowanie jego przepisów przez instytucje finansowe i dostawców ICT. Ten kluczowy krok regulacyjny w sektorze finansowym UE przesuwa odporność operacyjną z obszaru dobrych praktyk do formalnego obowiązku prawnego.

Odporność operacyjna

Odporność operacyjna to zdolność organizacji do utrzymania ciągłości działania kluczowych funkcji, nawet w sytuacji wystąpienia poważnych zakłóceń, takich jak cyberatak, awaria systemu, błąd ludzki czy utrata dostawcy.

W kontekście DORA oznacza to, że instytucja finansowa musi być w stanie zapobiegać incydentom ICT, skutecznie na nie reagować i szybko się po nich odtwarzać, tak aby zapewnić nieprzerwane świadczenie usług finansowych.

Celem DORA jest zapewnienie, aby wszystkie instytucje finansowe działające w Unii Europejskiej, wraz z dostawcami technologii informacyjno-komunikacyjnych (ICT), były w stanie utrzymać ciągłość działania nawet w przypadku cyberataków, awarii systemów lub poważnych incydentów technologicznych. W praktyce DORA przekształca pojęcie odporności cyfrowej z postulatu w wymóg. Organizacje muszą nie tylko wdrożyć odpowiednie środki bezpieczeństwa, lecz także potrafić udowodnić, że faktycznie nimi dysponują: wykazać, jak zarządzają ryzykiem ICT, jak kontrolują dostęp użytkowników, jak nadzorują dostawców i jak przywracają działanie kluczowych usług po incydentach.

Uwierzytelnianie, które jeszcze niedawno postrzegano głównie jako element techniczny w ramach operacji IT, stało się centralnym elementem zgodności z DORA. Artykuły 20 i 21 jasno wskazują, że zarządzanie tożsamością, dostępem i uwierzytelnianiem to podstawowe filary odporności operacyjnej. Z perspektywy regulacyjnej uwierzytelnianie przestało być mechanizmem technicznym – stało się mierzalnym wymogiem zgodności. Instytucje finansowe mają obowiązek stosowania silnego uwierzytelniania, egzekwowania zasady najmniejszych uprawnień oraz pełnego rejestrowania i audytowania wszystkich zdarzeń związanych z tożsamością.

Zasada najmniejszych uprawnień (Principle of Least Privilege, w skrócie PoLP)

Zasada najmniejszych uprawnień polega na nadawaniu użytkownikom, systemom i aplikacjom wyłącznie takiego poziomu dostępu, jaki jest niezbędny do wykonania ich zadań. Ogranicza to ryzyko błędów, nadużyć i skutki potencjalnych włamań.

W kontekście DORA oznacza to, że uprawnienia muszą być proporcjonalne do roli użytkownika, regularnie weryfikowane i natychmiast odbierane po zmianie stanowiska lub odejściu z organizacji.

2. Czym jest DORA i kogo dotyczy

Rozporządzenie DORA (Regulation (EU) 2022/2554) ustanawia jednolite wymagania dotyczące zarządzania ryzykiem technologicznym i cyberbezpieczeństwem w sektorze finansowym na terenie całej Unii Europejskiej. W przeciwieństwie do dyrektywy, rozporządzenie obowiązuje bezpośrednio we wszystkich państwach członkowskich, co oznacza, że nie wymaga wdrożenia do prawa krajowego. W efekcie wszystkie objęte podmioty muszą spełniać te same wymogi w tym samym czasie.

DORA obejmuje banki, instytucje kredytowe, firmy inwestycyjne, zakłady ubezpieczeń, dostawców usług płatniczych i inne podmioty działające na rynku finansowym. Co równie istotne, dotyczy także dostawców usług ICT, którzy wspierają te instytucje. W tej grupie mieszczą się między innymi producenci oprogramowania, dostawcy usług chmurowych, rozwiązania do zarządzania tożsamością i uwierzytelnianiem oraz wszystkie podmioty dostarczające technologie uznane za krytyczne dla funkcjonowania instytucji finansowych. Regulacja wychodzi z założenia, że odporność cyfrowa sektora zależy nie tylko od bezpieczeństwa samego banku czy ubezpieczyciela, lecz także od jakości i bezpieczeństwa ich partnerów technologicznych.

Celem DORA jest harmonizacja i wzmocnienie odporności operacyjnej w całym ekosystemie finansowym Unii Europejskiej. Wymogi DORA zostały podzielone na kilka kluczowych obszarów: zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie odporności, nadzór nad stronami trzecimi oraz zarządzanie tożsamością i dostępem. Każdy z tych obszarów ma jeden wspólny cel – zapewnienie, że kluczowe usługi finansowe pozostaną dostępne i bezpieczne, nawet jeśli dojdzie do poważnego zakłócenia działania technologii.

Rozporządzenie oraz dyrektywa

Rozporządzenie (Regulation) obowiązuje bezpośrednio we wszystkich państwach członkowskich Unii Europejskiej, nie wymaga wdrożenia do prawa krajowego. Oznacza to, że jego przepisy stosuje się w identyczny sposób w całej UE od wskazanej daty.

Dyrektywa (Directive) natomiast wyznacza cel, jaki państwa członkowskie muszą osiągnąć, ale każde państwo samo decyduje, jak go wdrożyć w swoim prawie krajowym. Wymaga więc tzw. transpozycji do ustawodawstwa krajowego.

Zarządzanie ryzykiem ICT

Zarządzanie ryzykiem ICT stanowi fundament DORA. Wymaga ono od instytucji identyfikacji i kontroli zagrożeń związanych z wykorzystywanymi technologiami. Obejmuje to zarówno podatności oprogramowania, błędy konfiguracji sieci, zależności od infrastruktury chmurowej, jak i czynniki ludzkie, takie jak zarządzanie dostępem i świadomość użytkowników.

Każda organizacja musi opracować ramy zarządzania ryzykiem obejmujące cały cykl życia zasobów ICT – od momentu ich pozyskania aż po wycofanie z użycia. W ramach tych procesów należy określić procedury wykrywania i reagowania na incydenty, ochrony systemów przed nieautoryzowanym dostępem, zapewnienia ciągłości działania i odzyskiwania danych po awarii lub cyberataku. DORA podkreśla, że zarządzanie ryzykiem nie jest działaniem jednorazowym. Ma to być proces ciągły, obejmujący regularne przeglądy, aktualizacje oraz dostosowywanie zabezpieczeń do zmieniających się zagrożeń.

Zarządzanie ryzykiem jako proces ciągły

Zarządzanie ryzykiem jako proces ciągły oznacza stałe monitorowanie, ocenę i aktualizację zagrożeń oraz stosowanych zabezpieczeń. Organizacja musi na bieżąco reagować na zmiany technologiczne i nowe ryzyka, a nie ograniczać się do okresowych przeglądów.

W kontekście DORA oznacza to, że instytucja finansowa powinna utrzymywać nieprzerwaną kontrolę nad ryzykiem ICT, regularnie testować swoje zabezpieczenia i być w każdej chwili gotowa wykazać regulatorowi, że jej systemy są odporne na incydenty.

Nadzór nad dostawcami zewnętrznymi (Third-Party Risk Oversight)

Drugim filarem DORA jest kontrola nad dostawcami usług ICT. Wiele instytucji finansowych korzysta z zewnętrznych partnerów, którzy zapewniają kluczowe komponenty technologiczne – od chmury i hostingu po uwierzytelnianie użytkowników. DORA nakłada obowiązek zarządzania tymi relacjami z taką samą starannością, jak procesami wewnętrznymi.

Organizacje muszą prowadzić pełen rejestr wszystkich dostawców usług ICT, oceniać ich poziom bezpieczeństwa i odporności, a także zawierać umowy jasno określające obowiązki w zakresie zarządzania ryzykiem, raportowania incydentów i utrzymania ciągłości działania. W określonych przypadkach regulatorzy mogą uznać dostawcę za „krytycznego”, co oznacza, że będzie on objęty bezpośrednim nadzorem. W ten sposób DORA rozszerza koncepcję odporności operacyjnej na cały łańcuch dostaw, eliminując ryzyko, że słaby element po stronie partnera technologicznego stanie się źródłem kryzysu w całym systemie finansowym.

Krytyczny dostawca usług ICT (Critical ICT Third-Party Provider)

Krytyczny dostawca usług ICT to taki podmiot, którego usługi lub infrastruktura są kluczowe dla ciągłości działania instytucji finansowych i którego awaria mogłaby spowodować poważne zakłócenia w funkcjonowaniu systemu finansowego UE. W praktyce oznacza to dostawcę, od którego zależy działanie wielu instytucji lub kluczowych procesów (np. chmura, uwierzytelnianie, sieci, przetwarzanie danych).

W kontekście DORA krytycznych dostawców wskazują europejskie organy nadzoru (EBA, ESMA, EIOPA). Tacy dostawcy podlegają bezpośredniemu nadzorowi na poziomie UE, a nie tylko przez krajowych regulatorów.

Zarządzanie tożsamością i dostępem jako podstawa zgodności

Wśród wszystkich wymogów DORA kluczową rolę odgrywa bezpieczeństwo informacji i ochrona danych w systemach ICT. Zgodnie z artykułem 9 ust. 2 lit. d rozporządzenia, instytucje finansowe muszą zapewnić, aby wszystkie dane były chronione przed ryzykami wynikającymi z błędów w zarządzaniu, nieprawidłowym przetwarzaniem lub czynnikiem ludzkim. W praktyce oznacza to konieczność wdrożenia skutecznych mechanizmów organizacyjnych i technologicznych, które gwarantują integralność, poufność i dostępność danych na każdym etapie ich przetwarzania.

Jednym z najważniejszych elementów tego obowiązku jest kontrola tożsamości i dostępu do systemów ICT. Instytucje powinny stosować odpowiednie rozwiązania uwierzytelniania i autoryzacji, dopasowane do poziomu ryzyka oraz znaczenia chronionych zasobów. Obejmuje to m.in. jasne zasady nadawania i odbierania uprawnień, ograniczenie dostępu zgodnie z zasadą najmniejszych uprawnień, a także regularne przeglądy i audyty dostępu. DORA traktuje te działania nie jako kwestie techniczne, lecz jako element obowiązkowej kontroli ryzyka operacyjnego, podlegający weryfikacji przez organy nadzoru.

Dlaczego DORA ma tak duże znaczenie

DORA odzwierciedla zmianę w sposobie, w jaki Unia Europejska postrzega ryzyko cyfrowe. Cyberodporność jest traktowana jako element stabilności finansowej. Każdy incydent, który zakłóca funkcjonowanie usług cyfrowych, może mieć realne konsekwencje gospodarcze. Dlatego rozporządzenie zastępuje dobrowolne wytyczne wiążącymi, podlegającymi audytowi wymogami.

Dla zespołów ds. bezpieczeństwa i zgodności oznacza to, że odporność operacyjna nie jest już aspiracją, lecz regulacyjnym obowiązkiem. Brak zgodności z DORA może skutkować sankcjami finansowymi, ograniczeniami działalności lub utratą zaufania ze strony klientów i partnerów.

3. Governance & Accountability: Zarządzanie, odpowiedzialność i wymogi dotyczące IAM

Jednym z najważniejszych elementów DORA jest przesunięcie ciężaru odpowiedzialności za bezpieczeństwo cyfrowe z poziomu operacyjnego na strategiczny. Rozporządzenie jednoznacznie określa, że za zgodność i skuteczność wdrożonych środków odpowiada zarząd organizacji. To istotna zmiana w porównaniu z wcześniejszym podejściem, w którym cyberbezpieczeństwo często pozostawało domeną działów IT.

Odpowiedzialność kadry zarządzającej

Zgodnie z artykułem 5 rozporządzenia DORA, to organ zarządzający instytucji finansowej ponosi pełną odpowiedzialność za ustanowienie, zatwierdzenie, nadzorowanie i skuteczne wdrożenie wszystkich rozwiązań wchodzących w skład ram zarządzania ryzykiem ICT. Obejmuje to zarówno procesy techniczne, jak i organizacyjne, które mają zapewnić integralność, dostępność i bezpieczeństwo systemów informatycznych.

Członkowie zarządu są zobowiązani do aktywnego udziału w procesie zarządzania ryzykiem cyfrowym, co oznacza, że muszą rozumieć kluczowe zagrożenia technologiczne i ich wpływ na działalność instytucji. Artykuł 5 ust. 1 jednoznacznie stwierdza, że zarząd ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem ICT. Obejmuje to definiowanie i zatwierdzanie polityk bezpieczeństwa, wyznaczanie jasnych ról i odpowiedzialności w zakresie funkcji ICT oraz zapewnienie odpowiednich mechanizmów nadzoru i raportowania.

W praktyce oznacza to, że zgodność z DORA nie może być traktowana jako obowiązek delegowany wyłącznie na działy IT lub compliance. Kierownictwo najwyższego szczebla musi być w stanie wykazać przed organem nadzoru, że nadzoruje funkcjonowanie systemów bezpieczeństwa, w tym procesy uwierzytelniania, zarządzania dostępem i monitorowania incydentów ICT.

Tym samym DORA wprowadza nowy standard ładu korporacyjnego w sektorze finansowym: odporność cyfrowa staje się integralną częścią zarządzania strategicznego, a odpowiedzialność za nią jest jednoznacznie przypisana członkom zarządu i rady nadzorczej.

Artykuły 20 i 21: Zarządzanie incydentami ICT i ich raportowanie

Artykuły 20 i 21 rozporządzenia DORA, wchodzące w skład rozdziału IV „Information and Communication Technology-related incident management, classification and reporting”, określają obowiązek wdrożenia spójnych procesów reagowania na incydenty ICT oraz ich raportowania do właściwych organów nadzoru. Regulacja wprowadza wspólne wzorce klasyfikacji, formularze zgłoszeń i wymóg przekazywania informacji o incydentach w ujednoliconym formacie w całej Unii Europejskiej.

Choć przepisy te nie odnoszą się bezpośrednio do uwierzytelniania czy zarządzania tożsamością, są z nimi ściśle powiązane. DORA wymaga, aby każde zdarzenie związane z naruszeniem dostępu, błędną autoryzacją lub utratą integralności danych było traktowane jako incydent ICT podlegający analizie i potencjalnemu raportowaniu. Oznacza to, że skuteczne zarządzanie tożsamością i dostępem stanowi nie tylko środek zapobiegawczy, ale również element obowiązku dowodowego, umożliwia szybką identyfikację przyczyn incydentu, ocenę jego wpływu i przygotowanie raportu zgodnego z wymaganiami regulatora.

W szerszym ujęciu artykuły 20 i 21 potwierdzają, że odporność operacyjna nie kończy się na zabezpieczeniach technicznych. Kluczowe jest także posiadanie przejrzystego systemu reagowania, raportowania i uczenia się na incydentach, systemu, który w sposób mierzalny obejmuje również procesy uwierzytelniania i kontroli dostępu.

Silne uwierzytelnianie w kontekście DORA

DORA nie narzuca konkretnej technologii uwierzytelniania, ale wymaga, aby stosowane mechanizmy były odporne na ataki socjotechniczne, kradzież poświadczeń i phishing. W praktyce oznacza to, że proste formy 2FA oparte na SMS lub e-mailu mogą nie spełniać wymogów rozporządzenia, jeśli nie zapewniają kryptograficznego powiązania między użytkownikiem, urządzeniem i systemem.

Silne uwierzytelnianie zgodne z DORA powinno spełniać trzy warunki:

1. Wieloskładnikowość (MFA) – weryfikacja tożsamości oparta na co najmniej dwóch niezależnych czynnikach (np. wiedza, posiadanie, biometryka).
   
   

2. Odporność na phishing i przejęcie sesji – dane uwierzytelniające nie mogą być możliwe do przechwycenia lub ponownego użycia.
   
   

3. Rejestrowalność i dowodliwość – każda próba logowania, udzielenia dostępu lub eskalacji uprawnień musi być zapisana i możliwa do odtworzenia w ramach audytu.

W kontekście DORA silne uwierzytelnianie nie jest więc elementem opcjonalnym, lecz jednym z podstawowych dowodów spełniania wymogów zgodności.

Zarządzanie cyklem życia tożsamości

Wymogi DORA obejmują cały cykl życia tożsamości użytkownika: od momentu jej utworzenia po usunięcie z systemu. Każdy etap musi być kontrolowany i możliwy do odtworzenia. Obejmuje to:

• nadawanie dostępu wyłącznie po weryfikacji tożsamości i zatwierdzeniu przez uprawnione osoby,
  
  

• okresową weryfikację aktywnych kont i ról,
  
  

• natychmiastowe odebranie dostępu po zmianie stanowiska lub odejściu z organizacji,
  
  

• dokumentowanie wszystkich zmian uprawnień i logowań.
  
  

W tym ujęciu DORA wzmacnia zasadę najmniejszych uprawnień (PoLP), wymagając nie tylko jej wdrożenia, ale też udokumentowania sposobu jej egzekwowania. W trakcie audytu instytucja musi być w stanie przedstawić dowód, że każdy użytkownik ma dostęp wyłącznie do niezbędnych zasobów, a każde przyznanie lub cofnięcie uprawnień zostało zarejestrowane.

Audyt i możliwość weryfikacji procesów IAM

Zgodnie z artykułem 6 rozporządzenia DORA (Regulation (EU) 2022/2554), instytucje finansowe są zobowiązane do regularnego audytowania i przeglądania swoich ram zarządzania ryzykiem ICT. Oznacza to konieczność okresowego testowania skuteczności stosowanych mechanizmów bezpieczeństwa, dokumentowania wyników i wprowadzania usprawnień na podstawie wniosków z audytów i incydentów.

W ramach tych działań instytucje muszą utrzymywać kompletną i spójną ewidencję zdarzeń związanych z dostępem i uwierzytelnianiem użytkowników. Logi powinny umożliwiać identyfikację źródła, czasu i charakteru każdej aktywności w systemie, a także być zabezpieczone przed modyfikacją i gotowe do przedstawienia w trakcie kontroli nadzorczej lub audytu wewnętrznego.

Brak pełnych rejestrów, nieaktualne procedury lub brak możliwości odtworzenia historii dostępu mogą zostać uznane przez organ nadzoru za poważne naruszenie zasad zarządzania ryzykiem ICT. Dlatego centralizacja zarządzania tożsamościami i logami stanowi kluczowy element umożliwiający spełnienie wymogów DORA i wykazanie zgodności z przepisami.

4. Co oznacza „silne uwierzytelnianie” w kontekście DORA

Silne uwierzytelnianie to metoda potwierdzania tożsamości użytkownika, w której dostęp do systemu uzyskuje się po spełnieniu co najmniej dwóch niezależnych warunków weryfikacyjnych.
Mogą to być czynniki oparte na wiedzy (np. hasło lub PIN), posiadaniu (np. urządzenie, token, klucz sprzętowy) lub cechach biometrycznych (np. odcisk palca, rozpoznanie twarzy).
Kluczową cechą silnego uwierzytelniania jest to, że utrata wiarygodności jednego czynnika nie prowadzi automatycznie do przejęcia konta ani dostępu do zasobów. Bezpieczeństwo procesu opiera się na tym, że każdy czynnik działa niezależnie, a skuteczna weryfikacja wymaga ich jednoczesnego potwierdzenia.

W ostatnich latach tradycyjne hasła zostały w dużym stopniu zastąpione przez nowoczesne mechanizmy oparte na kryptografii klucza publicznego. Rozwiązania zgodne ze standardami passkeys, opracowanymi przez organizację FIDO Alliance, wykorzystują pary kluczy kryptograficznych, prywatny (zapisany bezpiecznie na urządzeniu użytkownika) i publiczny (przechowywany po stronie systemu). Podczas logowania użytkownik potwierdza swoją tożsamość lokalnie, np. za pomocą biometrii lub kodu urządzenia, a system weryfikuje podpis kryptograficzny, bez przesyłania haseł czy kodów jednorazowych.

Taki model uwierzytelniania jest odporny na phishing, przechwycenie poświadczeń i ataki typu man-in-the-middle, ponieważ klucz prywatny nigdy nie opuszcza urządzenia, a każda sesja logowania jest unikalna.  Technologia passkeys jest obecnie uznawana za wzorzec wdrażania uwierzytelniania odpornego na phishing, zgodnej z zasadami bezpieczeństwa wymaganymi w regulacjach unijnych.

Uwierzytelnianie odporne na phishing

Uwierzytelnianie odporne na phishing to taki sposób logowania, w którym dane uwierzytelniające nie mogą zostać przechwycone ani wykorzystane na fałszywej stronie. System rozpoznaje oryginalną domenę i pozwala na logowanie tylko w zaufanym środowisku.

Powiązanie z wymogami DORA

DORA nakłada na instytucje finansowe obowiązek zapewnienia, że dostęp do danych i systemów jest chroniony przed nieautoryzowanym dostępem, a wszystkie działania użytkowników są kontrolowane i rejestrowane (art. 9 ust. 2 lit. d). Oznacza to, że wdrożenie silnego uwierzytelniania stanowi praktyczny sposób spełnienia kluczowych wymogów DORA w zakresie zarządzania ryzykiem ICT oraz bezpieczeństwa operacyjnego.

Zgodne z duchem DORA silne uwierzytelnianie powinno:

• być spójne w całej organizacji, niezależnie od aplikacji i infrastruktury,
  
  

• zapewniać odporność na phishing i przejęcie sesji,
  
  

• umożliwiać rejestrowanie i audyt wszystkich prób logowania i zmian uprawnień,
  
  

• oraz stanowić integralny element zarządzania ryzykiem ICT.
  
  

W tym kontekście mechanizmy passkeys odpowiadają nie tylko na potrzeby bezpieczeństwa technicznego, ale też na wymogi dowodowe wynikające z DORA. Pozwalają wykazać, że proces uwierzytelniania jest skuteczny, odporny na nadużycia i zgodny z zasadami kontroli opisanymi w rozporządzeniu.

5. Zbieżność DORA z innymi regulacjami

Choć DORA jest rozporządzeniem Unii Europejskiej, jej założenia wpisują się w globalny trend zaostrzania wymogów dotyczących odporności cyfrowej i silnego uwierzytelniania. W różnych częściach świata regulatorzy wprowadzają podobne standardy, w tym obowiązek stosowania wieloskładnikowego, odpornego na phishing uwierzytelniania oraz zarządzania tożsamością w oparciu o zasadę najmniejszych uprawnień.

NIS2 (UE)
Dyrektywa NIS2, obowiązująca od października 2024 r., rozszerza wymogi cyberbezpieczeństwa na inne sektory krytyczne, m.in. energetykę, transport, ochronę zdrowia i administrację publiczną. Choć DORA koncentruje się na sektorze finansowym, oba akty wymagają wdrożenia spójnych mechanizmów zarządzania ryzykiem ICT, silnego uwierzytelniania i szybkiego raportowania incydentów. W praktyce oznacza to, że wiele organizacji objętych NIS2 może wdrożyć te same procedury i narzędzia, które pozwalają spełnić wymogi DORA.

PSD2 (UE)
Dyrektywa PSD2 (Payment Services Directive 2) wprowadziła obowiązek tzw. Strong Customer Authentication (SCA) dla transakcji elektronicznych w usługach płatniczych. Choć PSD2 dotyczy wyłącznie płatności, jej koncepcja wieloskładnikowego uwierzytelniania (wiedza, posiadanie, biometryka) stała się fundamentem standardów bezpieczeństwa, które DORA rozszerza na cały sektor finansowy. Oba akty podkreślają znaczenie kontroli tożsamości, uwierzytelniania oraz rejestrowania operacji dostępowych jako elementu oceny ryzyka.

NYDFS (USA)
Regulacja New York Department of Financial Services Cybersecurity Regulation obowiązuje od 2017 roku i w wielu aspektach wyprzedziła europejskie inicjatywy. Wymaga wdrożenia wieloskładnikowego uwierzytelniania, ochrony przed atakami socjotechnicznymi, zarządzania incydentami oraz nadzoru nad dostawcami. DORA wpisuje się w tę samą filozofię, organizacje mają nie tylko zapobiegać incydentom, ale też dowodzić, że potrafią je wykrywać, klasyfikować i zgłaszać.

W efekcie DORA staje się częścią większej układanki globalnych regulacji dotyczących odporności cyfrowej. Różnice między nimi mają głównie charakter jurysdykcyjny, natomiast podstawowe zasady, silne uwierzytelnianie, audytowalność, kontrola dostępu i ciągłość działania, są wspólne.

6. Plan wdrożenia zgodności z DORA

Budowanie zgodności z DORA nie sprowadza się do jednorazowego projektu technicznego. To proces obejmujący analizę ryzyka, modernizację procesów uwierzytelniania, dostosowanie polityk wewnętrznych i stworzenie spójnego systemu nadzoru nad bezpieczeństwem cyfrowym. Wdrożenie zgodności wymaga zrozumienia, że odporność operacyjna to nie stan, lecz zdolność do stałego reagowania i adaptacji.

Pierwszym krokiem jest ocena dojrzałości organizacji w kontekście wymogów rozporządzenia. Instytucje powinny określić, które elementy zarządzania ryzykiem ICT już spełniają wymogi DORA, a które wymagają wzmocnienia. W praktyce oznacza to przegląd wszystkich procesów uwierzytelniania, nadawania uprawnień, zarządzania incydentami oraz rejestrowania zdarzeń.

Drugim elementem jest formalizacja ram zarządzania ryzykiem ICT. Organizacje muszą nie tylko posiadać procedury, ale też potrafić wykazać ich skuteczność i spójność. Ramy te powinny obejmować zarówno techniczne, jak i organizacyjne aspekty bezpieczeństwa: kontrolę dostępu, reagowanie na incydenty, polityki nadawania i odbierania uprawnień, a także procesy testowania skuteczności zabezpieczeń.

Kolejnym krokiem jest wdrożenie silnego uwierzytelniania zgodnego z wymogami DORA. Instytucje finansowe muszą odejść od mechanizmów opartych wyłącznie na hasłach lub kodach SMS i zastąpić je rozwiązaniami opartymi na kryptografii, takimi jak FIDO2 lub passkeys. Istotne jest przy tym, aby proces uwierzytelniania obejmował wszystkie systemy – zarówno nowoczesne, jak i starsze aplikacje legacy – bez potrzeby ich modyfikowania.

Równolegle należy zadbać o centralizację logów i audytowalność procesów tożsamości i dostępu. Każda instytucja objęta DORA musi być w stanie jednoznacznie wskazać, kto, kiedy i w jakim zakresie uzyskał dostęp do danego zasobu. Dane te muszą być bezpiecznie przechowywane, nienaruszalne i gotowe do przedstawienia w trakcie kontroli nadzorczej. Brak spójnych logów lub niemożność odtworzenia historii dostępu może być uznana przez organ nadzoru za poważne naruszenie.

Ostatnim elementem jest testowanie odporności i utrzymanie zgodności w czasie. Proces zgodności nie kończy się w momencie wdrożenia technologii. Instytucje muszą regularnie weryfikować skuteczność swoich zabezpieczeń, analizować raporty z incydentów i aktualizować swoje polityki w odpowiedzi na zmieniające się zagrożenia.

W efekcie zgodność z DORA nie jest zbiorem jednorazowych działań, lecz kulturą organizacyjną, w której bezpieczeństwo cyfrowe, zarządzanie ryzykiem i uwierzytelnianie stają się integralną częścią codziennego funkcjonowania instytucji. To właśnie takie podejście pozwala nie tylko spełnić wymogi regulacyjne, lecz także realnie zwiększyć odporność operacyjną i zaufanie klientów.

7. Najczęstsze błędy i luki audytowe

Wdrożenie zgodności z DORA to dla wielu organizacji nie tylko kwestia spełnienia wymogów prawnych, lecz także test dojrzałości operacyjnej. Choć rozporządzenie jest jednoznaczne w swoich celach, praktyka pokazuje, że wiele instytucji popełnia te same błędy, szczególnie w obszarach tożsamości, uwierzytelniania i audytowalności procesów.

Najczęstsze błędy we wdrażaniu DORA

1. Traktowanie DORA jako projektu IT, a nie inicjatywy strategicznej
   Największym błędem jest przekonanie, że zgodność z DORA to zadanie wyłącznie dla działu bezpieczeństwa lub IT. Tymczasem odpowiedzialność spoczywa na zarządzie. Brak zaangażowania kierownictwa skutkuje fragmentarycznym wdrożeniem i brakiem spójności między politykami bezpieczeństwa, a faktyczną praktyką organizacji.
   
   

2. Pomijanie aplikacji legacy w procesie uwierzytelniania
   Wiele instytucji wdraża silne uwierzytelnianie wyłącznie dla nowoczesnych systemów, pomijając starsze aplikacje, które często przechowują najbardziej wrażliwe dane. Tymczasem DORA nie rozróżnia między systemami nowymi a przestarzałymi. Wszystkie muszą być objęte ochroną i centralnym nadzorem.
   
   

3. Brak spójnych logów i centralnej ewidencji dostępu
   Częstym problemem podczas audytu jest brak pełnych danych dotyczących tego, kto, kiedy i do jakiego systemu uzyskał dostęp. Fragmentaryczne logi, brak korelacji między systemami lub niemożność ich odtworzenia to typowa luka, która może zostać uznana przez regulatora za poważne naruszenie zasad zarządzania ryzykiem ICT.
   
   

4. Utożsamianie MFA z bezpieczeństwem odpornym na phishing
   Nie każda forma wieloskładnikowego uwierzytelniania spełnia wymogi DORA. Rozwiązania oparte na hasłach, kodach SMS czy aplikacjach push nie gwarantują kryptograficznego powiązania tożsamości użytkownika z jego urządzeniem. Regulacja oczekuje mechanizmów odpornych na phishing – takich, które eliminują możliwość przejęcia poświadczeń.
   
   

5. Brak regularnych testów odporności i przeglądów polityk bezpieczeństwaZarządzanie ryzykiem ICT w rozumieniu DORA to proces ciągły. Organizacje, które ograniczają się do jednorazowej certyfikacji lub audytu, ryzykują utratę zgodności już po kilku miesiącach. Wymóg regularnego przeglądu polityk, testów penetracyjnych i aktualizacji procedur jest kluczowy dla utrzymania zgodności w czasie.

Typowe luki audytowe

Poniżej przedstawiono najczęściej wskazywane braki z raportu European Central Bank – *IT and Cybersecurity Risks: Key Observations 2024.

1. Brak kontroli nad dostępami
   W wielu organizacjach pracownicy i administratorzy mają zbyt szerokie uprawnienia. Brakuje centralnego systemu kontroli, który pokazuje, kto ma dostęp do jakich danych i dlaczego.
   
   

2. Niepełna rejestracja zdarzeń bezpieczeństwa
   Nie wszystkie systemy zapisują informacje o logowaniach i działaniach użytkowników. Część danych nie trafia do centralnych raportów, przez co trudno później ustalić, co dokładnie się wydarzyło.
   
   

3. Słaby nadzór nad dostawcami zewnętrznymi
   Firmy często nie wiedzą dokładnie, jak ich dostawcy chronią dane i jak reagują na incydenty. Brakuje stałego monitorowania i jasnych zasad współpracy w sytuacjach awaryjnych.
   
   

4. Nieaktualne procedury po incydentach
   Plany działania w razie awarii lub cyberataku często są nieaktualne lub nigdy nie były testowane. Czasem nie ma też ustalonych zasad komunikacji w sytuacji kryzysowej.
   
   

5. Brak porządku w danych i systemach
   Nie wszystkie instytucje wiedzą dokładnie, które dane są najważniejsze i gdzie się znajdują. To utrudnia reagowanie na incydenty i ocenę ryzyka.
   
   

6. Niewystarczające przygotowanie do nowych zasad raportowania DORA
   Część organizacji nie ma jeszcze gotowych procesów, które pozwolą im zgłaszać incydenty zgodnie z nowymi wymogami DORA, we właściwym formacie i czasie.
   
   

8. Jak Secfense wspiera zgodność z DORA w obszarze IAM i uwierzytelniania

Rozporządzenie DORA wymaga, aby procesy zarządzania tożsamością i dostępem (IAM) były spójne, audytowalne i odporne na błędy ludzkie. Organizacje muszą zapewnić jednolite polityki uwierzytelniania dla wszystkich systemów, nowoczesnych, chmurowych i starszych (legacy), oraz pełną możliwość śledzenia i raportowania każdej próby dostępu.

Secfense wspiera spełnienie tych wymogów, dostarczając warstwę bezpieczeństwa wdrażaną bez zmian w kodzie aplikacji, która centralizuje kontrolę nad tożsamością i uwierzytelnianiem w całym środowisku.

Dzięki temu instytucje finansowe mogą:

• Wykorzystywać silne uwierzytelnianie we wszystkich aplikacjach, także tych, które nie posiadają natywnego wsparcia dla nowoczesnych metod logowania.
  
  

• Zarządzać politykami dostępu centralnie, za pomocą jednego panelu administracyjnego, co upraszcza zgodność z DORA i zapewnia spójność konfiguracji w całym środowisku.
  
  

• Rejestrować i monitorować wszystkie zdarzenia uwierzytelniania, tworząc spójny i niezmienny zapis audytowy wymagany przez organy nadzoru.
  
  

• Wymuszać zasadę najmniejszych uprawnień (PoLP) i natychmiast odbierać dostęp po zmianie roli, odejściu pracownika lub wykryciu incydentu.
  
  

• Zintegrować uwierzytelnianie z istniejącą infrastrukturą, w tym z Active Directory, SAML, OpenID Connect, SIEM oraz IdP, bez przerywania działania usług.
  
  

• Zabezpieczyć działania wysokiego ryzyka poprzez mikroautoryzacje, które wymagają ponownego potwierdzenia tożsamości przy próbach wykonania krytycznych operacji.
  
  

Każdy krok uwierzytelniania obsługiwany przez Secfense jest rejestrowany, opatrzony znacznikiem czasu i dostępny do wglądu audytora. W praktyce oznacza to, że organizacja może natychmiast wykazać zgodność z wymogami DORA dotyczącymi zarządzania dostępem, rejestrowania działań użytkowników i kontroli ryzyka ICT.

DORA kładzie nacisk na odporność operacyjną i ciągłość działania. Architektura Secfense została zaprojektowana tak, aby wspierać te cele. Może działać jako warstwa pośrednia (reverse proxy) lub własny system tożsamości (IdP), zapewniając elastyczność i bezpieczeństwo bez przerywania pracy systemów.

Dzięki temu instytucje finansowe i ich dostawcy ICT mogą realizować wymagania rozporządzenia DORA w sposób mierzalny, audytowalny i zgodny z zasadą „zero disruption”, wzmacniając bezpieczeństwo bez wpływu na codzienne operacje.

9. Przykłady wdrożeń: Silne uwierzytelnianie w praktyce

Wdrożenia realizowane przez Secfense w europejskich instytucjach finansowych pokazują, że dostosowanie systemów do wymogów DORA nie musi oznaczać skomplikowanych projektów informatycznych. Kluczową zaletą podejścia Secfense jest możliwość wdrożenia silnego uwierzytelniania bez ingerencji w kod aplikacji, bez przestojów w pracy i bez ryzyka utraty zgodności z obowiązującymi regulacjami.

Duży europejski bank

Jedna z największych instytucji bankowych w Europie wdrożyła rozwiązanie Secfense, aby zastąpić tradycyjne hasła nowoczesnym uwierzytelnianiem opartym na passkeys (FIDO2). Cały proces został przeprowadzony bez przerywania pracy systemów produkcyjnych i bez modyfikacji aplikacji. Architektura reverse proxy pozwoliła na zabezpieczenie zarówno wewnętrznych systemów pracowniczych, jak i aplikacji zewnętrznych używanych przez klientów korporacyjnych. Efektem było pełne dostosowanie procesów uwierzytelniania i zarządzania dostępem do wymogów DORA, a także przygotowanie środowiska do całkowitego przejścia na logowanie bezhasłowe.

Wiodący ubezpieczyciel w Europie Środkowo-Wschodniej

W jednej z największych firm ubezpieczeniowych w regionie wdrożono Secfense, aby zapewnić silne uwierzytelnianie dla pracowników, agentów i klientów końcowych. Projekt obejmował tysiące użytkowników i kilkadziesiąt systemów działających w różnych środowiskach – lokalnych i chmurowych – i został zakończony w ciągu kilku tygodni. Dzięki integracji z istniejącą infrastrukturą, w tym load balancerami, całość wdrożono bez przestojów i bez ingerencji w kod. Uwierzytelnianie oparte na FIDO2 i innych metodach MFA umożliwiło spełnienie wymogów DORA w zakresie silnego uwierzytelniania, rejestrowania zdarzeń oraz kontroli tożsamości i dostępu.

Dostawca oprogramowania dla sektora finansowego

Wiodący dostawca oprogramowania dla branży ubezpieczeniowej wdrożył Secfense, aby w krótkim czasie zabezpieczyć swoje środowisko aplikacyjne przed nieautoryzowanym dostępem.
Rozwiązanie objęło ponad dwadzieścia systemów używanych przez kilka tysięcy użytkowników. Dzięki podejściu „no-code” i możliwości wdrożenia w warstwie sieciowej, całość projektu została zrealizowana w ciągu kilku tygodni. Organizacja uzyskała pełną widoczność i kontrolę nad dostępami, zintegrowała procesy z istniejącymi narzędziami nadzoru, a także spełniła wymogi DORA w zakresie raportowania incydentów i audytowalności logowań.

Wspólne wnioski z wdrożeń

Wszystkie te przypadki pokazują, że zgodność z DORA w obszarze zarządzania tożsamością i dostępem można osiągnąć bez kosztownych zmian w infrastrukturze.
Najważniejsze elementy, które przesądziły o sukcesie projektów, to:

• Szybkość wdrożenia – projekty realizowane w tygodniach, a nie miesiącach, bez przestojów w działaniu.
  
  

• Bez ingerencji w aplikacje – brak konieczności modyfikowania kodu i ryzyka dla produkcji.
  
  

• Centralizacja i audytowalność – jednolita kontrola dostępu, pełna rejestrowalność i natychmiastowa gotowość do kontroli regulatora.

Wdrożenia te pokazują, że zgodność z DORA nie jest jednorazowym projektem, lecz procesem, takim, który można realizować etapami, w sposób bezpieczny, przewidywalny i skalowalny. Secfense pozwala instytucjom finansowym przejść tę drogę od tradycyjnego uwierzytelniania do pełnej odporności operacyjnej, bez konieczności przebudowy całej infrastruktury.

10. Podsumowanie i kolejne kroki

DORA to nie tylko zbiór wymagań dla instytucji finansowych, ale także kierunek, w którym zmierza cały sektor bezpieczeństwa cyfrowego. Regulacja wymaga, aby organizacje potrafiły chronić swoje systemy, kontrolować dostęp i reagować na incydenty w sposób szybki i udokumentowany. W praktyce oznacza to potrzebę silnego uwierzytelniania, jasnych zasad nadawania uprawnień i możliwości pokazania, kto, kiedy i do czego miał dostęp.

Secfense pomaga organizacjom spełnić te wymagania bez konieczności przebudowy aplikacji i bez zakłóceń w pracy systemów. Rozwiązanie pozwala wprowadzić silne uwierzytelnianie do wszystkich aplikacji, zarówno nowych, jak i starszych, oraz zarządzać dostępem z jednego miejsca. Dzięki temu firmy mogą zwiększyć poziom bezpieczeństwa, uprościć procesy i mieć pewność, że ich środowisko spełnia wymogi DORA.

Jeśli Twoja organizacja przygotowuje się do audytu lub planuje wzmocnić swoje zabezpieczenia, warto porozmawiać z zespołem Secfense. Nasi specjaliści pomogą zaplanować i wdrożyć rozwiązanie, które ułatwi spełnienie wymagań DORA i jednocześnie poprawi codzienne bezpieczeństwo użytkowników.

Skontaktuj się z zespołem Secfense, aby dowiedzieć się, jak w prosty sposób wprowadzić silne uwierzytelnianie i spełnić wymogi DORA.