Home  ›  Aktualności  ›  Wdrożenie BCM w kontekście wymogów DORA – jak zapewnić zgodność i bezpieczeństwo operacyjne?

Wdrożenie BCM w kontekście wymogów DORA – jak zapewnić zgodność i bezpieczeństwo operacyjne?

Wyślij link znajomemu

Nowe obowiązki w zakresie zarządzania ciągłością działania wprowadzone przez DORA

Wraz z wejściem w życie regulacji DORA (Digital Operational Resilience Act) instytucje finansowe i dostawcy usług ICT stoją przed nowymi wyzwaniami w zakresie zarządzania ciągłością działania. Kluczowym elementem spełnienia wymagań DORA jest wdrożenie BCM (Business Continuity Management), które pozwala na zapewnienie odporności operacyjnej, poprzez skuteczne reagowanie na incydenty, cyberataki oraz inne zagrożenia technologiczne.

Wdrożenie BCM (Business Continuity Management) pozwala spełnić konkretne wymogi DORA i towarzyszącego jej RTS 2024/1774 (Regulatory Technical Standards) oraz zapewnić organizacji stabilność w sytuacjach kryzysowych. RTS 2024/1774 to uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554, określające regulacyjne standardy techniczne w zakresie narzędzi, metod, procesów i polityk zarządzania ryzykiem związanym z ICT oraz uproszczone ramy zarządzania tym ryzykiem. Dokument ten precyzuje szczegółowe wymagania dotyczące odporności cyfrowej, testowania systemów ICT oraz zarządzania ryzykiem operacyjnym.

Czym jest regulacja DORA?

DORA to unijne rozporządzenie, które ustanawia jednolite ramy zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) w sektorze finansowym. Jego celem jest zwiększenie odporności operacyjnej instytucji finansowych oraz ich kluczowych dostawców ICT, tak aby mogły skutecznie funkcjonować w warunkach kryzysowych, nawet podczas incydentów cybernetycznych, awarii technologicznych czy innych zakłóceń. Zakres regulacji DORA obejmuje:

  • instytucje finansowe – banki, instytucje kredytowe, zakłady ubezpieczeń, fundusze inwestycyjne i firmy inwestycyjne,
  • podmioty FinTech – instytucje płatnicze, operatorzy kryptoaktywów, dostawcy usług finansowych opartych na technologii,
  • zewnętrznych dostawców usług ICT – dostawców chmury, systemów analitycznych, bezpieczeństwa IT i innych kluczowych technologii dla sektora finansowego.

DORA wykracza poza standardowe regulacje dotyczące cyberbezpieczeństwa, wprowadzając holistyczne podejście do odporności operacyjnej. Organizacje finansowe zostały zobligowane do wdrożenia kompleksowej strategii zarządzania ciągłością działania, obejmującej nie tylko zarządzanie incydentami ICT, ale także szeroko pojęte ryzyko operacyjne wynikające z awarii technologicznych, błędów ludzkich czy współzależności z dostawcami zewnętrznymi.
Właśnie w tym kontekście kluczową rolę odgrywa Business Continuity Management (BCM), który integruje wymogi DORA z praktykami zarządzania ciągłością działania, umożliwiając instytucjom finansowym nie tylko spełnienie regulacyjnych standardów, ale także realne zwiększenie odporności operacyjnej i bezpieczeństwa funkcjonowania.

Co to jest BCM i dlaczego jest istotny?

BCM (Business Continuity Management) to systemowe podejście do zarządzania ciągłością działania organizacji, mające na celu zapewnienie odporności operacyjnej oraz zdolności do kontynuowania kluczowych procesów w sytuacjach kryzysowych.

Wdrożenie BCM w ramach regulacji DORA wymaga opracowania szeregu strategii, polityk i procedur, które umożliwiają organizacji szybkie i skuteczne reagowanie na incydenty. Kluczowe elementy dokumentacji BCM obejmują m.in.:

  • Strategię na rzecz ciągłości działania w zakresie ICT,
  • Politykę ciągłości działania,
  • Politykę zarządzania zasobami ICT,
  • Analizę wpływu na biznes (BIA, Business Impact Analysis),
  • Plan reagowania i przywracania sprawności ICT (DRP),
  • Plan ciągłości działania (BCP),
  • Plan działań informacyjnych,
  • Plan testów planów ciągłości działania oraz testów strategii komunikacyjnych,
  • Plany wyjścia i przejścia dla dostawców usług ICT,

Każdy z tych dokumentów znajduje swoje odzwierciedlenie w przepisach DORA oraz towarzyszących jej Regulacyjnych Standardach Technicznych (RTS), które precyzują szczegółowe wymagania dotyczące odporności cyfrowej oraz zarządzania incydentami i ciągłością działania. Kompleksowa dokumentacja w tym zakresie nie tylko umożliwia spełnienie regulacyjnych wymogów, ale także wzmacnia odporność organizacji na zakłócenia operacyjne i cyberzagrożenia, minimalizując ryzyko przestojów i ich konsekwencji.

Warto podkreślić, że obowiązek zapewnienia ciągłości działania wynika nie tylko z DORA, ale również z dyrektywy NIS 2, która – choć nie zawiera tak szczegółowych wytycznych jak DORA – wymaga wdrożenia kompleksowego systemu zarządzania ciągłością działania zgodnego z ISO 22301.

Jak BCM wspiera odporność operacyjną wymaganą przez DORA?

Regulacja DORA nakłada szereg wymogów w zakresie zarządzania ryzykiem ICT i odporności operacyjnej, które organizacje finansowe muszą spełnić. Kluczową rolę w tym procesie odgrywa Zarządzanie Ciągłością Działania (BCM), które pozwala na skuteczne przeciwdziałanie zagrożeniom, minimalizację wpływu incydentów oraz utrzymanie kluczowych funkcji biznesowych w sytuacjach kryzysowych.

Identyfikacja krytycznych funkcji – Analiza BIA

DORA nakłada obowiązek szczegółowej identyfikacji kluczowych procesów i ich zależności technologicznych (DORA art. 11.5). O tym, co oznacza „krytyczna funkcja biznesowa według” DORA można przeczytać w naszym artykule „Które funkcje biznesowe należy uznać za krytyczne?”

Wdrożenie Analizy Wpływu na Biznes (BIA) w ramach BCM umożliwia:

  • określenie istotnych i krytycznych funkcji biznesowych oraz ich zasobów, w tym: personelu, lokalizacji, zasobów informacyjnych, infrastruktury IT oraz dostawców,
  • mapowanie zależności między procesami wewnętrznymi a zewnętrznymi dostawcami usług ICT,
  • identyfikację potencjalnych skutków przestoju dla działalności operacyjnej, sytuacji finansowej, zgodności regulacyjnej oraz reputacji organizacji.

Zgodnie z wymaganiami art. 8 DORA i art. 4 RTS 2024/1774, BIA powinna dostarczyć następujące kluczowe udokumentowane informacje:

  • wykaz funkcji biznesowych wspieranych przez systemy ICT,
  • rejestr zasobów ICT, ich konfiguracji oraz wzajemnych powiązań,
  • lista procesów zależnych od dostawców usług ICT, kluczowych dla operacyjnej ciągłości działania.

Ponadto BIA stanowi podstawę do opracowania Planu Ciągłości Działania (BCP), Planu Odtworzenia po Awarii (DRP) oraz do przeprowadzenia analizy ryzyka ICT. Analiza ta umożliwia organizacjom skuteczne zarządzanie ryzykiem operacyjnym i minimalizację ryzyka zakłóceń ICT.

Więcej o Analizie BIA, jej kluczowych etapach i metodach wdrażania znajduje się w naszym artykule: „Analiza BIA – fundament zarządzania ciągłością działania”

ᐅ Wdrożenie dokumentacji BCM i regularne testowanie odporności operacyjnej

DORA wymaga, aby organizacje posiadały dokumenty dotyczące zarządzania ciągłością działania wymienione na początku tego artykułu. Każdy z tych dokumentów znajduje swoje odzwierciedlenie w konkretnych artykułach DORA oraz towarzyszących jej Regulacyjnych Standardach Technicznych (RTS 2024/1774), które szczegółowo określają zakres ich wdrożenia, testowania oraz aktualizacji.

Testowanie odporności operacyjnej stanowi kluczowy element BCM, który pozwala organizacjom finansowym zweryfikować skuteczność wdrożonych strategii, planów i procedur oraz zdolność do reakcji na różnorodne zagrożenia operacyjne i cybernetyczne. DORA oraz RTS 2024/1774 nakładają obowiązek cyklicznego testowania systemów ICT, ale także ogólnych mechanizmów zarządzania kryzysowego, aby zapewnić stabilność i ciągłość kluczowych procesów biznesowych.

W maju 2025 roku Europejski Urząd Nadzoru Bankowego (EBA) opublikował zaktualizowane wytyczne dotyczące zarządzania ryzykiem ICT i bezpieczeństwa. Choć dokument ten skupia się przede wszystkim na zarządzaniu ryzykiem i bezpieczeństwem informacji, jego zapisy – uzupełniające ramy regulacyjne DORA – podkreślają znaczenie mechanizmów testowania odporności operacyjnej, w tym planów ciągłości działania w obszarze ICT.

Zobacz raport EBA – Final report on amending Guidelines on ICT risk and security management

Wymagania dotyczące testowania odporności operacyjnej obejmują:

  • przeprowadzanie testów symulacyjnych – obejmujących scenariusze rzeczywistych incydentów operacyjnych i cyberataków,
  • testowanie przełączeniowe na systemy zapasowe – weryfikacja zdolności organizacji do przełączania się na alternatywne rozwiązania technologiczne,
  • weryfikację skuteczności rozwiązań zawartych w dokumentach tj: Plan Ciągłości Działania (BCP), Plan Odtworzenia po Awarii (DRP), Procedura zarządzania incydentami ICT, Plany wyjścia i przejścia dla dostawców usług ICT,
  • przegląd strategii komunikacyjnych w ramach Planu działań informacyjnych, zapewniających odpowiednią koordynację wymiany informacji i działań w czasie sytuacji kryzysowych,
  • wdrożenie Programu testowania odporności cyfrowej, który obejmuje szeroki zakres analiz i testów bezpieczeństwa systemów ICT oraz scenariuszy ryzyka operacyjnego.

Testowanie odporności operacyjnej powinno być przeprowadzane:

  • co najmniej raz w roku – dla wszystkich systemów i aplikacji ICT wspierających krytyczne funkcje,
  • po każdej istotnej zmianie w infrastrukturze ICT, procesach operacyjnych lub strategiach zarządzania kryzysowego,
  • w sposób dostosowany do skali i charakteru działalności organizacji – z uwzględnieniem specyfiki ryzyka, jakie może dotknąć dany podmiot.

DORA wymaga, aby wyniki testowania były dokumentowane i wykorzystywane do udoskonalenia strategii zarządzania ryzykiem oraz odporności operacyjnej. Obejmuje to:

  • identyfikację i eliminację wykrytych słabych punktów w systemach i procedurach,
  • zgłaszanie wyników testów organowi zarządzającemu oraz wdrażanie rekomendowanych działań naprawczych,
  • przegląd strategii ciągłości działania na podstawie testowanych scenariuszy i realnych incydentów.

ᐅ Zarządzanie sytuacjami kryzysowymi

Skuteczne zarządzanie sytuacjami kryzysowymi w ramach BCM obejmuje koordynację działań operacyjnych, szybkie podejmowanie decyzji oraz zapewnienie sprawnej komunikacji wewnętrznej i zewnętrznej. DORA wymaga, aby organizacje posiadały jasno określone procedury zarządzania zakłóceniami, które obejmują nie tylko incydenty ICT, ale także inne sytuacje operacyjne wpływające na ciągłość działalności.

Kluczowe elementy zarządzania sytuacjami kryzysowymi w ramach DORA to:

  • aktywacja planów kryzysowych – uruchamianie odpowiednich mechanizmów zarządzania w odpowiedzi na incydent,
  • priorytetyzacja działań odtworzeniowych – identyfikacja kluczowych procesów i zasobów wymagających natychmiastowej reakcji,
  • zarządzanie komunikacją – zapewnienie skutecznej wymiany informacji na wszystkich szczeblach organizacji oraz z interesariuszami zewnętrznymi. Wymaga jasno określonych procedur informowania o sytuacjach kryzysowych, w tym poważnych incydentach ICT, a także aktualnych list kontaktów wewnętrznych i zewnętrznych oraz mechanizmów eskalacji, które umożliwiają odpowiednią reakcję i skuteczną koordynację działań,
  • dokumentacja i analiza skuteczności działań – prowadzenie ewidencji działań przed, w trakcie i po zakłóceniu, co umożliwia wyciągnięcie wniosków i wdrożenie działań usprawniających,
  • testowanie procedur zarządzania kryzysowego – regularne przeprowadzanie ćwiczeń, w tym symulacji kryzysowych.

Ważnym aspektem jest rozróżnienie między zarządzaniem sytuacjami kryzysowymi a zarządzaniem incydentami ICT. Incydenty ICT są traktowane jako specyficzna kategoria zakłóceń, wymagająca dedykowanej Procedury zarządzania incydentami ICT, obejmującej m.in. identyfikację, śledzenie, rejestrowanie, kategoryzację oraz podejmowanie działań naprawczych. Natomiast zarządzanie kryzysowe obejmuje szeroki zakres zagrożeń operacyjnych, które mogą zakłócić działalność organizacji. Dotyczy to awarii infrastruktury ICT, utraty dostępu do kluczowych zasobów, awarii obiektów biurowych i ośrodków przetwarzania danych, problemów z personelem krytycznym oraz przerw w dostawie energii. Ponadto uwzględnia również zdarzenia losowe, takie jak klęski żywiołowe, pandemie, ataki fizyczne czy degradację środowiska. W przypadku organizacji korzystających z zewnętrznych dostawców usług ICT zarządzanie kryzysowe musi uwzględniać nagłe i nieprzewidziane zdarzenia wpływające na ciągłość działania, takie jak awarie infrastruktury dostawcy, jego niewypłacalność, nagłe zakończenie świadczenia usług czy przerwy w funkcjonowaniu kluczowych centrów danych. W takich sytuacjach konieczne jest szybkie uruchomienie planów awaryjnych, przełączenie na alternatywnych dostawców lub wdrożenie strategii wyjścia, aby zminimalizować wpływ zakłóceń na operacje organizacji.

bcm wdrożenie

Bezpłatna konsultacja – wypełnij formularz

 

ᐅ Zarządzanie incydentami ICT jako element BCM

Efektywne zarządzanie incydentami ICT to kluczowy element odporności operacyjnej, ściśle powiązany z Business Continuity Management (BCM). Choć DORA traktuje zarządzanie incydentami ICT jako odrębny obszar (ROZDZIAŁ III – Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie), to nie można oddzielić go od ogólnej strategii zarządzania ciągłością działania. Incydenty ICT – takie jak cyberataki, awarie systemów IT czy utrata danych – mogą prowadzić do kryzysów operacyjnych, które wymagają uruchomienia Planu Ciągłości Działania (BCP) i Planu Odtworzenia po Awarii (DRP).

Zgodnie z art. 17 DORA zobowiązuje podmioty finansowe do wdrożenia procesu zarządzania incydentami ICT, obejmującego:

  • system monitorowania i wczesnego ostrzegania – organizacje powinny wdrożyć mechanizmy pozwalające na szybkie wykrywanie anomalii i potencjalnych zagrożeń, które mogą skutkować incydentem,
  • formalną procedurę rejestrowania, klasyfikowania i śledzenia incydentów – podmioty muszą prowadzić rejestr incydentów ICT i stosować jednolite kryteria klasyfikacji, uwzględniające m.in. czas trwania zakłócenia, jego wpływ na działalność oraz skutki finansowe i reputacyjne,
  • procedurę reagowania na incydenty ICT – określającą działania, które należy podjąć, aby zminimalizować wpływ zakłócenia na działalność organizacji oraz szybko przywrócić kluczowe funkcje biznesowe,
  • mechanizmy eskalacji i powiadamiania – organizacje muszą wdrożyć plany informacyjne i wewnętrzne ścieżki eskalacji, aby zapewnić odpowiednią reakcję na incydenty ICT, zgodnie z wymaganiami DORA.

Zgodnie z najlepszymi praktykami w zarządzaniu odpornością operacyjną, incydenty ICT nie mogą być traktowane jako wydarzenia izolowane – powinny być uwzględniane w całościowej strategii ciągłości działania w następujących obszarach BCM:

  • analiza wpływu incydentu na działalność (BIA) – wszystkie poważne incydenty ICT powinny być oceniane pod kątem ich wpływu na krytyczne funkcje organizacji,
  • testowanie strategii reagowania i odtwarzania – organizacje powinny przeprowadzać symulacje incydentów ICT, weryfikując skuteczność swoich planów ciągłości działania oraz planów reagowania na cyberataki,
  • stałe doskonalenie procedur i aktualizacja dokumentacji – na podstawie analizy rzeczywistych incydentów organizacja powinna aktualizować swoje procedury reagowania i odtwarzania, zapewniając ich zgodność z wymogami DORA.

Dzięki wdrożeniu skutecznej Procedury zarządzania incydentami ICT, organizacje finansowe mogą szybko identyfikować, kategoryzować i zgłaszać incydenty zgodnie z wymaganiami DORA, zapewniając pełną kontrolę nad ich przebiegiem oraz zgodność z przepisami dotyczącymi raportowania do regulatorów. Jednak aby skutecznie minimalizować wpływ incydentów ICT na działalność operacyjną, organizacje muszą integrować te działania z Planem Odtworzenia po Awarii (DRP) oraz Planem Ciągłości Działania (BCP), które określają sposoby przywrócenia funkcji biznesowych i systemów ICT po zakłóceniu.

ᐅ Zarządzanie ryzykiem dostawców ICT

Organizacje finansowe muszą opracować kompleksowe strategie wyjścia i przejścia dla dostawców ICT, które uwzględniają ryzyko operacyjne związane z awarią usługodawców, pogorszeniem jakości świadczonych usług ICT oraz wszelkimi zakłóceniami wynikającymi z niewłaściwego świadczenia usług.

Strategie wyjścia muszą zapewniać możliwość wycofania się z ustaleń umownych bez:

  • powodowania zakłóceń w działalności,
  • ograniczania zgodności z wymogami regulacyjnymi,
  • szkody dla ciągłości i jakości usług świadczonych na rzecz klientów.

W ramach zarządzania dostawcami ICT organizacje powinny:

  • opracować plany przejściowe, które umożliwią odbiór usług ICT i danych od zewnętrznych dostawców oraz ich bezpieczne przekazanie alternatywnym dostawcom lub włączenie do własnej struktury wewnętrznej,
  • testować plany wyjścia i przejścia w celu minimalizacji ryzyka przerw w działalności ICT,
  • zidentyfikować alternatywnych dostawców ICT, którzy mogą przejąć świadczenie kluczowych usług w przypadku konieczności migracji,
  • zapewnić odpowiedni okres przejściowy, w którym dostawca ICT nadal świadczy swoje usługi, aby uniknąć nagłych przerw operacyjnych.

Testowanie tych planów powinno obejmować scenariusze, w których:

  • główny dostawca ICT ulega awarii lub kończy współpracę,
  • konieczne jest przełączenie na alternatywne rozwiązanie w trybie awaryjnym,
  • dane i usługi ICT muszą zostać odzyskane i przeniesione do innego systemu.

ᐅ Szkolenie i świadomość personelu w ramach BCM

Wdrożenie skutecznego Business Continuity Management (BCM) zgodnie z wymogami DORA wymaga nie tylko opracowania odpowiednich procedur i strategii, ale także zapewnienia, że wszyscy pracownicy organizacji mają odpowiednie kompetencje w zakresie zarządzania sytuacjami kryzysowymi oraz incydentami ICT. Zgodnie z DORA podmioty finansowe zobowiązane są do wdrożenia programów szkoleniowych, które obejmują zwiększanie świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej.

DORA wymaga, aby organizacje finansowe zapewniły regularne szkolenia oraz programy podnoszenia świadomości dla całego personelu, w tym kadry kierowniczej wyższego szczebla. Szkolenia te powinny być dostosowane do funkcji pełnionych przez pracowników i obejmować:

  • podstawowe szkolenia dla wszystkich pracowników, koncentrujące się na kluczowych zasadach zarządzania incydentami ICT, odporności operacyjnej i procedurach postępowania w sytuacjach kryzysowych,
  • zaawansowane szkolenia dla kadry kierowniczej, obejmujące strategie decyzyjne, procesy eskalacji oraz odpowiedzialność menedżerską w zakresie odporności operacyjnej,
  • specjalistyczne szkolenia dla pracowników technicznych, koncentrujące się na cyberbezpieczeństwie, analizie zagrożeń oraz reagowaniu na incydenty ICT,
  • szkolenia dla dostawców ICT, które w uzasadnionych przypadkach powinny obejmować kluczowych zewnętrznych usługodawców.

    • DORA nakłada obowiązek zapewnienia odpowiedniego budżetu na potrzeby szkoleń oraz programów zwiększania świadomości w zakresie odporności operacyjnej, bezpieczeństwa ICT oraz procedur BCM.

    Zgodnie z DORA, same szkolenia nie są wystarczające – organizacje muszą regularnie testować wiedzę pracowników oraz sprawdzać ich zdolność do reagowania na rzeczywiste zagrożenia. W tym celu należy:

    • przeprowadzać ćwiczenia symulacyjne, które obejmują zarówno scenariusze cyberataków, jak i awarie operacyjne.
    • testować zdolność personelu do przestrzegania procedur BCM, w tym szybkiej reakcji na incydenty oraz eskalacji problemów,
    • monitorować postępy pracowników i weryfikować skuteczność programów szkoleniowych, wdrażając mechanizmy ciągłego doskonalenia i dostosowywania treści szkoleń do aktualnych zagrożeń i wymagań regulacyjnych.

      • ᐅ Korzyści wdrożenia BCM w kontekście DORA

      Wdrożenie BCM zgodnie z DORA umożliwia instytucjom finansowym osiągnięcie wysokiego poziomu  odporności operacyjnej co przekłada się na konkretne korzyści:

      • spełnienie wymogów regulacyjnych – wdrożenie procesów BCM minimalizuje ryzyko kar finansowych oraz zapewnia zgodność z obowiązującymi standardami, takimi jak DORA i RTS 2024/1774.
      • wzrost odporności operacyjnej – odpowiednio zaprojektowany BCM pozwala na nieprzerwane świadczenie kluczowych usług nawet w warunkach poważnych zakłóceń.
      • wzmocnienie stabilności finansowej i reputacji – organizacje posiadające efektywny system BCM budzą większe zaufanie wśród klientów, inwestorów i regulatorów.
      • lepsze zarządzanie ryzykiem operacyjnym – BCM umożliwia proaktywne identyfikowanie, ocenę i minimalizację potencjalnych zagrożeń, co zwiększa efektywność działań prewencyjnych.
      • efektywna współpraca z dostawcami ICT – zgodność z DORA wymaga skutecznego zarządzania ryzykiem dostawców, co jest kluczowe dla minimalizacji zagrożeń wynikających z outsourcingu usług ICT.

      Dzięki kompleksowemu podejściu organizacje mogą nie tylko spełnić wymogi regulacyjne, ale również zwiększyć efektywność operacyjną, poprawić  stabilność finansową oraz budować zaufanie klientów i inwestorów. W dynamicznie zmieniającym się otoczeniu regulacyjnym oraz rosnących zagrożeniach ICT, wdrożenie skutecznego BCM staje się nie tylko obowiązkiem, ale również kluczowym elementem przewagi konkurencyjnej i długoterminowej strategii zarządzania ryzykiem. Zapraszamy do kontaktu, jeśli chcieliby Państwo dowiedzieć się więcej o implementacji Business Continuity Management (BCM) w zgodzie z regulacjami DORA i RTS 2024/1774 oraz międzynarodową normą ISO 22301. Chętnie podzielimy się naszym doświadczeniem i wiedzą, pomagając Państwa organizacji w budowaniu odporności operacyjnej,spełnieniu wymogów regulacyjnych oraz wdrożeniu sprawdzonych strategii zapewniających ciągłość działania.

      Wiesław Krawczyński