DORA a ISO 27001 to pytanie, które od 2025 roku zadaje sobie każdy podmiot finansowy w Polsce. Rozporządzenie DORA (Digital Operational Resilience Act, 2022/2554) nakłada na sektor finansowy obowiązek zarządzania ryzykiem cyfrowym — a ISO/IEC 27001 jest najkrótszą udokumentowaną drogą do zbudowania jego fundamentu. Poniżej: co dokładnie norma pokrywa, czego nie załatwia i dlaczego jedno wdrożenie obsługuje kilka reżimów naraz.
Kogo obowiązuje DORA i od kiedy
DORA stosuje się bezpośrednio od 17 stycznia 2025 r. we wszystkich państwach UE — jako rozporządzenie nie wymaga transpozycji do prawa krajowego. Obejmuje szerokie grono podmiotów finansowych oraz ich dostawców technologii:
- Banki i instytucje kredytowe — pełen zakres wymogów odporności cyfrowej.
- Ubezpieczyciele i reasekuratorzy — zarządzanie ryzykiem ICT i ciągłość działania.
- Firmy inwestycyjne i instytucje płatnicze — w tym fintech i dostawcy usług kryptoaktywów.
- Kluczowi zewnętrzni dostawcy ICT — objęci nadzorem, jeśli świadczą krytyczne usługi dla sektora.
Co ISO 27001 pokrywa z wymogów DORA
DORA opiera się na kilku filarach — a znaczna ich część pokrywa się z zakresem systemu zarządzania bezpieczeństwem informacji. Norma ISO/IEC 27001:2022 odpowiada szacunkowo na 60-70% wymogów zarządzania ryzykiem ICT.
| Filar DORA | Odpowiednik w ISO 27001 |
|---|---|
| Zarządzanie ryzykiem ICT (governance, analiza ryzyka) | System zarządzania, ocena i postępowanie z ryzykiem (sekcje 6, 8) |
| Zarządzanie incydentami związanymi z ICT | Zarządzanie incydentami bezpieczeństwa informacji (Załącznik A) |
| Ciągłość działania i przywracanie usług | Zarządzanie ciągłością — wsparte przez ISO 22301 |
| Zarządzanie ryzykiem dostawców | Kontrole relacji z dostawcami (Załącznik A, grupa organizacyjna) |
Organizacja z wdrożoną normą wchodzi w projekt DORA z gotowym szkieletem — politykami, rejestrem ryzyk, procedurami incydentów — zamiast budować go od zera.
Czego ISO 27001 nie załatwia w DORA
Tu potrzebna jest uczciwość, bo różnica wyznacza zakres dodatkowej pracy. DORA zawiera wymogi, których norma nie obejmuje:
- Zaawansowane testy odporności — w tym testy penetracyjne oparte na scenariuszach zagrożeń (TLPT) dla znaczących podmiotów, w cyklu wieloletnim.
- Rejestr informacji o umowach z dostawcami ICT — sformalizowany wykaz przekazywany organowi nadzoru.
- Raportowanie poważnych incydentów — zgłaszanie do właściwego organu nadzoru (w Polsce KNF) w określonych terminach, według ustandaryzowanych szablonów.
ISO 27001 jako fundament zgodności — i dźwignia na kilka reżimów
Największa wartość normy w kontekście DORA to efekt skali regulacyjnej. Ten sam system zarządzania bezpieczeństwem informacji stanowi bazę dla DORA, dyrektywy NIS2 oraz wymogów art. 32 RODO. Zamiast trzech osobnych projektów zgodności podmiot buduje jeden fundament i nadbudowuje nad nim wymagania specyficzne dla każdego reżimu. Certyfikat wydany w akredytacji jest przy tym niezależnym dowodem dojrzałości — argumentem wobec organu nadzoru, kontrahentów i audytorów.
Powiązane artykuły:
- Certyfikacja ISO 27001 — strona usługi
- ISO 22301 — fundament zgodności z NIS2
- ISO 27001 a RODO — czy certyfikat zapewnia zgodność
- Dotacja na cyberbezpieczeństwo 2026 a ISO 27001