Eliminacja ukrytych kosztów DORA

5 Filary DORA

DORA koncentruje się na pięciu kluczowych obszarach zgodności: przekształceniu zarządzania ryzykiem ICT w proaktywną dyscyplinę, ustanowieniu jasnych procedur zgłaszania incydentów, przeprowadzaniu regularnych testów odporności operacyjnej w cyfrowym świecie, wzmacnianiu nadzoru nad dostawcami zewnętrznymi oraz umożliwieniu dobrowolnej wymiany informacji na temat zagrożeń cybernetycznych.

W lutym 2025 roku wysłano skoncentrowaną ankietę do 354 organizacji w sektorze finansowym i ubezpieczeniowym. Celem było lepsze zrozumienie, jak dobrze przygotowane są firmy w tych branżach do zgodności z DORA. 

Zgodność z DORA jest nieprzedmiotowa. Organizacje niezgodne mogą ponieść grzywny do 2% ich globalnego rocznego obrotu lub 10 milionów euro, w zależności, która kwota jest wyższa.

Ankieta skierowana była do profesjonalistów odpowiedzialnych za ryzyko operacyjne, zgodność regulacyjną oraz nadzór finansowy na stanowiskach takich jak CCO, CRO, CISO, CFO, radca prawny, audytor wewnętrzny lub menedżerowie IT i bezpieczeństwa.

Z całkowitej liczby ankietowanych, 127 respondentów potwierdziło, że ich organizacje podlegają DORA, podczas gdy 8 stwierdziło, że nie. 24 odpowiedzi pozostały niekompletne i zostały wykluczone z analizy końcowej. Daje to solidną bazę 127 kompletnych odpowiedzi dotyczących DORA, głównie od organizacji w sektorze bankowym, ubezpieczeniowym, zarządzania aktywami i innych regulowanych instytucji finansowych.

Jak trudna jest zgodność z DORA?

Co szybko stało się jasne, to to, że zgodność z DORA to nie teoretyczny problem — to codzienna, operacyjna rzeczywistość i to bardzo obciążająca. Respondenci zgłosili, że na skali 1 do 5 (5 to najbardziej pracochłonna), ponad 65% oceniło swoje obciążenie związane z zgodnością na poziomie 4 lub 5 w ciągu ostatnich 3 miesięcy. I z dobrych powodów: wiele z tych organizacji zarządza tysiącami kontraktów i relacji zewnętrznych, z których każda musi być zrozumiana, udokumentowana i monitorowana pod kątem kryteriów specyficznych dla DORA. Gdzie brakuje specyficznych klauzul umownych DORA, należy sporządzić aneks z dostawcami, skomunikować go i sfinalizować.

Średnio, respondenci oszacowali, że zapewnienie zgodności z dostawcami dotkniętymi DORA zwiększa ich obciążenie o ponad 200 godzin miesięcznie.

Jak generowane są raporty DORA?

Pomimo skali tej pracy, większość organizacji nie jest wyposażona w narzędzia do efektywnego zarządzania tym. Mniej niż 25% ma system, który automatycznie powiadamia ich o wygaśnięciu kontraktów, a gdy zapytano, jak planują generować swoje obowiązkowe raporty o relacjach z dostawcami, zaskakujące 83% zadeklarowało, że zrobi to ręcznie — albo w Excelu, albo gromadząc dane z systemu plików.

Jeszcze bardziej wymowne jest to, że podczas gdy 67% aktywnie szuka rozwiązania w celu uproszczenia związanej z DORA zgodności, znaczna część wciąż planuje kontynuować procesy ręczne, niepewna, jakie narzędzia są dostępne.

Tylko niewielka część respondentów zgłosiła posiadanie scentralizowanego i zaawansowanego systemu. Większość polega na arkuszach kalkulacyjnych, zdecentralizowanym śledzeniu i ad hoc procesach, które utrudniają audyty i fragmentaryzują raportowanie.

Przeszkody w zgodności z DORA

Zapytani o największe przeszkody w gotowości do DORA, dominowały trzy tematy: przytłaczająca ilość informacji (czasami brakująca jasność), złożoność i czasochłonność obowiązków związanych z raportowaniem oraz brak odpowiednich narzędzi. Nie chodzi o to, że organizacje nie traktują zgodności poważnie — chodzi o to, że są przytłoczone objętością i niedostatecznie wspierane przez technologię.

Korzystanie z platformy, która centralizuje dane umowne, śledzi zobowiązania, automatyzuje powiadomienia o wygaśnięciu oraz generuje raporty zgodne z DORA, może zmniejszyć obciążenia związane z zgodnością o ponad 60%. To przekłada się na oszczędność ponad 120 godzin pracy każdego miesiąca, a przy tym dramatycznie poprawia gotowość do audytów i wewnętrzny nadzór, co z kolei zmniejsza ryzyko związane z karami wynikającymi z braku zgodności.

Dla organizacji zmagających się z nadążaniem, przesłanie jest jasne: inwestowanie w mądrzejsze narzędzia już teraz przyniesie korzyści nie tylko w zgodności, ale również w jasności, spójności i kontroli. DORA nie zniknie — dokładna rewizja relacji umownych nie tylko służy zapewnieniu zgodności, ale też stanowi doskonałą okazję do cyfryzacji systemu zarządzania umowami.

Chcesz dowiedzieć się więcej?

Skontaktuj się z jednym z naszych specjalistów już dziś, aby dowiedzieć się, jak możemy pomóc Ci stać się zgodnym z DORA.