DORA pół roku po wdrożeniu: 96% firm finansowych wciąż niegotowych

Pół roku po wejściu w życie unijnej ustawy o odporności operacyjnej cyfrowej (DORA), instytucje finansowe wciąż mierzą się z wyzwaniami, które ta regulacja ze sobą niesie. Choć ramy prawne obowiązują od stycznia 2025 r., aż 96% organizacji z sektora finansowego w regionie EMEA wciąż uznaje, iż musi poprawić swoją odporność, by spełnić wymogi nowego prawa.

Wyniki badania zrealizowanego na zlecenie Veeam Software wskazują, iż mimo wysokiej świadomości regulacyjnej, tempo wdrażania przepisów pozostaje nierówne. Co prawda 94% firm traktuje DORA z większą powagą niż przed jej wejściem w życie, ale tylko połowa w pełni włączyła jej wymagania do strategii odporności. Dla 39% organizacji DORA pozostaje kluczowym punktem zainteresowania, jednak niekoniecznie oznacza to pełną gotowość operacyjną.

Największym wyzwaniem okazuje się nie tylko skala przepisów, ale i ich złożoność. Przepis na zgodność? Nie tak prosty, jak mogłoby się wydawać. Przykładowo: co czwarta firma nie wdrożyła jeszcze procedur testowania ciągłości działania ani mechanizmów raportowania incydentów. Równie wysoki odsetek nie wyznaczył choćby jednostki odpowiedzialnej za zgodność z DORA.

Problemem nie jest wyłącznie organizacyjne zapóźnienie. 41% firm wskazuje na rosnącą presję i przeciążenie zespołów IT oraz cyberbezpieczeństwa. Dodatkowym obciążeniem są wyższe koszty, przenoszone przez dostawców IT (37%) oraz niedobór budżetu na działania związane z regulacjami (20%). Uderza to nie tylko w płynność wdrożeń, ale i w innowacyjność – co piąta firma uważa, iż obecna struktura przepisów ogranicza zdolność do konkurowania.

Szczególnie trudnym aspektem pozostaje monitorowanie ryzyka zewnętrznego – choć 34% firm uważa ten element za najtrudniejszy, jedynie 20% oficjalnie go jeszcze nie wdrożyło. Trudność ta wynika m.in. z braku przejrzystości w działaniach partnerów oraz rozproszenia ekosystemów IT.

W odpowiedzi na te potrzeby, na rynku pojawiły się pierwsze narzędzia wspierające systematyczną ocenę odporności. Jednym z nich jest opracowany przez Veeam i McKinsey model dojrzałości odporności danych (DRMM). Pozwala on organizacjom na wielowymiarową analizę gotowości operacyjnej i integrację obszarów IT, bezpieczeństwa i zgodności w ramach jednej strategii. Co ważne – model oparty został na doświadczeniach ponad 500 liderów z sektora.

Zgodność z DORA to dla wielu firm nie cel sam w sobie, ale element szerszej transformacji. Regulacja ta zmusza organizacje do krytycznego spojrzenia na odporność cyfrową – nie jako projekt IT, ale jako fundament biznesowej ciągłości. Problem w tym, iż fundament ten wciąż jest w budowie. I choć kierunek został wyznaczony, droga do odporności operacyjnej może okazać się dłuższa niż zakładano.