Moduł 1: Podstawy regulacji DORA

1. Zakres podmiotowy i przedmiotowy DORA – omówienie instytucji finansowych, dostawców ICT i innych podmiotów objętych regulacją oraz wskazanie procesów i usług podlegających wymogom DORA.
2. Kluczowe pojęcia – szczegółowe wyjaśnienie terminów takich jak „ICT risk”, „digital operational resilience”, „critical services” oraz ich powiązanie z innymi regulacjami unijnymi (np. NIS2).
3. Zasada proporcjonalności – jak wymagania DORA są dostosowane do skali i złożoności podmiotów, w tym uproszczenia dla mikroinstytucji.
4. Struktura aktów wykonawczych RTS/ITS/DR – omówienie różnic między aktami delegowanymi i wykonawczymi oraz ich znaczenie dla praktyki rynkowej.
5. Harmonogram wdrożenia i sankcje – kluczowe daty wdrożenia, okresy przejściowe oraz możliwe konsekwencje finansowe i organizacyjne braku zgodności.

Moduł 2: Ramy zarządzania ryzykiem ICT (RTS on ICT risk management framework)

1. Odpowiedzialność zarządu i kluczowych funkcji – omówienie nowych obowiązków członków zarządu, w tym konieczności zatwierdzania strategii ICT, alokacji zasobów i nadzoru nad ryzykiem.
2. Elementy ram zarządzania ryzykiem ICT – opis wymaganych polityk, procesów, ról i mechanizmów kontrolnych przewidzianych w RTS, w tym zarządzania zmianą i planów awaryjnych.
3. Identyfikacja i ocena ryzyka ICT – procedury mapowania i oceny zagrożeń w krytycznych obszarach działalności, wraz z powiązaniem do analizy luk (gap analysis).
4. Raportowanie i przeglądy – cykliczne obowiązki sprawozdawcze do organu zarządzającego oraz wymagane okresowe przeglądy i aktualizacje polityk.
5. Powiązania z normami branżowymi – wskazanie relacji pomiędzy RTS a standardami ISO/IEC 27001:2022, NIS2 i innymi uznanymi praktykami bezpieczeństwa.

Moduł 3: Zarządzanie incydentami ICT – klasyfikacja i raportowanie (RTS/ITS)

1. Definicje incydentów i cyberzagrożeń – rozróżnienie między incydentem ICT, podatnością i zagrożeniem, oraz ich znaczenie dla obowiązków sprawozdawczych.
2. Kryteria klasyfikacji incydentów (RTS) – omówienie progów istotności, metod oceny wpływu na usługi krytyczne oraz przykłady incydentów podlegających raportowaniu.
3. Procedura raportowania (RTS) – wymagane etapy zgłoszenia (wstępne, aktualizacyjne, końcowe), format i sposób komunikacji z organami nadzoru.
4. Formaty raportów (ITS) – szczegółowe pola wymagane w zgłoszeniach, struktura danych, zasady uzupełniania i przekazywania raportów w wymaganych terminach.
5. Integracja z procesami wewnętrznymi – sposoby dostosowania istniejących procedur zarządzania incydentami do wymagań DORA oraz uniknięcie powielania procesów raportowych.

Moduł 4: Testowanie odporności operacyjnej (RTS TLPT)

1. Rodzaje wymaganych testów – zakres testów technicznych, organizacyjnych i odtworzeniowych wymaganych przepisami DORA.
2. Threat-Led Penetration Testing (TLPT) – omówienie celu i metodologii TLPT, wymogów dotyczących zespołów testujących, niezależności oraz poufności wyników.
3. Dobór scenariuszy i krytycznych obszarów – wskazanie, jak identyfikować kluczowe funkcje i procesy do testowania w celu wykrycia rzeczywistych luk bezpieczeństwa.
4. Raportowanie i działania naprawcze – obowiązki dokumentowania wyników testów, ich zatwierdzania przez zarząd oraz wdrażania planów naprawczych.
5. Harmonogram wdrożenia TLPT – okresy przejściowe i częstotliwość testów, szczególnie dla instytucji krytycznych.

Moduł 5: Wymogi wobec dostawców ICT i podwykonawców (RTS/ITS)

1. Polityka współpracy z dostawcami ICT (RTS) – obowiązek opracowania i wdrożenia spójnej polityki third‑party risk management, obejmującej ocenę ryzyka i monitorowanie usług.
2. Subcontracting ICT (RTS) – wymogi kontroli łańcucha podwykonawców, w tym ograniczenia dla zlecania krytycznych funkcji i zasady monitorowania dalszych podwykonawców.
3. Rejestr informacji (ITS) – zawartość i sposób prowadzenia rejestru dostawców, podwykonawców i świadczonych usług ICT, z obowiązkiem jego bieżącej aktualizacji.
4. Ocena ryzyka koncentracji dostawców ICT – omówienie metod oceny zależności od jednego dostawcy lub niewielkiej grupy dostawców oraz planów awaryjnych.
5. Kluczowe elementy umów z dostawcami – wymagania dotyczące audytów, obowiązku informowania o incydentach, praw do kontroli i możliwości rozwiązania umowy w przypadku braku zgodności z DORA.

Moduł 6: Nadzór unijny i opłaty (DR/RTS)

1. Kryteria wyznaczania CTPPs – mechanizmy oceny i wskazywania podmiotów o krytycznym znaczeniu dla sektora finansowego UE.
2. Opłaty nadzorcze (Delegated Regulation) – sposób naliczania opłat, terminy płatności oraz obowiązki sprawozdawcze związane z nadzorem.
3. Harmonizacja warunków nadzoru (RTS) – jednolite podejście do prowadzenia kontroli i przeglądów w całej UE.
4. Joint Examination Team (JET) – skład, rola, zadania zespołów kontrolnych oraz przebieg typowych przeglądów regulacyjnych.
5. Przygotowanie do kontroli unijnej – dokumenty wymagane podczas przeglądów, najlepsze praktyki współpracy z nadzorcami oraz sposoby oceny gotowości organizacji na kontrolę.