Jak przygotować firmę do wdrożenia regulacji DORA i MiCA w praktyce

Aby przygotować firmę do wdrożenia regulacji DORA i MiCA, trzeba jednocześnie uporządkować cyberbezpieczeństwo, ciągłość działania IT, zarządzanie dostawcami oraz zgodność operacyjną w obszarze kryptoakty­wów. To nie jest projekt „papierowy” – to realna zmiana sposobu zarządzania technologią, ryzykiem i odpowiedzialnością zarządu.

Czym w praktyce są regulacje DORA i MiCA i kogo dotyczą?

DORA (Digital Operational Resilience Act) to rozporządzenie UE obowiązujące od 17 stycznia 2025 r., które dotyczy odporności cyfrowej podmiotów finansowych i technologicznych obsługujących sektor finansowy. Obejmuje m.in.:

• banki, TFI, domy maklerskie, instytucje płatnicze,

• fintechy i neobanki,

• dostawców ICT dla sektora finansowego (cloud, hosting, SOC, MSP, SaaS).

MiCA (Markets in Crypto-Assets) reguluje rynek kryptoaktywów w UE. Dotyczy firm takich jak:

• giełdy kryptowalut,

• emitenci tokenów (ART, EMT),

• dostawcy usług kryptowalutowych (CASP),

• fintechy łączące tradycyjne finanse z blockchainem.

W praktyce:
👉 DORA = odporność operacyjna IT,
👉 MiCA = legalność i transparentność działalności krypto.

Jakie realne ryzyka eliminuje DORA i MiCA?

Z perspektywy inżyniera i audytora IT – te regulacje powstały w odpowiedzi na bardzo konkretne problemy:

• brak testów odporności infrastruktury,

• brak procedur reagowania na incydenty,

• uzależnienie od jednego dostawcy chmury,

• chaos kompetencyjny między IT, compliance i zarządem,

• brak kontroli nad ryzykiem technologicznym w krypto.

W mojej praktyce najczęstszy problem to pozorne bezpieczeństwo: polityki istnieją, ale nikt nie wie, czy system przetrwa realny incydent.

Od czego zacząć przygotowanie firmy do DORA i MiCA?

Zawsze zaczynam od inwentaryzacji, nie od dokumentów.

1. Audyt techniczny i operacyjny (punkt zerowy)

Trzeba jasno odpowiedzieć na pytania:

• jakie systemy są krytyczne dla biznesu?

• gdzie są dane wrażliwe?

• kto faktycznie administruje infrastrukturą?

• co się stanie, gdy kluczowy system padnie na 24h?

Bez tego dalsze działania są fikcją.

Jak DORA zmienia podejście do cyberbezpieczeństwa?

DORA nie pyta, czy masz firewalla, tylko:

„Czy Twoja organizacja przetrwa realny incydent cybernetyczny?”

Co musi działać w praktyce:

• ciągły monitoring (SOC 24/7),

• klasyfikacja incydentów (ICT-related incidents),

• raportowanie incydentów do regulatora,

• testy odporności (w tym testy scenariuszowe).

W projektach, które prowadziłem, największą zmianą było przeniesienie ciężaru z „ochrony” na odporność i odzyskiwanie.

Jak przygotować zarządzanie incydentami zgodnie z DORA?

DORA wymaga, aby firma:

• miała formalny proces zarządzania incydentami,

• potrafiła je klasyfikować i eskalować,

• była w stanie udowodnić, że reaguje zgodnie z procedurą.

W praktyce oznacza to:

• playbooki IR (Incident Response),

• testy „table-top” dla zarządu,

• jasny podział ról IT, compliance i managementu.

W wielu firmach to pierwszy moment, gdy zarząd realnie styka się z cyberbezpieczeństwem – i to bardzo dobrze.

Jak DORA reguluje dostawców IT i chmurę?

To jeden z najbardziej niedocenianych obszarów.

DORA wymaga:

• pełnej kontroli nad outsourcingiem ICT,

• oceny ryzyka dostawców,

• umów zawierających SLA, audyty, exit plan,

• gotowości do zmiany dostawcy.

Jeśli firma działa na jednym hyperscalerze bez planu B – to jest luka regulacyjna.

Jakie obowiązki techniczne nakłada MiCA na firmy krypto?

MiCA wprowadza porządek tam, gdzie wcześniej była dowolność.

W praktyce wymaga m.in.:

• segregacji aktywów klientów,

• silnych mechanizmów bezpieczeństwa IT,

• audytowalnych systemów transakcyjnych,

• zarządzania ryzykiem technologicznym.

Dla firm krypto to często oznacza przebudowę backendu, a nie tylko zmianę regulaminu.

Jak połączyć wymagania DORA i MiCA w jednej organizacji?

W fintechach i platformach krypto oba rozporządzenia nakładają się.

Najlepsze podejście, które sprawdza się w praktyce:

• jeden model zarządzania ryzykiem IT,

• wspólna architektura bezpieczeństwa,

• centralny monitoring i raportowanie,

• jeden „język” między IT, compliance i zarządem.

Rozdzielanie tych obszarów kończy się duplikacją kosztów i chaosu decyzyjnego.

Jakie błędy widzę najczęściej przy wdrażaniu DORA i MiCA?

Z doświadczenia:

1. Dokumenty bez realnych testów

2. Compliance oderwane od infrastruktury

3. Brak zaangażowania zarządu

4. Brak kontroli nad dostawcami IT

5. Traktowanie regulacji jako „projektu jednorazowego”

DORA i MiCA to proces ciągły, nie checkbox.

Ile czasu realnie zajmuje przygotowanie do DORA i MiCA?

Zależnie od skali organizacji:

• mały fintech / startup krypto: 3–6 miesięcy,

• średnia instytucja finansowa: 6–12 miesięcy,

• duża organizacja: 12+ miesięcy.

Im wcześniej zacznie się od techniki, a nie od papierów – tym taniej i szybciej.

Czy DORA i MiCA to koszt czy przewaga konkurencyjna?

Z perspektywy rynku – to filtr jakości.

Firmy, które:

• mają stabilną architekturę IT,

• realnie zarządzają ryzykiem,

• są transparentne operacyjnie,

będą wygrywać z tymi, które „jakoś działają”.

Widziałem już przypadki, gdzie zgodność z DORA była argumentem sprzedażowym, nie kosztem.

Jak przygotować firmę mądrze, a nie tylko „zgodnie z przepisami”?

Najlepsze wdrożenia, które prowadziłem, miały jedną cechę wspólną:

regulacja była skutkiem ubocznym dobrze zaprojektowanego IT

Jeśli chcesz podejść do DORA i MiCA praktycznie – zacznij od technologii, nie od paragrafów. Regulacje tylko to porządkują.

To dokładnie ten moment, w którym cyberbezpieczeństwo przestaje być kosztem, a zaczyna być fundamentem biznesu.