Rozporządzenie DORA (Digital Operational Resilience Act) nakłada na podmioty finansowe obowiązek budowania cyfrowej odporności. Jednym z jej najważniejszych filarów są cykliczne i mierzalne szkolenia z cyberbezpieczeństwa. Choć przepisy nakazują prowadzenie szkoleń z zakresu bezpieczeństwa ICT, nie narzucają jednej formy ich realizacji. To stwarza szansę, by zamiast nudnych prezentacji, postawić na nowoczesną edukację, która realnie zmienia zachowania pracowników.

Czym jest rozporządzenie DORA w kontekście kapitału ludzkiego?

DORA to rozporządzenie unijne, którego celem jest ujednolicenie wymogów dotyczących odporności cyfrowej sektora finansowego i jego dostawców. Oprócz aspektów technicznych, rozporządzenie kładzie ogromny nacisk na czynnik ludzki.

Zgodnie z przepisami, podmioty finansowe muszą ustanowić kompleksowe programy szkoleniowe i podnoszące świadomość w zakresie bezpieczeństwa ICT. Dlaczego to tak ważne? Ponieważ nawet najbardziej zaawansowane zapory ogniowe nie pomogą, jeśli pracownik kliknie w odpowiednio przygotowany link phishingowy.

Jakie obowiązki szkoleniowe nakłada rozporządzenie DORA?

1. Powszechność: Szkolenia dla pracowników i zarządu

DORA wymaga, aby programy świadomościowe (awareness) obejmowały całą organizację. W przeciwieństwie do wielu dotychczasowych regulacji, szkolenia dla zarządu i kadry kierowniczej są tu obligatoryjne. To oni odpowiadają za strategiczne zarządzanie ryzykiem ICT.

2. Proporcjonalność i personalizacja treści

Przekaz musi być dostosowany do roli. Inne ryzyka ponosi dział księgowości, a inne administratorzy sieci. Skuteczny program szkoleniowy musi uwzględniać te różnice. Inne zagrożenia czyhają na pracownika back-office, a inne na administratora sieci czy dyrektora finansowego. DORA wymaga, aby edukacja odzwierciedlała realne ryzyko, jakie niesie ze sobą dana rola w strukturze ICT.

3. Cykliczność i aktualność wiedzy

Zgodnie z wytycznymi, edukacja nie może być jednorazowa. Wiedza musi być regularnie aktualizowana, aby nadążać za ewoluującymi metodami cyberprzestępców (np. deepfake, zaawansowany spear phishing czy ataki na łańcuch dostaw).

Ważne: DORA wymaga mierzalności. Musisz być w stanie udowodnić audytorowi, kto, kiedy i z jakim wynikiem przeszedł szkolenie.

DORA a łańcuch dostaw: Dlaczego podwykonawcy też muszą się szkolić?

Instytucje finansowe nie działają w próżni. Na co dzień korzystają z usług firm trzecich – od dostawców chmury po twórców oprogramowania. Rozporządzenie DORA doskonale to rozumie, dlatego bierze pod lupę bezpieczeństwo całego łańcucha dostaw.
Rozporządzenie DORA nakłada na podmioty finansowe obowiązek uwzględnienia ryzyka płynącego ze strony podmiotów zewnętrznych, dzięki czemu regulacja ta obejmuje cały łańcuch dostaw w sektorze finansowym. Oznacza to, że:

• Banki i ubezpieczyciele będą kaskadować wymogi bezpieczeństwa na swoich partnerów biznesowych.
• Zewnętrzni dostawcy usług ICT będą musieli sprostać nowym wymaganiom umownym, do których należy m.in. określenie warunków ich udziału w programach szkoleniowych z zakresu bezpieczeństwa ICT.
• W praktyce dostawca IT czy oprogramowania SaaS również będzie musiał udowodnić instytucji finansowej, że jego zespół jest regularnie szkolony z zakresu cyberbezpieczeństwa.

Krótko mówiąc: jeśli Twoja firma świadczy usługi dla sektora finansowego, brak regularnych szkoleń pracowników z cyberbezpieczeństwa może wkrótce oznaczać trudności w utrzymaniu lub pozyskaniu kluczowych kontraktów.

Dlaczego mierzalność szkolenia to klucz do sukcesu podczas audytu?

Od stycznia 2025 roku przepisy DORA są w pełni egzekwowane. Obecnie regulatorzy weryfikują już kompletność raportów i dowody na realizację szkoleń za ubiegły rok. Aby audyt przeszedł pomyślnie, Twoja platforma szkoleniowa musi generować raporty zawierające:

• Indywidualny postęp każdego pracownika.
• Wyniki testów i quizów (weryfikacja wiedzy).
  
• Dowody na regularność przeprowadzanych akcji (np. comiesięczne symulacje phishingu).
  

Gra interaktywna vs. tradycyjne slajdy – którą formę wybrać?

Efektywność kosztowa i operacyjna

Wybierając model Awareness as a Service, odciążasz dział IT i HR nawet o 90%. Gotowe scenariusze oparte na grywalizacji, takie jak w Misji: Cyberbezpieczeństwo, zapewniają wyższe zaangażowanie niż pasywne metody nauki.

Budowanie kultury bezpieczeństwa, a nie tylko compliance

DORA kładzie nacisk na "odporność" (resilience). Gry interaktywne pozwalają pracownikom popełniać błędy w bezpiecznym środowisku, co trwale zmienia ich nawyki w rzeczywistości.

Schemat szkolenia scenariuszowego Misja: Cyberbezpieczeństwo

Korzyści z wdrożenia Programu Budowania Świadomości

Wybierając interaktywne formy szkolenia, zgodne z DORA, takie jak nasz Program Budowania Świadomości w Misja: Cyberbezpieczeństwo, zyskujesz:

• Zgodność z przepisami (Compliance): Masz twarde dane i raporty dla regulatorów.
• Budowanie kultury bezpieczeństwa: Cyberbezpieczeństwo przestaje być "sprawą działu IT", a staje się wspólną wartością.
  
• Redukcja kosztów: Koszt jednego incydentu wywołanego błędem ludzkim jest wielokrotnie wyższy niż inwestycja w skuteczną edukację.

Podsumowanie: Twoja check-lista zgodności z DORA

• Czy przeszkoliłeś zarząd w 2025 roku?
• Czy masz dostęp do raportów mierzalności dla każdego działu? 
• Czy Twoje szkolenia są aktualizowane o najnowsze zagrożenia?

Najczęściej zadawane pytania (FAQ) – Zgodność szkoleń z DORA

Czy szkolenia z DORA są obowiązkowe dla zarządu?

Tak, rozporządzenie DORA bezwzględnie wymaga, aby programy budowania świadomości (awareness) obejmowały całą organizację, w tym obowiązkowo zarząd i kadrę kierowniczą. Jest to kluczowe, ponieważ to oni odpowiadają za strategiczne zarządzanie ryzykiem ICT w organizacji.

Czy audytor DORA będzie weryfikował mierzalność i raporty ze szkoleń?

Zdecydowanie tak. DORA wymaga mierzalności – musisz być w stanie udowodnić audytorowi, kto, kiedy i z jakim wynikiem przeszedł szkolenie. Twoja platforma musi generować szczegółowe raporty zawierające indywidualny postęp każdego pracownika oraz wyniki testów i quizów.

Jak często należy aktualizować szkolenia z cyberbezpieczeństwa?

Zgodnie z wytycznymi, edukacja nie może być jednorazowa. Wiedza przekazywana pracownikom musi być regularnie aktualizowana o najnowsze wektory ataków, aby nadążać za ewoluującymi metodami cyberprzestępców (takimi jak np. deepfake czy zaawansowany spear phishing).