DORA - wdrożenie i zgodność ICT

Strona główna Wdrożenie DORA – rozporządzenie i zgodność ICT

Rozporządzenie DORA — jak wdrażamy zgodność

Od oceny luk do gotowości na audyt!

Na starcie robimy zwięzły gap assessment pod DORA: oceniamy dojrzałość w obszarach ryzyka ICT, zarządzania incydentami, ciągłości działania (BCM/DRP), testów odporności oraz zarządzania dostawcami. Wyniki zamieniamy w klarowną roadmapę z priorytetami, właścicielami i metrykami.

Następnie wdrażamy polityki i procedury, porządkujemy technikę: monitoring 24/7 i alerty, kopie zapasowe z testami odtworzeń, HA/geo-redundancję, rejestry (ryzyk, incydentów, zmian), runbooki i playbooki. Przygotowujemy szablony raportów DORA (4h/24h/72h/1 mies.), wymagane zapisy w SLA/umowach z dostawcami i plan wyjścia (exit).

Audyt

Identyfikujemy luki DORA oraz ryzyka w procesach i infrastrukturze ICT.

Projektowanie

Tworzymy polityki, procedury, rejestry i roadmapę realizacji z KPI.

Wdrożenie planu

Wdrażamy procesy i narzędzia (ryzyko, incydenty, BCM/DRP, monitoring 24/7, backupy, HA) oraz kompletujemy dowody dla audytu.

Symulacje incydentów

Ćwiczymy scenariusze, testujemy odporność (tabletop/TLPT) i utrwalamy raportowanie wymagane przez DORA.

Od czego zacząć wdrożenie DORA?

Audyt DORA (gap assessment)

Kompleksowy przegląd procesów i ICT z mapą luk, priorytetami i klarowną roadmapą

Audyt DORA (gap assessment) to uporządkowany przegląd Twoich procesów i infrastruktury względem pięciu filarów DORA. Pracujemy na dokumentach i konfiguracjach, rozmawiamy z zespołem, sprawdzamy architekturę, logi, RTO/RPO i progi alertów.

Obejmujemy m.in. ryzyko i incydenty, ciągłość działania (BCM/DRP), monitoring 24/7, backup/HA, tożsamości i dostępy (IAM), podatności/patching, rejestry oraz współpracę z dostawcami.

Wynikiem jest mapa luk z oceną wpływu, podział na quick wins i projekty, oraz roadmapa z właścicielami i KPI + lista brakujących polityk/procedur/rejestrów (evidence pack). Dzięki temu wiesz, co zrobić najpierw i dlaczego.

Polityki, procedury i rejestry DORA

Gotowe, dopasowane szablony: ryzyko ICT, incydenty, BCM/DRP, testy odporności, rejestry i „evidence pack”

Polityki i standardy — zarządzanie ryzykiem ICT, incydentami, ciągłością działania (BCM/DRP), testami odporności, bezpieczeństwem dostawców i umów.
Procedury operacyjne (SOP + runbooki) — detekcja/triage/klasyfikacja incydentów, raportowanie 4h/24h/72h/1 mies., CAB/zmiany, testy odtworzeń, patch management, komunikacja kryzysowa.
Rejestry wymagane przez DORA — ryzyk, incydentów, zasobów, zmian, dostępów (IAM), podatności, dostawców/umów, wyjątków akceptacyjnych.
Załączniki i formularze — matryca RACI, kryteria istotności, KPI/KRI, wzory raportów (KNF/ESAs), checklisty audytowe, klauzule do SLA (RTO/RPO, exit plan, prawo audytu).
Formaty i integracja — Word/Google Docs, Confluence, Jira/Service Desk; wersjonowanie w Git i czytelne mapowanie do istniejących narzędzi.

Efekt: spójny, praktyczny zestaw dokumentów i artefaktów, na których realnie pracuje zespół — a nie tylko „papier pod audyt”.

Wdrożenie techniczne pod DORA

Monitoring 24/7 i alerty, backupy z testami odtworzeń, HA/hardening, centralne logi/SIEM oraz runbooki operacyjne

Wdrożenie techniczne pod DORA to przełożenie wymagań regulacji na konkretne kontrole w Twojej infrastrukturze — tak, żeby dało się tym zarządzać, mierzyć i audytować.

Monitoring 24/7 i alerty — metryki, logi i testy syntetyczne, progi Critical/High/Warning/Info, eskalacje on-call i playbooki reakcji.
Backupy z testami odtworzeń — zasada 3-2-1, szyfrowanie, kopie niezmienialne (WORM), cykliczne restore-drille pod zdefiniowane RTO/RPO.
HA / DR — klastrowanie i automatyczne przełączenia, segmentacja, runbooki awaryjne i regularne próby failover.
Hardening i dostępy — baseline (np. CIS), MFA/PAM, rotacja sekretów, okna patchowania i skan podatności z remediacją.
Centralne logi / SIEM — jednolite zasilanie logów, korelacje detekcji, retencja zgodna z polityką i gotowe raporty dla audytu.
Runbooki operacyjne — krok-po-kroku dla incydentów i zmian, powiązane z klasyfikacją zdarzeń oraz wzorami raportów 4h/24h/72h/1 mies.

Incydenty i raportowanie (KNF/ESAs)

Proces 4h/24h/72h/1 mies., progi istotności, formularze i automatyzacje — wraz z gotowymi wzorami komunikatów.

Co raportujemy?
Zdarzenia spełniające progi istotności (wpływ na klientów/usługi, czas niedostępności, utrata danych, rozprzestrzenienie, łańcuch dostaw).
Jak decydujemy?
Matryca kryteriów + checklista „report/no-report”, właściciel decyzji i ślad akceptacji.
Jak zgłaszamy?
Gotowe formularze i kanały do właściwego nadzoru (KNF/ESAs), numer referencyjny, rejestr incydentów.
Co automatyzujemy?
Z SIEM/monitoringu tworzony jest draft zgłoszenia w ITSM (pola, timestampy, metryki wpływu), wersjonowanie w Confluence/Git.
Jak komunikujemy?
Szablony komunikatów do klientów/partnerów, Q&A dla PR, integracja ze status page i planem komunikacji kryzysowej.
Jak domykamy?
Raport końcowy z RCA, działania korygujące, aktualizacja runbooków i KPI/KRI.

Zarządzanie dostawcami ICT i exit plan

Due diligence, klauzule DORA w SLA, ciągłe monitorowanie ryzyka oraz praktyczny plan wyjścia z usług

Co robimy:

Due diligence (przed startem): szybka ocena dostawcy, checklista zgodności DORA/NIS2, weryfikacja certyfikatów, łańcucha poddostawców i przepływów danych.
Nadzór (w trakcie współpracy): KPI/KRI, progi incydentów i ścieżki eskalacji, rejestr ryzyk dostawców, cykliczne przeglądy i aktualny evidence pack.
Klauzule w SLA (esencja): RTO/RPO i dostępność, prawo audytu, notyfikacja zmian poddostawców, lokalizacja/przenoszalność danych, zasady raportowania incydentów.
Exit plan (bez przestojów): formaty eksportu i własność danych, scenariusz cutover/rollback, harmonogram i wygaszanie dostępów + kryteria akceptacji.

Efektem jest pełna kontrola ryzyka w łańcuchu dostaw i przewidywalna zmiana usługodawcy — bez chaosu i z kompletem dowodów dla audytu.

Polecają nas

Sprawdź, co mówią o nas nasi partnerzy!

Proaktwyny partner biznesowy

Centuria to proaktywny partner biznesowy, który nie czeka na nasz ruch, a samodzielnie szuka potrzebnych rozwiązań lub ulepszeń, które możemy wspólnie wdrożyć. Razem od lat pracujemy na sukces jednej z największych instancji Magento w Polsce. Szczerość we współpracy i profesjonalne doradztwo, z którego chętnie korzystamy od lat są dla nas bezcenne. Z czystym sumieniem możemy polecić Centurię jako eksperta w dziedzinie infrastruktury.

Kuba Zwoliński

Snowdog

Zaufanie i partnerskie podejście do projektów

Nasza wieloletnia współpraca z Centurią opiera się na dużym zaufaniu i partnerskim podejściu do projektów, ale też koleżeńskiej atmosferze w ramach zespołów projektowych. Elastyczność, dobra komunikacja i nasze poczucie bezpieczeństwa wynikające ze wsparcia zespołu ekspertów bardzo dobrze znających się na Magento sprawiają, że jesteśmy gotowi polecać Centurię innym. Czujemy, że zawsze możemy na nich polegać.

Borys Skraba - CEO

Strix

Partnerstwo oparte na zaufaniu

Chcemy dowozić wysoką wartość naszym Klientom. Kluczem od zapewnienia bezpiecznego i sprawnego działania sklepów Magento są odpowiednie rozwiązania serwerowe. Potrzebowaliśmy w tym obszarze partnera proaktywnego, który sam poszukuje najlepszych możliwych rozwiązań i jest bardzo proaktywny. Takim partnerem jest dla nas Centuria, z którą współpracujemy już od około 2 lat. Bardzo podoba nam się to, jak usprawniają i porządkują każdy projekt, nad którym zaczynają pracować. Centuria to partner, któremu ufamy i możemy polecić jako eksperta rozwiązać serwerowych dla Magento.

Mateusz Ogonowski - Co-founder

Growcode sp. z o.o.

Firma godna polecenia

Z Centurią współpracujemy od wielu lat, ceniąc sobie dużą wiedzę, doświadczenie i elastyczność zespołu. Firma wyróżnia się niezwykle profesjonalnym podejściem do supportu i wysoką responsywnością na wrzucane przez nas tickety. Jest świetnym doradcą w zakresie zarządzania infrastrukturą IT. Rzetelny partner biznesowy przy wdrożeniach dużych projektów.

Rafał Gadomski - CEO

Advox Studio

Solidny i kompetenty partner!

Bardzo cenimy współpracę z Centurią za proaktywne podejście, wiedzę ekspercką i zaangażowanie na każdym etapie projektu. Zespół Centurii niejednokrotnie pomógł nam w wyborze rozwiązań serwerowych dla naszych klientów, a dzięki ich doświadczeniu i profesjonalnemu wsparciu otrzymaliśmy rozwiązania dostosowane do konkretnych potrzeb biznesowych. Polecamy Centurię każdemu, kto potrzebuje solidnego i kompetentnego partnera w obszarze infrastruktury IT.

Cezary Kożon - CEO

Spyrosoft Ecommerce S.A.

Działanie w interesie klienta

W naszej ocenie Centurię wyróżnia przede wszystkim działanie w interesie firmy klienta. Współpracując z nimi można liczyć na spersonalizowane i indywidualne podejście nawet do najtrudniejszych przypadków. Czujemy, że proponowane rozwiązania są „szyte na miarę” naszych potrzeb, poprzez zaangażowanie naszej agencji w proces ich tworzenia, oparty na wspólnych dyskusjach nad możliwymi rozwiązaniami.

Paweł Biliński - CTO & co-founder

Lizard Media

Profesjonalizm i specjalistyczna wiedza

Współpracę z Centurią cenię przede wszystkim za profesjonalizm i specjalistyczną wiedzę związaną z Magento. Jest to nieocenioną wartością w sytuacjach krytycznych. Wsparcie 24/7 daje duży spokój zarówno nam, jak i naszym klientom. Zdecydowanie polecam Centurię wszystkim, którzy traktują biznes poważnie i liczą na profesjonalnego, stabilnego partnera w rozwoju swojego biznesu.

Szymon Niedziela - CEO

Panda Group

Profesjonalizm i wyoskie zaangażowanie

Razem z Centurią rozwijamy jedną z największych platform sprzedażowych bazujących na Magento w Polsce. Profesjonalizm oraz wysokie zaangażowanie bezpośrednio przekłada się na efekty. Centuria to specjaliści w dziedzinie administracji oraz zarządzania infrastrukturą o bardzo złożonej konstrukcji i mnogiej ilości powiązań pomiędzy systemami. Ciągłość oraz dostępność ww. systemu od początku współpracy jest utrzymana w sposób spełniający nasze wymagania, a zlecenia są realizowane z najwyższą starannością.

Tomasz Stefanowski - Web Development Manager

Castorama

Solidny i doświadczony partner

Z racji specyfiki naszego projektu gear.cdprojektred.com potrzebowaliśmy solidnego partnera dobrze zaznajomionego z nowoczesnymi technologiami, który szybko i sprawnie wdroży infrastrukturę dla naszej aplikacji. Centuria wzorowo poradziła sobie z zadaniem oraz dodatkowo zapewniła stabilność sprzedaży podczas dużych akcji promocyjnych, które przeprowadzaliśmy.

Aleksandra Jarośkiewicz - Board Member

CD PROJEKT RED STORE

Centuria proved a reliable and responsive partner for many years.

The team never left us wondering if things were getting done. We instead had full confidence that this knowledgable team knew what to do and that they'd get it done. I write this review because changes within our organization moved us in a different direction and we now no longer work with Centuria. To show my appreciation for their attentiveness and effectiveness

Charles Nicoletti

mTab

FAQ

Czym różni się Wasze wdrożenie DORA od „samej dokumentacji” — co realnie dostarczacie?

Nie „drukujemy” polityk, tylko wdrażamy działające procesy i kontrole.

Co konkretnie dostarczamy:

Gap assessment → mapa luk, priorytety, roadmapa i KPI/KRI.
Zestaw polityk/procedur + rejestry (ryzyko, incydenty, BCM/DRP, testy, dostawcy) dopasowane do Was.
Skonfigurowane kontrole techniczne: monitoring 24/7 i alerty, backupy z testami, HA/DR, centralne logi/SIEM, IAM/hardening.
Incydenty i raportowanie: workflow 4h/24h/72h/1 mies., formularze i szablony komunikatów.
Dostawcy: due diligence, klauzule DORA do SLA, plan exit.
Evidence pack + runbooki i krótkie szkolenia dla zespołu.

Jak wygląda pierwszy krok współpracy i jakie dane potrzebujecie na start?

Krótka rozmowa startowa (30–45 min) + NDA. Ustalamy zakres, właścicieli procesów i dostęp read-only. Wysyłamy checklistę i formaty eksportów.

Na start potrzebujemy (minimum):

Lista systemów/usług krytycznych + właściciele i RTO/RPO.
Schemat architektury (on-prem/cloud/kontenery) i główne integracje.
Obecne polityki/procedury (incydenty, BCM/DRP, backup, patching) – jeśli są.
Monitoring/logi: przykładowe alerty, SLO/SLA, używane narzędzia (ITSM/SIEM).
Backup/DR: harmonogram, ostatnie testy odtworzeń.
Dostawcy: wykaz + kluczowe SLA/umowy, incydenty z ostatnich 12 mies.

„DORA od kiedy?” — jakie są kluczowe daty i kamienie milowe (w tym RTS/ITS)?

Kluczowe daty DORA (skrót):

16.01.2023 — rozporządzenie weszło w życie (czas na przygotowania).
17.01.2024 — ESAs opublikowały pierwszy pakiet finalnych projektów RTS/ITS.
17.07.2024 — drugi pakiet: 4 RTS, 1 ITS i 2 wytyczne; przekazane Komisji do przyjęcia.
23.10.2024 — Komisja przyjęła RTS/ITS dot. zgłoszeń incydentów/cyber-zagrożeń (oś 4h/24h/72h/1 mies.).
17.01.2025 — DORA stosowana (brak okresu przejściowego); m.in. obowiązek prowadzenia rejestru umów ICT.
28.04.2025 (PL) — termin przekazania do KNF rejestru informacji o umowach ICT (jednorazowy milestone krajowy).

Czy możecie zintegrować procesy DORA z naszymi narzędziami (Jira/ServiceNow, SIEM, monitoring, ITSM)?

Tak. Integrujemy procesy DORA z Waszym stackiem bez wymiany narzędzi lub rekomendujemy zmianę na przyszłość.

Co robimy w praktyce:

Jira / ServiceNow (ITSM): typy zgłoszeń Incident/Problem/Change, pola dla DORA, SLA/KPI, automatyczne eskalacje on-call, szablony raportów i checklisty RCA.
SIEM & logi (np. Splunk, Elastic, Sentinel, QRadar): mapowanie reguł → severity DORA, webhooks do ITSM, dołączanie kontekstu (ID zdarzenia, dowody, timeline) i auto-tworzenie draftów zgłoszeń.
Monitoring/APM (Prometheus+Alertmanager, Grafana): progi Critical/High/Warning/Info, tagowanie usług, routing alertów, zrzuty dashboardów do „evidence pack”.
CMDB / katalog usług: krytyczność, właściciele, RTO/RPO, powiązania (ERP/PIM/WMS), zależności dostawców — pod raportowanie istotności.
Runbooki i wiedza (Confluence/Knowledge Base): przyciski „Execute runbook”, checklisty komunikacji (KNF/ESAs, klienci, PR), wersjonowanie zmian.
SSO/RBAC & audyt: OIDC/SAML, role i uprawnienia na zasadzie least privilege, pełny ślad zmian i retencja zgodna z polityką.
Standardy integracji: OpenTelemetry, syslog, API/webhooki — wpinamy się w to, co już macie.

Jak przebiega Audyt DORA (gap assessment) i jaki jest jego zakres?

Przebieg audytu (w skrócie):

Kick-off + NDA → zakres, właściciele, dostęp read-only.
Przegląd dokumentów & wywiady → polityki, procedury, rejestry.
Przegląd konfiguracji → monitoring, backup/DR, logi/SIEM, IAM, patching.
Ocena dojrzałości & scoring → luki, wpływ/ryzyko, quick wins.
Raport & roadmapa → priorytety, właściciele, KPI/KRI.

Zakres zgodnie z DORA:

Ryzyko ICT, incydenty i raportowanie (4h/24h/72h/1 mies.).
Testy odporności (BCM/DRP, restore-drille, tabletop/TLPT koordynowane).
Zarządzanie dostawcami ICT (due diligence, SLA, prawo audytu, exit).
Dowody / rejestry (ryzyk, incydentów, zmian, dostępów, umów, aktywów).
Warstwa techniczna: monitoring 24/7 i alerty, backupy (3-2-1/WORM), HA/DR, IAM/MFA, logi/SIEM, podatności/patching.

Czy wspieracie środowiska on-prem, private cloud i public cloud (AWS/Azure/GCP)?

Oczywiście, że tak!

Private cloud: nasz i klienta (VMware/Proxmox/K8s) — projekt, hardening, HA/DR, monitoring, backup/restore-drille.
Public cloud (AWS/Azure/GCP): landing zone, IAM/MFA, S3/Blob/WORM, obserwowalność, automatyzacje raportowania DORA.
On-prem: tylko zdalnie (architektura, konfiguracje, audyty, runbooki) — bez prac fizycznych w DC.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Wdrożenie DORA – zgodność ICT