Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?
Unia Europejska, w odpowiedzi na postępującą cyfryzację i związane z nią wyzwania, wprowadza różnego rodzaju narzędzia legislacyjne. Jednym z nich jest rozporządzenie DORA (Digital Operational Resilience Act), mające istotne znaczenie dla instytucji finansowych działających w UE. W artykule przyjrzymy się bliżej rozporządzeniu DORA, wyjaśnimy czym dokładnie jest, jakie podmioty finansowe obejmuje i jakie obowiązki narzuca.
Rozporządzanie DORA – czym jest?
Digital Operational Resilience Act (Rozporządzenie o Operacyjnej Odporności Cyfrowej) w skrócie DORA to unijny akt prawny zaostrzający wymogi w zakresie bezpieczeństwa cyfrowego sektora finansowego, fintechów oraz dostawców ICT funkcjonujących w obszarze UE.
Jego głównym celem jest wzmocnienie odporności wspomnianych instytucji na zagrożenia związane z cyberbezpieczeństwem oraz zakłóceniami operacyjnymi, takimi jak ataki hakerskie, awarie IT czy błędy ludzkie.
Czym jest „operacyjna odporność cyfrowa”?
Operacyjna odporność cyfrowa, o której mowa w rozporządzeniu DORA, to zdolność podmiotu finansowego do utrzymania ciągłości, niezawodności i jakości usług opartych się na technologiach ICT, zarówno wewnątrz, jak i we współpracy z zewnętrznymi dostawcami. Oznacza to, że instytucje finansowe muszą być gotowe na różne sytuacje kryzysowe i zakłócenia, które mogą wpłynąć na działanie ich systemów i sieci informatycznych.
Akt unijny DORA – kontekst powstania
Rozporządzenie DORA jest częścią unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, które ma na celu dostosowanie ram regulacyjnych do rozwoju technologii finansowych oraz ujednolicenie norm bezpieczeństwa cyfrowego w sektorze finansowym.
Dokument ten opiera się na pracach i zaleceniach różnych europejskich instytucji, takich jak Europejski Bank Centralny, i stanowi wspólny akt prawny dla wszystkich podmiotów finansowych.
Kiedy mija czas na wdrożenie przepisów DORA?
Termin wdrożenia rozporządzenia DORA mija 17 stycznia 2025 roku, co oznacza, że instytucje finansowe powinny już teraz zacząć wdrażać wymogi tych przepisów.
Przeczytaj również: Jak zapewnić cyberbezpieczeństwo w firmie, gdy na rynku brakuje specjalistów?
Jakie instytucje muszą dostosować się do rozporządzenia DORA?
DORA obejmuje szeroki zakres podmiotów sektora finansowego, w tym tradycyjne instytucje finansowe, firmy fintech, dostawców usług ICT i wiele innych. Łącznie przepisy będą miały zastosowanie do ponad 22 000 instytucji finansowych w całej Unii Europejskiej.
Pełna lista podmiotów objętych regulacjami DORA:
-
-
- podmioty udzielające kredytów,
- podmioty świadczące usługi płatnicze,
- podmioty świadczące usługi pieniądza elektronicznego,
- podmioty prowadzące działalność inwestycyjną,
- podmioty oferujące usługi związane z kryptoaktywami,
- emitenci kryptoaktywów,
- emitenci tokenów powiązanych z aktywami oraz emitenci znaczących tokenów powiązanych z aktywami,
- centralne depozyty papierów wartościowych,
- kontrahenci centralni,
- systemy obrotu,
- repozytoria transakcji,
- zarządzający alternatywnymi funduszami inwestycyjnymi,
- spółki zarządzające,
- dostawcy usług w zakresie udostępniania informacji,
- zakłady ubezpieczeń i zakłady reasekuracji,
- pośrednicy ubezpieczeniowi,
- pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia dodatkowe,
- instytucje pracowniczych programów emerytalnych,
- agencje oceny wiarygodności kredytowej,
- biegli rewidenci i firmy audutorskie,
- administratorzy kluczowych wskaźników referencyjnych,
- podmioty świadczące usługi finansowania społecznościowego,
- repozytoria sekurytyzacji,
- zewnętrzni dostawcy usług ICT.
-
Zawartość rozporządzenia DORA
Rozporządzenie DORA skupia się na pięciu kluczowych obszarach: zarządzaniu ryzykiem ICT, zarządzaniu incydentami związanymi z ICT, testowaniu cyfrowej odporności operacyjnej, zarządzaniu ryzykiem współpracy z zewnętrznymi dostawcami oraz wymianie informacji dotyczącej zagrożeń cybernetycznych. Poniżej ich krótkie omówienie.
1. Zarządzanie ryzykiem ICT
Przepisy DORA wymagają od instytucji finansowych ustanowienia kompleksowych i dobrze udokumentowanych ram zarządzania ryzykiem związanym z technologią informacyjno-komunikacyjną. Ramy te obejmują strategie, polityki, protokoły i narzędzia niezbędne do skutecznej ochrony infrastruktury cyfrowej. Zgodnie z regulacjami instytucje powinny również identyfikować, klasyfikować i prowadzić dokumentację funkcji biznesowych związanych z ICT.
DORA nakłada obowiązek opracowania między innymi: polityk bezpieczeństwa informacji, mechanizmów wykrywania nieprawidłowości, planów ciągłości działania w obszarze ICT, strategii tworzenia kopii zapasowych oraz planów komunikacyjnych dotyczących ujawniania cyberincydentów. Dodatkowo podmioty muszą zapewnić obowiązkowe szkolenia dla personelu.
2. Incydenty związane z ICT
DORA reguluje proces zarządzania incydentami ICT, w tym klasyfikację zdarzeń i określenie ich wpływu na podstawie określonych kryteriów. Przepisy nowego rozporządzenia wymagają także zgłaszania poważnych incydentów do odpowiednich organów.
3. Testowanie cyfrowej odporności operacyjnej
Rozporządzenie nakłada obowiązek testowania – co najmniej raz w roku – kluczowych systemów i aplikacji teleinformatycznych. Program testowania powinien obejmować różne aspekty, takie jak analiza open source, oceny bezpieczeństwa sieci, testowanie scenariuszy oraz testy penetracyjne.
4. Zarządzanie ryzykiem stron trzecich w branży ICT
DORA reguluje wszystkie procesy związane z współpracą z zewnętrznymi dostawcami usług ICT. Wymaga między innymi oceny dostawcy, opracowania i wdrożenia strategii wyjścia, planu przejścia, a także określenia kluczowych zewnętrznych dostawców usług teleinformatycznych.
5. Ustalenia dotyczące wymiany informacji
Rozporządzenie DORA narzuca instytucjom finansowym obowiązek dzielenia się informacjami o zagrożeniach cybernetycznych oraz wynikami analizy tych zagrożeń. Dotyczy to oznak naruszenia integralności systemu, taktyk, technik i procedur, ostrzeżeń dotyczących cyberbezpieczeństwa oraz narzędzi konfiguracyjnych.
Przeczytaj również: Unijne wytyczne dla bezpieczeństwa cyfrowego. Co musisz wiedzieć o dyrektywnie NIS2?
Kary za nieprzestrzeganie rozporządzenia DORA
W przypadku naruszenia przepisów DORA, organy nadzoru będą miały prawo nałożyć kary finansowe na instytucje podlegające rozporządzeniu. Kary te będą dostosowane do rodzaju naruszenia i jego wpływu na instytucję oraz sektor finansowy. Za poważne naruszenia przepisów organizacje mogą spodziewać się kary w wysokości do 10% jej rocznego obrotu.
Organ nadzorczy może również nałożyć kary finansowe na kluczowych zewnętrznych dostawców usług ICT. Sankcje te mogą wynieść do 1% średniego dziennego światowego obrotu takich dostawców za każdy dzień, w którym nie spełniają określonych wymagań.
Korzyści wynikające z wdrożenia przepisów DORA
Wdrożenie przepisów DORA przynosi korzyści organizacjom finansowym wiele korzyści, a podstawowe z nich to:
-
- zwiększenie cyberbezpieczeństwa – DORA pomaga firmom stawić czoło atakom cybernetycznym, co przekłada się na większą odporność operacyjną,
- zmniejszenie ryzyka – dzięki rozporządzeniu organizacje mogą z większą skutecznością identyfikować i minimalizować ryzyka związane z awariami systemów informatycznych,
- zapewnienie zgodności z prawem – wdrożenie rozporządzenia zapewnia zgodność z obowiązującymi przepisami UE,
- uniknięcie kar finansowych – spełnienie wymagań DORA chroni firmy przed sankcjami wynikającymi nieprzestrzegania unijnych przepisów,
- budowa reputacji – przestrzeganie przepisów DORA może zwiększyć wiarygodność firmy w oczach klientów i partnerów biznesowych.
Unia Europejska na straży cyberbezpieczeństwa
Wytyczne DORA, obok dyrektywy NIS2 i rozporządzenia Cyber Resilience Act, stanowi kolejny krok Unii Europejskiej w kierunku wzmacniania bezpieczeństwa cyfrowego podmiotów działających w jej obrębie. Przestrzeganie przepisów, wdrożenie odpowiednich środków ochrony i skuteczne zarządzanie ryzykiem ICT mają znaczenie nie tylko dla firm, ale także dla klientów, którzy mogą liczyć na większą niezawodność oraz bezpieczeństwo świadczonych usług.
Dlatego ważne jest, aby podmioty objęte DORA już teraz przygotowały się na nowe wymogi i dostosowały swoje procesy oraz systemy do obowiązujących wkrótce standardów. W ten sposób będą mogły nie tylko uniknąć sankcji, ale także zwiększyć swoją konkurencyjność i zaufanie na rynku usług cyfrowych.
Skontaktuj się z nami już dziś, aby przygotować swoją firmę na zmiany, które wprowadza DORA. Pomożemy w całym procesie oraz przeprowadzimy audyt zgodności.
Napisz do nas na [email protected] lub skorzystaj z formularza w stopce strony.