Jesteś dostawcą ICT dla rynku finansowego? Przygotuj się do spełnienia wymagań DORA!

calendar 19 lutego 2025
clock 6m 14s

Dostawcy usług ICT dla sektora finansowego powinni wdrożyć przepisy DORA, choć nie są bezpośrednio objęci regulacjami. Dlaczego? Ponieważ podmioty, których dotyczy DORA, mogą zawierać umowy tylko z dostawcami przestrzegającymi rozporządzania. Jeśli więc świadczysz usługi dla firm z branż określonych w regulacjach, spodziewaj się, iż wkrótce kontrahenci będą chcieli zweryfikować Twoje procesy i zabezpieczenia. Jak się do tego przygotować i jakie wymagania musisz spełnić, aby nie utracić klientów?

DORA – Digital Operational Resilience Act

Rozporządzenie DORA (Digital Operational Resilience Act) ma na celu zwiększenie operacyjnej odporności cyfrowej instytucji finansowych, fintechów, ubezpieczycieli oraz dostawców ICT funkcjonujących w obszarze UE. Przepisy wprowadzają konkretne wymagania w zakresie zarządzania ryzykiem operacyjnym i cyberbezpieczeństwem.

Kim są zewnętrzni dostawcy usług ICT?

W rozporządzeniu DORA mowa o zewnętrznych dostawcach usług ICT, czyli przedsiębiorstwach świadczących w sposób ciągły usługi cyfrowe lub usługi w obszarze danych za pośrednictwem systemów ICT (technologii informacyjno-komunikacyjnych). Organizacje te mogą mieć status:

      • zewnętrznego dostawcy usług ICT,
      • kluczowego zewnętrznego dostawcy ICT.

Zewnętrznych dostawców ICT wyznaczają Europejskie Urzędy Nadzoru na podstawie oceny ich wpływu na stabilność, ciągłość i jakość usług, systemowego charakteru podmiotów finansowych, zależności klientów od ich rozwiązań oraz stopnia substytucyjności.

Dostawcy ICT, którzy nie zostali uznani za kluczowych, mogą złożyć wniosek o ten status. Wiąże się on z nadzorem regulatorów, którzy mogą nakładać kary i sankcje, żądać odpowiednich informacji oraz dokumentów, a także wydawać zalecenia.

DORA w kontekście zewnętrznych dostawców ICT

Rozporządzenie DORA w artykule 28 nakłada na podmioty finansowe obowiązek zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, budując w ten sposób odporność całego łańcucha dostaw technologicznych.

Wymagania względem dostawców ICT zbliżone są do obowiązków stawianych samym firmom finansowym. Jednak zgodnie z przepisami, to organizacja finansowa ponosi odpowiedzialność za stosowanie bądź nie wymogów przez dostawcę ICT, dlatego to ona musi zapewnić, że jej dostawcy przestrzegają określonych standardów.

Przeczytaj również: Czym jest rozporządzenie DORA i jakie ma znaczenie dla sektora finansowego?

Funkcje krytyczne i istotne w DORA

W rozporządzeniu DORA mowa o funkcjach „krytycznych lub istotnych”. Choć mogłoby się wydawać, że mowa o dwóch różnych zadaniach, to tak naprawdę odnoszą się do jednej kategorii usług, które są kluczowe dla stabilności i funkcjonowania instytucji finansowych.

Zgodnie z definicją zawartą w DORA funkcja „krytyczna lub istotna” to funkcja, której zakłócenie mogłoby w sposób istotny wpłynąć na wyniki finansowe, bezpieczeństwo lub ciągłość działania podmiotu finansowego. To samo dotyczy sytuacji, w których zaprzestanie świadczenia usług lub niepowodzenie funkcji wpłynęłoby na zdolność instytucji do realizacji obowiązków wynikających z przepisów finansowych.

Dostawcy, którzy wspierają funkcje o kluczowym znaczeniu muszą przestrzegać bardziej rygorystycznych standardów.

Rejestr informacji (umów i zależności z dostawcą ICT)

Jednym z podstawowych wymagań DORA jest obowiązek prowadzenia przez podmioty finansowe rejestru umów zawieranych z dostawcami usług ICT. Ma to na celu monitorowanie wszystkich relacji, które mogą mieć wpływ na operacyjną odporność finansową. Dzięki rejestrowi organizacje mogą oceniać poziom ryzyka związany z każdą z tych umów i podejmować odpowiednie działania.

Z perspektywy dostawców usług ICT oznacza to obowiązek udostępnienia szczegółowych informacji na temat zawieranych kontraktów, identyfikacji poddostawców oraz usług wspierających krytyczne procesy finansowe.

Audyty dostawców ICT

W rozporządzeniu DORA mowa o nieograniczonych prawach dostępu, kontroli i audytu, w których skład w szczególności wchodzić mogą: przeprowadzanie audytów, bieżące monitorowanie wyników, prawo żądania udostępnienia (oraz sporządzania kopii) informacji i dokumentów, weryfikowanie posiadanych certyfikatów, analiza sprawozdań z audytów wewnętrznych.

Dostawcy usług ICT wspierający krytyczne lub istotne funkcje muszą zgodzić się na włączenie powyższych wymagań do umów.

Przeczytaj również: Unijne wytyczne dla bezpieczeństwa cyfrowego. Co musisz wiedzieć o dyrektywnie NIS2?

Analiza ryzyka usług ICT

DORA zobowiązuje instytucje finansowe do systematycznej analizy ryzyka w obszarze ICT. Celem tych działań jest identyfikowanie potencjalnych zagrożeń związanych z infrastrukturą technologiczną oraz dostawcami usług. Dzięki analizie podmioty będą mogły szybko wykrywać niebezpieczeństwa i reagować na nie, co jest kluczowe dla zapewnienia ciągłości działania

Dla dostawców usług ICT oznacza to konieczność przygotowania się do udziału w tym procesie lub przeprowadzenia własnej oceny ryzyka.

Zarządzanie incydentami i raportowanie zdarzeń przez dostawców ICT

Dostawcy ICT powinni posiadać gotowe procedury informowania swoich klientów o wszelkich incydentach, które mogą wpłynąć na bezpieczeństwo lub dostępność ich usług. Zgodnie z wymaganiami DORA, dostawcy muszą informować instytucje finansowe o zagrożeniach w określonym czasie, dzielić się statystykami, badać przyczyny zaistniałych incydentów oraz wdrażać odpowiednie środki zaradcze.

Dostawcy ICT mają także obowiązek poddawania swoich poddostawców podobnej kontroli.

Testowanie operacyjnej odporności cyfrowej dostawcy ICT

DORA nakłada na dostawców usług ICT obowiązek umożliwienia przeprowadzania testów bezpieczeństwa. Chodzi przede wszystkim o testy penetracyjne, które pozwolą wykryć ewentualne zagrożenia w krytycznych funkcjach systemów informatycznych.

Przeczytaj również: Cyber Resilience Act – czym są nowe wymogi dla urządzeń łączących się z Internetem?

Korzyści z dostosowania do DORA dla dostawców ICT

Choć dostosowanie do rozporządzenia DORA nie jest obowiązkowe dla dostawców ICT, to jedynie w ten sposób mogą odpowiedzieć na wymagania klientów z rynku finansowego oraz zwiększyć szanse na długoterminową współpracę. Firmy, które dostosują się do standardów będą postrzegane jako bardziej profesjonalne, co otworzy drzwi do nowych kontraktów.

Implementacja założeń DORA przekłada się również na stabilność organizacji, wzmocnienie jej odporności i gotowości na różne scenariusze kryzysowe, takie jak awarie systemów czy cyberataki.

Wdrożenie DORA – droga do odporności i przewagi konkurencyjnej

Implementacja wymagań DORA to kluczowy krok w stronę zwiększenia odporności operacyjnej dostawców usług ICT, współpracujących z sektorem finansowym. Dostosowanie procesów, systemów i procedur do przepisów wiąże się jednak ze szczegółową analizą, wdrożeniem odpowiednich narzędzi oraz przeprowadzeniem audytów i szkoleń – a to wszystko wymaga doświadczenia i specjalistycznej wiedzy.

Jako eksperci w dziedzinie cyberbezpieczeństwa, oferujemy audyty, testy penetracyjne, wsparcie w implementacji zgodności z DORA i szkolenia, które pomogą Ci dostosować się do nowych przepisów.

Nasze podejście gwarantuje, że podmioty objęte DORA nie będą miały żadnych wątpliwości co do kontynuowania współpracy z Twoją organizacją, a jeśli jeszcze jej nie rozpoczęły, będą gotowe do nawiązania stałej współpracy, widząc w Tobie partnera, który zapewnia pełną zgodność z regulacjami i najwyższe standardy bezpieczeństwa.

Sprawdź jak możemy wesprzeć Cię w zakresie spełnienia wymagań rozporządzenia DORA.

Dostosuj się z nami do DORA

Napisz do nas na [email protected] lub skorzystaj z formularza w stopce strony.

Wdrożenie DORA

Podobne wpisy
Jak zapewnić cyberbezpieczeństwo w firmie, gdy na rynku brakuje specjalistów? Wywiad z Marcinem Marczewskim – CEO Resilia
calendar 14 stycznia 2023
clock 8m 49s

Każda organizacja, niezależnie od wielkości i branży, narażona jest na szereg cyberzagrożeń. Postępująca cyfryzacja i wzrost aktywności cyberprzestępców sprawia, że zapotrzebowanie na wykwalifikowanych pracowników rośnie. Jak […]
Przegląd tygodnia: Ćwiczenia służb ratowniczych i awarie telekomunikacyjne
calendar 20 września 2011
clock 4m 59s

W dzisiejszym wpisie przeczytacie o przygotowaniu do ewentualnych sytuacji kryzysowych podczas Euro 2012, problemach BlackBerry oraz awarii połączeń szerokopasmowych dostarczanych przez BT.   Ćwiczenia „Wypadek […]
Audyty systemu ISO – jakie są ich rodzaje, czemu służą i kiedy je przeprowadzać
calendar 14 czerwca 2023
clock 6m 52s

Firmy, aby sprostać oczekiwaniom biznesowym i utrzymać przewagę konkurencyjną, decydują się na wdrażanie systemów zarządzania ISO. Jednak samo wprowadzenie systemu nie wystarczy. Konieczne […]

NIS2 podmioty objęte przepisami

SPRAWDŹ I UNIKNIJ KAR FINANSOWYCH

Skontaktuj się z nami
Resilia Sp. z o.o.
Resilia Sp. z o.o.
ul. Żurawia 43 lok. 205
00-680 Warszawa
KRS 0000379789
NIP 5222972858
REGON 142839818
telefon
+48 22 243 39 37
e-mail
[email protected]


    Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


    Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

    Polityka prywatności
    Regulaminu świadczenia usług
    © Resilia Sp. z o.o. Wszelkie prawa zastrzeżone
    Projekt i realizacja Eager Dots
    Dziękujemy za przesłanie formularza z pytaniem. Postaramy się jak najszybciej na nie odpowiedzieć!
    Niestety formularza nie udało się wysłać. Proszę spróbować ponownie później lub skontaktować się z nami bezpośrednio.






      Wyrażam zgodę na przetwarzanie moich danych osobowych przez Resilia Sp. z o.o. w celu prowadzenia działań marketingowo-handlowych dotyczących produktów lub usług firmy w formie:


      Szczegóły dotyczące przetwarzania danych osobowych, wycofania wyrażonych zgód oraz administratora danych znajdują się w Polityce prywatności.

      Zgłoszenie zostało wysłane!