W dobie dynamicznego wzrostu ryzyka cyfrowego Unia Europejska stawia czoła nowym wyzwaniom, wprowadzając narzędzia legislacyjne mające na celu zapewnienie stabilności oraz bezpieczeństwa podmiotom finansowym i organom nadzoru finansowego. Jednym z instrumentów prawnych, które ma kluczowe znaczenie w tym zakresie, jest rozporządzenie DORA (Digital Operational Resilience Act), które odgrywa istotną rolę w umacnianiu odporności operacyjnej instytucji finansowych na terenie UE. Przeczytaj artykuł i sprawdź, na czym polega rozporządzenie DORA, które podmioty finansowe obejmuje oraz jakie obowiązki i wymagania DORA nakłada na instytucje płatnicze. 

DORA – czym jest rozporządzenie Parlamentu Europejskiego i Rady UE?

Rozporządzenie DORA jest integralną częścią unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych. Celem rozporządzenia DORA jest nie tylko dostosowanie regulacji w zakresie operacyjnej odporności cyfrowej sektora dla rozwoju technologii finansowych, ale również ujednolicenie standardów w zakresie cyberbezpieczeństwa w całym sektorze finansowym. Dokument ten został opracowany na podstawie prac i zaleceń różnych europejskich instytucji, w tym Europejskiego Banku Centralnego, i stanowi wspólny akt prawny obejmujący wszystkie podmioty finansowe w Unii Europejskiej.

Główne cele rozporządzenia DORA

Głównym celem rozporządzenia DORA jest zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej wśród podmiotów finansowych. Zgodnie z artykułem 3 rozporządzenia DORA, „operacyjna odporność cyfrowa” oznacza zdolność instytucji finansowych do utrzymania bezpieczeństwa i niezawodności systemów informatycznych, zarówno wewnętrznych, jak i zewnętrznych poprzez współpracę z dostawcami usług ICT (Information and Communication Technologies – technologie informacyjne, komunikacyjne i telekomunikacyjne), co oznacza, że instytucje te muszą być gotowe na wszelkie sytuacje kryzysowe i zakłócenia w działaniu swoich systemów. 

Wyróżnia się 3 główne cele rozporządzenia DORA:

Zwiększenie odporności cyfrowej 

Rozporządzenie DORA dąży do wzmocnienia odporności cyfrowej podmiotów finansowych poprzez lepszą ochronę danych osobowych klientów, ułatwienie współpracy i wymianę informacji między podmiotami finansowymi oraz organami państwowymi i unijnymi.

Ujednolicenie przepisów

Aby osiągnąć te cele, konieczne jest wprowadzenie jednolitych regulacji na poziomie Unii Europejskiej. Harmonizacja przepisów krajowych i unijnych pozwala na dostosowanie się do dynamicznego rozwoju technologii w sektorze finansowym.

Usunięcie luk i niespójności

DORA uzupełnia luki i eliminuje niespójności w istniejących przepisach dotyczących cyberbezpieczeństwa. Wprowadza konkretne regulacje w zakresie zarządzania ryzykiem, zgłaszania incydentów, testowania odporności operacyjnej oraz monitorowania ryzyka. Oczekiwanym efektem jest zwiększenie świadomości zagrożeń i potwierdzenie, że brak odporności cyfrowej sektora finansowego może zagrażać stabilności finansowej.

W praktyce implementacja rozporządzenia DORA zapewnia większe bezpieczeństwo usług cyfrowych sektora finansowego w całej Unii Europejskiej.

Od kiedy obowiązuje rozporządzenie DORA?

Rozporządzenie DORA weszło w życie 16 stycznia 2023 roku, a czas na wdrożenie wymagań upływa 17 stycznia 2025 roku. DORA zobowiązuje instytucje finansowe do opracowania i wdrożenia procesów w zakresie zarządzania ryzykiem ICT do tego czasu. Ma to na celu poprawę wykrywania incydentów, reagowania na nie oraz ich zgłaszania. 

Dokładniejsze wytyczne dotyczące tego procesu są zawarte w przepisach rozporządzenia DORA.

Rozporządzenie DORA – kogo dotyczy? Podmioty objęte DORA

Rozporządzenie DORA wprowadza nowe obowiązki w zakresie zarządzania ryzykiem związanym z sektorem finansowym. Obejmuje szeroki zakres podmiotów, między innymi instytucje pieniądza elektronicznego czy instytucje pracowniczych programów emerytalnych, które muszą dostosować swoje procedury do nowych wymagań. 

Rozporządzenie DORA z obszaru cyfrowych finansów dotyczy głównie: 

  • administratorów kluczowych wskaźników referencyjnych,
  • agencje ratingowe,
  • centralnych depozytów papierów wartościowych,
  • dostawców świadczących usługę dostępu do informacji o rachunku,
  • dostawców usług finansowania społecznościowego,
  • dostawców usług w zakresie krypto aktywów,
  • dostawców usług w zakresie udostępniania informacji,
  • firm inwestycyjnych,
  • firm ubezpieczeniowych i zakładów reasekuracji,
  • instytucji kredytowych,
  • instytucji płatniczych,
  • instytucji pieniądza elektronicznego,
  • instytucji pracowniczych programów emerytalnych,
  • kontrahentów centralnych,
  • pośredników ubezpieczeniowych,
  • pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające,
  • repozytoriów transakcji,
  • repozytoriów sekurytyzacji,
  • spółek zarządzających,
  • systemów obrotu,
  • zarządzających alternatywnymi funduszami inwestycyjnymi,
  • zewnętrznych dostawców usług ICT.

Kluczowe filary rozporządzenia DORA związane z zewnętrznymi dostawcami usług ICT

Zarządzanie ryzykiem ICT

Rozporządzenie DORA wymaga od instytucji finansowych wprowadzenia kompleksowych oraz dobrze udokumentowanych ram zarządzania ryzykiem ICT i standardów odporności cyfrowej. Te ramy powinny obejmować narzędzia, polityki, protokoły i strategie potrzebne do skutecznej ochrony infrastruktury cyfrowej. Instytucje muszą także identyfikować, klasyfikować i dokumentować funkcje biznesowe w zakresie ICT.

Incydenty związane z ICT

Rozporządzenie DORA reguluje zarządzanie incydentami w zakresie ICT, w tym klasyfikację incydentów oraz ocenę ich wpływu na podstawie określonych kryteriów. Nowe przepisy wymagają również zgłaszania incydentów związanych z ICT do odpowiednich organów regulacyjnych.

Testowanie cyfrowej odporności operacyjnej

Rozporządzenie nakłada obowiązek testowania kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania powinien obejmować analizę open source, oceny bezpieczeństwa sieci oraz testowanie scenariuszy.

Zarządzanie ryzykiem stron trzecich w branży zewnętrznych dostawców usług ICT 

Rozporządzenie DORA reguluje współpracę z zewnętrznymi dostawcami usług ICT. Wymaga oceny dostawców usług chmury obliczeniowej, opracowania i wdrożenia strategii wyjścia, planu przejścia oraz określenia kluczowych dostawców usług ICT.

Ustalenia dotyczące wymiany informacji

Rozporządzenie DORA zobowiązuje instytucje finansowe do dzielenia się informacjami o zagrożeniach cybernetycznych oraz wynikami ich analiz. Dotyczy to oznak naruszenia integralności systemu, taktyk, technik i procedur oraz ostrzeżeń dotyczących cyberbezpieczeństwa i narzędzi konfiguracyjnych.

Jakie kary grożą za nieprzestrzeganie rozporządzenia DORA?

Tym, co interesuje każdą instytucję zobowiązaną do stosowania rozporządzenia DORA, są konsekwencje niewdrożenia procedur w ogóle lub w nieodpowiednim terminie. Na mocy rozporządzenia DORA, Komisja Nadzoru Finansowego (KNF) została wyposażona w kompetencje nakładania kar finansowych. Wysokość tych kar zależy od rodzaju naruszenia oraz jego wpływu na daną instytucję i cały sektor finansowy. 

W przypadku naruszenia przepisów DORA, organy nadzoru będą mogły nałożyć kary finansowe na instytucje podlegające rozporządzeniu. Kary te będą dostosowane do rodzaju naruszenia i jego wpływu na instytucję oraz sektor finansowy. Za poważne naruszenia przepisów organizacje mogą spodziewać się kar sięgających do 10% rocznego obrotu. Organ nadzorczy ma również prawo nałożyć kary finansowe na głównych zewnętrznych dostawców usług ICT. Te kary z kolei mogą sięgnąć do 1% średniego dziennego globalnego obrotu dostawców za każdy dzień, w którym nie spełniają ustalonych wymagań.

Korzyści wynikające z wdrożenia przepisów DORA

Rozporządzenie DORA wprowadza nowe wymogi i zmiany mające na celu zwiększenie bezpieczeństwa cyfrowego w sektorze finansowym, co wzmocni zaufanie klientów i inwestorów, a także przyniesie korzyści dla całej branży.

Ważne, aby pamiętać, że rozporządzenie DORA uzupełnia braki i eliminuje niespójności w istniejących przepisach dotyczących cyberbezpieczeństwa instytucji finansowych. Oczekuje się, że nowe regulacje zwiększą świadomość na temat zagrożeń związanych z cyfryzacją i brakiem odporności operacyjnej.

W praktyce, wdrożenie rozporządzenia DORA ma zapewnić stabilność unijnego systemu finansowego, czyniąc korzystanie z usług cyfrowych bezpieczniejszym.

Jak organizacje powinny przygotować się na rozporządzenie DORA?

Rozporządzenie DORA nakłada na podmioty finansowe obowiązek wdrożenia procesu zarządzania incydentami związanymi z ICT, który obejmuje:

  • Opracowanie systemu wczesnego ostrzegania;
  • Przygotowanie strategii komunikacyjnych skierowanych do pracowników, zewnętrznych interesariuszy, mediów oraz planów informowania klientów, a także wewnętrznych procedur eskalacyjnych dotyczących skarg klientów związanych z ICT;
  • Stworzenie procedur służących do wykrywania, monitorowania, dokumentowania, klasyfikowania i oceniania incydentów na podstawie ich priorytetu, wagi oraz istotności dla świadczonych usług.
  • Ustanowienie procedur reagowania na incydenty związane z ICT, mających na celu minimalizację ich skutków oraz szybkie przywrócenie działania i bezpieczeństwa usług;
  • Wyznaczenie odpowiedzialności i zadań w przypadku różnych typów incydentów w określonych sytuacjach;
  • Zapewnienie raportowania istotnych incydentów odpowiednim członkom kadry zarządzającej oraz informowanie organu nadzorczego o poważnych incydentach wraz z opisem ich wpływu, podjętych działań i dodatkowych mechanizmów kontrolnych.

Podmioty finansowe są również zobowiązane do przestrzegania kompleksowego programu testowania operacyjnej wytrzymałości cyfrowej.

Rozporządzenie DORA – podsumowanie

Wytyczne rozporządzenia DORA wraz z dyrektywą NIS2 i rozporządzeniem Cyber Resilience Act, stanowią kluczowy element strategii Unii Europejskiej w zakresie wzmacniania cyberbezpieczeństwa instytucji działających na jej terenie. Nowe przepisy nakładają na podmioty finansowe obowiązek wdrożenia skutecznych mechanizmów ochronnych oraz zarządzania ryzykiem ICT, co ma istotne znaczenie zarówno dla samych firm, jak i ich klientów. 

Dzięki temu, użytkownicy usług finansowych mogą liczyć na większą niezawodność i bezpieczeństwo świadczonych usług. Dlatego kluczowe jest, aby instytucje objęte rozporządzeniem DORA jak najszybciej zaczęły przygotowania do spełnienia nowych wymogów regulacyjnych. Dostosowanie procesów i systemów do nadchodzących standardów pozwoli nie tylko na uniknięcie ewentualnych kar, ale także na zwiększenie konkurencyjności i zaufania wśród klientów na rynku usług cyfrowych.

Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    Rozwiązania biznesowe

    Platforma AdaptiveGRC oferuje szereg modułów ułatwiających zarządzanie działaniami GRC w Twojej firmie spełniając najnowsze wymogi regulacyjne (DORA, NIS2).

    Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
    ZAREZERWUJ KONSUTLACJĘ

    Usprawnij swoje działania GRC dzięki AdaptiveGRC
    Uzyskuj szybsze wyniki.

    • Wypełnij formularz.
    • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
    • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
    • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
    Wypełnij formularz

      Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

      NASZE RECENZJE

      Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

      Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

      AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

      Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

      Wszechstronna platforma do zarządzania ryzykiem i zgodnością

      Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

      Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

      Doskonałe narzędzie do kontroli zgodności

      Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

      Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

      AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

      Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

      Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

      W nazwie AdaptiveGRC zawiera się wszystko

      Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

      D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

      Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

      Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

      Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

      Świetne wsparcie dla firmy ubezpieczeniowej

      Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

      Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500

      Zapisz się na nasz newsletter, aby otrzymywać najnowsze informacje, artykuły i porady dotyczące zarządzania ryzykiem, zgodnością i ładem korporacyjnym.
      Bądź na bieżąco z najnowszymi trendami i rozwiązaniami, które mogą pomóc Twojej organizacji osiągnąć doskonałość operacyjną i zgodność z przepisami.