Co to jest rozporządzenie DORA?

Image link

Rozporządzenie DORA — Digital Operational Resilience Act jest europejskim rozporządzeniem, częścią nowej strategii dla sektora finansów Unii Europejskiej przekształcenia usług finansowych w jednolity rynek cyfrowy (pełny tekst rozporządzenia). Jego celem jest zwiększenie odporności sektora finansowego na ryzyka związane z cyberbezpieczeństwem oraz innymi zagrożeniami operacyjnymi, takimi jak awarie techniczne czy błędy ludzkie.

Od kiedy obowiązuje rozporządzenie DORA?

Rada Unii Europejskiej przyjęła projekt rozporządzenia DORA 28 listopada 2022 roku. W akcie zawarto 24-miesięczne vacatio legis, więc zacznie obowiązywać od początku 2025 roku.

DORA zacznie obowiązywać od początku 2025 roku.

Zgodnie z DORA objęte nią podmioty powinny:

  • określić wymogi dotyczące zapewnienia ciągłości działania w przypadku incydentów dotyczących podwykonawców oraz dostawców usług zewnętrznych;
  • wprowadzić ramowe zasady zarządzania ryzykiem ICT, w tym zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT;
  • używać i utrzymywać zaktualizowane systemy ICT;
  • utworzyć i wdrożyć polityki i procedury związane z bezpieczeństwem ICT;
  • utworzyć i wdrożyć procedury, które pozwolą zarządzać incydentami związanymi z ICT;
  • zgłaszać poważne incydenty związane z ICT do odpowiednich organów w czasie uzależnionym od sytuacji, informować o awariach i atakach nawet w czasie rzeczywistym;
  • przeprowadzać regularne testy penetracyjne oraz ćwiczenia dotyczące reakcji na incydenty i utrzymania ciągłości działania.

Kogo dotyczy DORA?

DORA ma na celu poprawić odporność sektora finansowego na różnego rodzaju zagrożenia operacyjne i cyberbezpieczeństwo, a także zwiększyć zaufanie klientów do instytucji finansowych. Obejmuje w szczególności:

  • Tradycyjne instytucje sektora finansowego m.in. banki, firmy ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne.
  • Podmioty z obszaru cyfrowych finansów, w tym FinTech m.in. dostawcy usług w zakresie kryptoaktywów, instytucje płatnicze, instytucje pieniądza elektronicznego.
  • Dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i inni dostawcy usług ICT.

Lista objętych podmiotów rozporządzeniem DORA:

  • Instytucje kredytowe,
  • instytucje płatnicze,
  • instytucje pieniądza elektronicznego,
  • firmy inwestycyjne,
  • dostawcy usług w zakresie kryptoaktywów,
  • emitenci kryptoaktywów,
  • emitenci tokenów powiązanych z aktywami oraz emitenci znaczących tokenów powiązanych z aktywami,
  • centralne depozyty papierów wartościowych,
  • kontrahenci centralni,
  • systemy obrotu,
  • repozytoria transakcji,
  • zarządzający alternatywnymi funduszami inwestycyjnymi,
  • spółki zarządzające,
  • dostawcy usług w zakresie udostępniania informacji,
  • zakłady ubezpieczeń i zakłady reasekuracji,
  • pośrednicy ubezpieczeniowi,
  • pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające,
  • instytucje pracowniczych programów emerytalnych,
  • agencje ratingowe,
  • biegli rewidenci i firmy audytorskie,
  • administratorzy kluczowych wskaźników referencyjnych,
  • dostawcy usług finansowania społecznościowego,
  • repozytoria sekurytyzacji,
  • zewnętrzni dostawców usług ICT.

Kary w DORA

DORA przewiduje stosowanie kar w przypadku naruszenia jego postanowień. W szczególności, organy nadzoru będą miały uprawnienia do nałożenia kar finansowych na instytucje finansowe, które nie spełniają wymagań wynikających z DORA.

Kary będą zależne od charakteru naruszenia i jego skutków dla instytucji finansowej oraz sektora finansowego jako całości. DORA przewiduje również karę w wysokości do 10% rocznego obrotu instytucji finansowej za poważne naruszenia związane z cyberbezpieczeństwem i operacyjną odpornością.

Dostawcy usług ICT stanowią kluczowy element infrastruktury informatycznej sektora finansowego i mają wpływ na operacyjną odporność instytucji finansowych. Rozporządzenie przewiduje kary dla dostawców kluczowych usług ICT.

Organ nadzorczy dostał uprawnienia do nakładania kar finansowych na kluczowych zewnętrznych dostawców usług ICT. Kary mogą wynosić 1% średniego dziennego światowego obrotu takiego dostawcy w poprzedzającym roku obrotowym za każdy dzień niezachowania zgodności z określonymi w DORA wymaganiami.

Dlaczego DORA?

Digital Operational Resilience Act (DORA) to realizacja nowej strategii cyfrowych finansów UE, która opublikowana została w 2020. Jej głównym celem jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego UE.

Przed podmiotami finansowymi nowa strategia stawia wymóg m.in.:

  • zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT);
  • zgłaszania poważnych incydentów związanych z ICT właściwym organom;
  • testowania operacyjnej odporności cyfrowej;
  • wymiany informacji i danych wywiadowczych w związku z cyberzagrożeniami i lukami w tym obszarze;
  • środków na rzecz należytego zarządzania przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT.

Nowa unijna strategia ponadto określa:

  • wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
  • ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
  • zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych niniejszym rozporządzeniem.

Jeżeli twoja organizacja została objęta nowym rozporządzeniem, skontaktuj się z ekspertami firmy ComCERT, aby:

  • Dokładnie określić obowiązki nałożone przez nowe prawo unijne.
  • Zidentyfikować lukę pomiędzy obowiązującymi dokumentami i praktykami a wymogami DORA.
  • Omówić rozwiązania, które spełnią wymogi DORA.
  • Wybrać usługi produkty ComCERT, które najbardziej pasują do potrzeb Twojej organizacji.
  • W efekcie wspólnych działań uzyskać zgodność z nowym wspólnotowym prawem dotyczącym cyberbezpieczeństwa sektora finansowego.

Pomożemy Ci w zarządzaniu ryzykiem zarówno twoim, jak i stron trzecich, w zgłaszaniu i zarządzaniu incydentami, testach odpornościowych, dzieleniu się informacjami o zagrożeniach. Oferujemy usługi w każdym aspekcie przygotowań po spełnienia obowiązków wynikających z DORA.