dora

Rozporządzenie DORA

Rozporządzenie DORA (Digital Operational Resilience Act) to kluczowy temat dla osób związanych z sektorem finansowym. Szczególnie istotny jest w kontekście regulacji i wymogów prawnych.

Dlatego warto zrozumieć, jakie są najważniejsze aspekty związane z DORĄ. Ponadto warto poznać historię rozporządzenia.

Co najważniejsze, należy wiedzieć, z jakimi obowiązkami wynikającymi z przepisów oraz wymogami stawianymi przez DORA trzeba się liczyć. O tym właśnie opowiemy w dzisiejszym artykule.

Dodatkowo, nie zabraknie kilku praktycznych wskazówek dotyczących interpretacji i wdrożenia przepisów.

Czym jest rozporządzenie DORA?

Rozporządzenie DORA to skrót od Digital Operational Resilience Act, czyli rozporządzenia dotyczącego cyfrowej odporności operacyjnej. Jego celem jest zwiększenie odporności sektora finansowego na zagrożenia związane z technologią cyfrową. Obejmuje m.in. wprowadzenie jednolitych standardów w zakresie zarządzania ryzykiem IT, testowania odporności na cyberatak oraz wymogów dotyczących outsourcingu usług technologicznych.

Historia i cel wprowadzenia rozporządzenia DORA

W 2020 roku Komisja Europejska przedstawiła projekt mający na celu wzmocnienie odporności sektora finansowego na zagrożenia cyfrowe. Główne cele i motywy za wprowadzeniem rozporządzenia DORA to:

  • zwiększenie bezpieczeństwa i stabilności sektora finansowego,
  • ochrona klientów i inwestorów przed negatywnymi skutkami incydentów IT,
  • zapewnienie jednolitych standardów w zakresie zarządzania ryzykiem IT/ICT oraz testowania odporności na cyberatak,
  • wprowadzenie wymogów dotyczących outsourcingu usług technologicznych.

Rozporządzenie weszło w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA mają czas do 17 stycznia 2025 roku.

Eksperci domenowi – osoby, które na co dzień działają w procesach, które automatyzujemy w projektach IT, są niezastąpionym źródłem informacji o tym, jak dany proces biznesowy naprawdę wygląda, jaki jest jego przebieg i co jest potrzebne w ich codziennej pracy.

Fot. kreska_ / Agata Krajewska

Zakres rozporządzenia DORA: Kogo dotyczy?

DORA obejmuje szeroką grupę podmiotów z sektora finansowego, to m.in.:

  • banki,
  • instytucje płatnicze,
  • instytucje ubezpieczeniowe,
  • firmy inwestycyjne,
  • zarządzający funduszami,
  • giełdy,
  • platformy obrotu,
  • centralne depozyty papierów wartościowych,
  • inne podmioty świadczące usługi finansowe.

Warto zaznaczyć, że zakres DORA obejmuje również dostawców usług technologicznych. Są to firmy, które świadczą usługi dla podmiotów z sektora finansowego. Dlatego nie tylko instytucje finansowe, ale też ich dostawcy usług IT muszą dostosować się do wymogów wynikających z tego rozporządzenia.

Co więcej, w przypadku nieprzestrzegania obowiązków wynikających z rozporządzenia DORA podmioty te mogą ponieść różne konsekwencje. Na przykład mogą to być kary finansowe lub ograniczenia w prowadzeniu działalności.

Obowiązki wynikające z rozporządzenia DORA

Obowiązki wynikające z rozporządzenia DORA obejmują szereg działań. Podmioty objęte tym rozporządzeniem muszą je podjąć, aby zwiększyć swoją odporność na zagrożenia cyfrowe.

Podstawowe obowiązki DORA to m.in.:

  • Wdrożenie strategii zarządzania ryzykiem IT. Strategia powinna być dopasowana do specyfiki działalności podmiotu.

  • Zapewnienie odpowiedniego poziomu bezpieczeństwa danych. Dotyczy to ochrony danych osobowych oraz informacji poufnych.

  • Przeprowadzanie regularnych testów odporności na cyberatak. Testy pozwalają sprawdzić skuteczność zabezpieczeń.

  • Monitorowanie i raportowanie incydentów IT. Dzięki temu podmiot może szybko reagować na zagrożenia.

  • Przestrzeganie wymogów dotyczących outsourcingu usług technologicznych. Obejmuje to odpowiednie zarządzanie ryzykiem związanym z korzystaniem z usług zewnętrznych dostawców.

  • Dokumentacja bezpieczeństwa. Powinna wynikać z zidentyfikowanych ryzyk.

Jakie są konsekwencje nieprzestrzegania rozporządzenia DORA?

Opis potencjalnych konsekwencji naruszenia rozporządzenia DORA obejmuje kilka obszarów.

  • Przede wszystkim mogą to być kary finansowe. Mogą sięgać nawet kilku procent rocznych przychodów podmiotu.

  • Ponadto podmioty mogą napotkać ograniczenia w prowadzeniu działalności. Mogą one obejmować zawieszenie lub cofnięcie licencji.

  • Dodatkowo istnieje nakaz wdrożenia działań naprawczych. Mają one na celu usunięcie nieprawidłowości.

  • Co więcej, naruszenie przepisów DORA może prowadzić do uszczerbku na reputacji podmiotu. Dotyczy to zarówno klientów, jak i inwestorów.

Przykłady kar za nieprzestrzeganie rozporządzenia DORA mogą być bardzo dotkliwe. Na przykład obejmują nałożenie grzywny na bank, który nie przeprowadził odpowiednich testów odporności na cyberatak. Dodatkowo sankcje mogą dotyczyć instytucji płatniczej, która nie zapewniła właściwego poziomu bezpieczeństwa danych swoich klientów.

Dlatego przestrzeganie obowiązków wynikających z rozporządzenia DORA jest kluczowe dla wszystkich podmiotów z sektora finansowego oraz dostawców usług technologicznych. Co więcej, dzięki temu firmy unikają negatywnych konsekwencji prawnych, finansowych i reputacyjnych.

Fot. kreska_ / Agata Krajewska

Jak spełnić wymogi DORA: Praktyczne wskazówki

W celu spełnienia wymogów rozporządzenia DORA, podmioty nim objęte powinny podjąć konkretne działania. Przede wszystkim należy przeprowadzić analizę ryzyka IT. Dzięki temu możliwe jest zidentyfikowanie potencjalnych zagrożeń dla bezpieczeństwa danych. Dodatkowo analiza pozwala wskazać ryzyka w systemach informatycznych.

Następnie warto wdrożyć odpowiednie polityki i procedury zarządzania ryzykiem IT. Powinny być dopasowane do specyfiki działalności oraz do wcześniej zidentyfikowanych zagrożeń. Równie ważne jest zapewnienie regularnych szkoleń dla pracowników z zakresu bezpieczeństwa IT. Szkolenia zwiększają świadomość zagrożeń cyfrowych. Pozwalają także nauczyć sposoby ich minimalizacji.

Co więcej należy przeprowadzać regularne testy odporności na cyberatak. Testy sprawdzają skuteczność zabezpieczeń. W razie potrzeby umożliwiają wprowadzenie niezbędnych zmian. Dodatkowo podmioty powinny monitorować i raportować incydenty IT. Pozwala to szybko reagować na zagrożenia i minimalizować ich skutki.

Na koniec warto współpracować z dostawcami usług technologicznych. Współpraca umożliwia skuteczne zarządzanie ryzykiem związanym z korzystaniem z ich usług.

Ale od czego zacząć?

Aby osiągnąć zgodność organizacji z regulacjami DORA, pierwszymi krokami pozwalającym na przygotowanie się do nowych regulacji powinny być:

  • identyfikacja procesów,
  • identyfikacja zasobów informatycznych (systemy, infrastruktura techniczna)
  • przegląd i katalog umów ze stronami trzecimi odpowiadającymi za infrastrukturę ICT (Information and Communications Technology)

Fot. kreska_ / Agata Krajewska

Przepisy DORA wpływają na różne aspekty codziennej działalności podmiotów objętych tym rozporządzeniem. Przykładowo przepisy DORA mają realny wpływ na praktyczne aspekty funkcjonowania firm:

  1. Po pierwsze, wdrożenie strategii zarządzania ryzykiem IT wymaga ciągłego monitorowania i analizowania potencjalnych zagrożeń. Dzięki temu możliwe jest lepsze zabezpieczenie systemów informatycznych przed atakami.

  2. Po drugie, zapewnienie odpowiedniego poziomu bezpieczeństwa danych może wymagać inwestycji w nowoczesne technologie. Dodatkowo konieczne są szkolenia pracowników z zakresu ochrony danych osobowych i informacji poufnych.

  3. Kolejnym aspektem są regularne testy odporności na cyberatak. Testy pozwalają na identyfikację słabych punktów w systemach informatycznych. Co więcej, umożliwiają wprowadzenie niezbędnych zmian w celu zwiększenia bezpieczeństwa.

  4. Ponadto, monitorowanie i raportowanie incydentów IT umożliwia szybkie reagowanie na zagrożenia. Dzięki temu możliwe jest minimalizowanie skutków dla działalności podmiotu.

  5. Na koniec, przestrzeganie wymogów dotyczących outsourcingu usług technologicznych może prowadzić do zmiany modelu współpracy z dostawcami IT. Dodatkowo wprowadza dodatkowe zabezpieczenia, które minimalizują ryzyko związane z korzystaniem z usług zewnętrznych dostawców.

Podsumowując, rozporządzenie DORA wprowadza szereg istotnych wymogów dla podmiotów działających w sektorze finansowym. Mają one na celu zwiększenie bezpieczeństwa systemów informatycznych oraz ochronę danych osobowych i informacji poufnych. Dlatego właściwe zrozumienie i spełnienie tych wymogów jest kluczowe dla uniknięcia negatywnych konsekwencji wynikających z nieprzestrzegania przepisów DORA.

Chcesz się dobrze przygotować i mieć pewność, że spełniasz wszystkie wymogi?

Skontaktuj się z nami. Nasi doświadczeni eksperci posiadają wieloletnie doświadczenie w zarządzaniu bezpieczeństwem informacji, ryzykiem oraz ciągłością działania. W związku z tym wspierają podmioty finansowe podlegające regulacji DORA. Ponadto pomagają w kolejnych etapach badania zgodności. Dodatkowo wspierają raportowanie zgodności z wymaganiami DORA:

  1. Analiza procesów w ujęciu BIA,

  2. Opracowanie lub aktualizacja zarządzania ryzykiem ICT,

  3. Stworzenie macierzy oceny procesów, katalogu krytyczności oraz ryzyk ICT,

  4. Przygotowanie raportu zbiorczego dla dalszych procesów raportowania sprawozdawczego oraz wypracowanie dokumentacji bezpieczeństwa.  

Współpracujemy z wieloma wiodącymi producentami rozwiązań z zakresu bezpieczeństwa. Dzięki temu posiadamy wiedzę w zakresie stosowanych i możliwych do zastosowania narządzi automatyzujących i wspierających bezpieczeństwo w organizacji.

Czy Twoja organizacja jest zgodna z DORA?

W Finture świadczymy również usługi doradcze w zakresie przygotowania organizacji Digital Operational Resilience Act. Przeprwadzamy analizę BIA, określamy RTO (Recovery Time Objective) oraz RPO (Recovery Point Objective). Co więcej, budujemy procedury w oparciu o ISO 31000 oraz NIST
800-53.

Zapoznaj się z usługą
Picture of Weronika Dyląg
Weronika Dyląg

CIEKAWE? POdziel się