dora

Rozporządzenie DORA: co warto wiedzieć?

Rozporządzenie DORA (Digital Operational Resilience Act) to kluczowy temat dla osób związanych z sektorem finansowym, szczególnie w kontekście regulacji i wymogów prawnych. Jakie są najważniejsze aspekty związane z DORĄ? Jaka jest historia rozporządzenia? A co najważniejsze – z jakimi obowiązkami wynikającymi z przepisów i wymogami stawianymi przez DORA trzeba się liczyć? O tym właśnie w dzisiejszym artykule! Nie zabraknie też kilku praktycznych wskazówek dotyczących interpretacji i wdrożenia.

Czym jest rozporządzenie DORA?

Rozporządzenie DORA to skrót od Digital Operational Resilience Act, czyli rozporządzenia dotyczącego cyfrowej odporności operacyjnej. Jego celem jest zwiększenie odporności sektora finansowego na zagrożenia związane z technologią cyfrową. Obejmuje m.in. wprowadzenie jednolitych standardów w zakresie zarządzania ryzykiem IT, testowania odporności na cyberatak oraz wymogów dotyczących outsourcingu usług technologicznych.

Historia i cel wprowadzenia rozporządzenia DORA

W 2020 roku Komisja Europejska przedstawiła projekt mający na celu wzmocnienie odporności sektora finansowego na zagrożenia cyfrowe. Główne cele i motywy za wprowadzeniem rozporządzenia DORA to:

Rozporządzenie weszło w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA mają czas do 17 stycznia 2025 roku.

Fot. kreska_ / Agata Krajewska

Zakres rozporządzenia DORA: Kogo dotyczy?

DORA obejmuje szeroką grupę podmiotów z sektora finansowego, to m.in.:

Warto zaznaczyć, że zakres DORA obejmuje również dostawców usług technologicznych, którzy świadczą usługi dla podmiotów z sektora finansowego. W związku z tym, nie tylko instytucje finansowe, ale też ich dostawcy usług IT muszą dostosować się do wymogów wynikających z tego rozporządzenia!

W przypadku nieprzestrzegania obowiązków wynikających z rozporządzenia DORA, podmioty te mogą ponieść różne konsekwencje, takie jak kary finansowe czy ograniczenia w prowadzeniu działalności.

Obowiązki wynikające z rozporządzenia DORA

Obowiązki rozporządzenia DORA obejmują szereg działań, które podmioty nim objęte muszą podjąć w celu zwiększenia swojej odporności na zagrożenia cyfrowe. Podstawowe obowiązki wynikające z rozporządzenia DORA to m.in.:

Jakie są konsekwencje nieprzestrzegania rozporządzenia DORA?

Opis potencjalnych konsekwencji naruszenia rozporządzenia DORA obejmuje m.in.:

Przykłady kar za nieprzestrzeganie rozporządzenia DORA mogą obejmować m.in. nałożenie grzywny na bank, który nie przeprowadził odpowiednich testów odporności na cyberatak, czy na instytucję płatniczą, która nie zapewniła odpowiedniego poziomu bezpieczeństwa danych swoich klientów.

Przestrzeganie obowiązków wynikających z rozporządzenia DORA jest kluczowe dla podmiotów z sektora finansowego oraz dostawców usług technologicznych – również  dlatego, że dzięki temu nikną negatywnych konsekwencji prawnych, finansowych i reputacyjnych.

Fot. kreska_ / Agata Krajewska

Jak spełnić wymogi DORA: Praktyczne wskazówki

W celu spełnienia wymogów DORA, podmioty objęte tym rozporządzeniem powinny podjąć konkretne działania. Oto kilka praktycznych wskazówek, które mogą pomóc w tym procesie:

 

  1. Przeprowadź analizę ryzyka IT, aby zidentyfikować potencjalne zagrożenia dla bezpieczeństwa danych i systemów informatycznych.

  2. Wdróż odpowiednie polityki i procedury zarządzania ryzykiem IT, które będą dostosowane do specyfiki działalności podmiotu oraz identyfikowanych zagrożeń.

  3. Zapewnij regularne szkolenia dla pracowników z zakresu bezpieczeństwa IT, aby zwiększyć ich świadomość na temat zagrożeń cyfrowych i sposobów ich minimalizacji.

  4. Przeprowadzaj regularne testy odporności na cyberatak, aby sprawdzić skuteczność zabezpieczeń i w razie potrzeby wprowadzać niezbędne zmiany.

  5. Monitoruj i raportuj incydenty IT, aby szybko reagować na ewentualne zagrożenia i minimalizować ich skutki.

  6. Współpracuj z dostawcami usług technologicznych, aby zapewnić odpowiednie zarządzanie ryzykiem związanym z korzystaniem z ich usług.

 

Ale od czego zacząć?

Aby osiągnąć zgodność organizacji z regulacjami DORA, pierwszymi krokami pozwalającym na przygotowanie się do nowych regulacji powinny być:

Fot. kreska_ / Agata Krajewska

Przepisy DORA wpływają na różne aspekty codziennej działalności podmiotów objętych tym rozporządzeniem. Oto kilka przykładów wpływu przepisów DORA na praktyczne aspekty działalności:

  1. Wdrożenie strategii zarządzania ryzykiem IT wymaga od podmiotów ciągłego monitorowania i analizowania potencjalnych zagrożeń, co pozwala na lepsze zabezpieczenie systemów informatycznych przed atakami.

  2. Zapewnienie odpowiedniego poziomu bezpieczeństwa danych może wymagać inwestycji w nowoczesne technologie oraz szkolenia pracowników z zakresu ochrony danych osobowych i informacji poufnych.

  3. Regularne testy odporności na cyberatak pozwalają na identyfikację słabych punktów w systemach informatycznych oraz wprowadzenie niezbędnych zmian w celu zwiększenia ich bezpieczeństwa.

  4. Monitorowanie i raportowanie incydentów IT umożliwia szybkie reagowanie na ewentualne zagrożenia oraz minimalizowanie ich skutków dla działalności podmiotu.

  5. Przestrzeganie wymogów dotyczących outsourcingu usług technologicznych może prowadzić do zmiany modelu współpracy z dostawcami usług IT oraz wprowadzenia dodatkowych zabezpieczeń w celu minimalizacji ryzyka związanego z korzystaniem z usług zewnętrznych dostawców.

Podsumowując rozporządzenie DORA wprowadza szereg istotnych wymogów dla podmiotów działających w sektorze finansowym, które mają na celu zwiększenie bezpieczeństwa systemów informatycznych oraz ochronę danych osobowych i informacji poufnych. Właściwe zrozumienie i spełnienie tych wymogów jest kluczowe dla uniknięcia negatywnych konsekwencji związanych z nieprzestrzeganiem przepisów DORA.

Chcesz się dobrze przygotować i mieć pewność, że spełniasz wszystkie wymogi?

Skontaktuj się z nami. Nasi doświadczeni eksperci dysponujący wieloletnim doświadczeniem w zarządzaniu bezpieczeństwem informacji, ryzykiem i ciągłością działania wspierają podmioty finansowe podlegające regulacji DORA w kolejnych etapach badania i raportowania zgodności:

  1. Analiza procesów w ujęciu BIA,

  2. Opracowanie lub aktualizacja zarządzania ryzykiem ICT,

  3. Stworzenie macierzy oceny procesów, katalogu krytyczności oraz ryzyk ICT,

  4. Przygotowanie raportu zbiorczego dla dalszych procesów raportowania sprawozdawczego oraz wypracowanie dokumentacji bezpieczeństwa.  

Współpracujemy z wieloma wiodącymi producentami rozwiązań z zakresu bezpieczeństwa. Dzięki temu posiadamy wiedzę w zakresie stosowanych i możliwych do zastosowania narządzi automatyzujących i wspierających bezpieczeństwo w organizacji.

CIEKAWE? POdziel się