Rozporządzenie DORA – czym jest Digital Operation Resilience Act?

Postępująca cyfryzacja kolejnych sfer naszego codziennego życia wymusza wdrażanie rozwiązań legislacyjnych mających podnosić poziom cyberbezpieczeństwa. Przykładem takiego dokumentu jest rozporządzenie NIS2 czy rozporządzenie DORA, a więc Digital Operation Resilience Act. Do kogo dokładnie adresowane jest nowe prawo, kiedy wchodzi w życie, co obejmuje i które instytucje będą musiały dostosować się do jego wymogów? Zapoznaj się z treścią naszego poradnika i dowiedz się wszystkiego, co trzeba wiedzieć na temat nowych przepisów wprowadzonych przez Unię Europejską dla sektora finansowego.

Czym jest rozporządzenie DORA?

Digital Operational Resilience Act to unijny akt prawny, który ma na celu zwiększenie cyfrowej odporności operacyjnej sektora finansowego UE. Rozporządzenie DORA zostało przyjęte przez Radę Unii Europejskiej 28 listopada 2022 i zacznie obowiązywać od 17 stycznia 2025 r. Jego wdrożenie w Polsce będzie nadzorować Komisja Nadzoru Finansowego (KNF).

Podstawowym celem dokumentu jest zagwarantowanie, by podmioty sektora finansowego były w stanie kontynuować działalność w przypadku zakłóceń lub incydentów związanych z technologiami informacyjnymi i komunikacyjnymi (ICT). Rozporządzenie DORA obejmuje zarówno podmioty finansowe, takie jak banki, ubezpieczyciele czy firmy inwestycyjne, jak i kluczowych dostawców usług ICT, którzy dostarczają im krytyczne technologie oraz rozwiązania. DORA wprowadza szereg nowych obowiązków w zakresie odporności operacyjnej cyfrowej, w tym m.in.:

• ustanawia wymogi w zakresie zarządzania ryzykiem operacyjnym, obejmujące identyfikację, ocenę i monitorowanie ryzyka,
• wymaga od podmiotów finansowych opracowania planów ciągłości działania, które opisują, jak będą one kontynuować działalność w przypadku zakłócenia lub incydentu,
• nakłada obowiązek przeprowadzania regularnych ćwiczeń testowych, sprawdzających zdolność instytucji do reagowania na zakłócenia lub incydenty,
• ustanawia wymogi w zakresie bezpieczeństwa ICT, obejmujące ochronę danych osobowych i finansowej informacji poufnej.

Przepisy mają na celu zwiększenie odporności sektora finansowego UE nie tylko na cyberataki, ale również na zakłócenia i zagrożenia związane z technologiami ICT, w tym awarie systemów czy przerwy w dostawie prądu. Nowe prawo ma również chronić klientów przed negatywnymi skutkami zakłóceń lub incydentów.

Operacyjna odporność cyfrowa – kluczowe pojęcie w kontekście DORA

Wyżej wymienione sytuacje mogą mieć negatywny wpływ na klientów podmiotów finansowych. Cyfrowa odporność operacyjna to swoista gwarancja dostępu do usług i produktów, nawet w przypadku nieprzewidzianych zdarzeń. Jej utrzymanie pomaga również podmiotom poprawiać wydajność poprzez zmniejszenie ryzyka wystąpienia incydentów. Rozporządzenie DORA jest ważnym krokiem w kierunku zwiększenia odporności operacyjnej sektora finansowego w Unii Europejskiej, ponieważ wprowadza szereg nowych obowiązków i procedur związanych z zapobieganiem zakłóceniom oraz ograniczaniem ich skutków.

Rozporządzenie DORA – kogo obowiązuje?

Jak już wspominaliśmy, nowe unijne prawo będzie obowiązywało nie tylko sektor bankowy, ale także szereg innych podmiotów działających na rynkach finansowych. Do wdrożenia przepisów rozporządzenia będą musiały przygotować się takie podmioty, jak:

• banki,
• towarzystwa ubezpieczeniowe,
• fundusze inwestycyjne,
• dostawcy usług w zakresie kryptoaktywów,
• emitenci tokenów powiązanych z aktywami.

Oprócz nich DORA obejmie również kluczowych dostawców usług ICT, takich jak chmura obliczeniowa czy rozwiązania z zakresu cyberbezpieczeństwa. Twórcy dokumentu przewidzieli również wyjątki, zgodnie z którymi z nowych przepisów zwolnione mają zostać podmioty finansowe oraz dostawcy usług ICT o niskim ryzyku, które zostaną określone przez właściwe organy nadzoru.

Główne założenia rozporządzenia DORA

Unia Europejska wyróżnia trzy podstawowe założenia nowego prawodawstwa. To:

1. Poprawa odporności operacyjnej cyfrowej sektora finansowego UE.
2. Zwiększenie ochrony klientów podmiotów oraz instytucji tworzących ten sektor.
3. Wzmocnienie zaufania do sektora finansowego.

Aby osiągnąć te cele, rozporządzenie DORA wprowadza szereg nowych obowiązków dla podmiotów finansowych, które mają być realizowane w obszarach takich jak:

• zarządzanie ryzykiem operacyjnym ICT,
• zarządzanie incydentami,
• testowanie cyfrowej odporności operacyjnej,
• zarządzanie ryzykiem stron trzecich,
• wymiana informacji.

Zarządzanie ryzykiem ICT

Obszar ten obejmuje procesy identyfikacji, oceny i kontrolowania ryzyka związanego z technologiami informacyjnymi i komunikacyjnymi (ICT). Celem zarządzania ryzykiem ICT jest zapewnienie bezpieczeństwa i niezawodności systemów, tak by znajdujące się w nich dane były chronione przed zagrożeniami. Ryzyka związane z ICT mogą być powodowane przez różne czynniki, w tym m.in. ataki na infrastrukturę krytyczną, na systemy bankowe czy ransomware. Zagrożeniem są również awarie serwerów sieci oraz systemów operacyjnych. Kolejne kategorie ryzyk stanowią wycieki i naruszenia danych, złośliwe oprogramowanie oraz błędy ludzkie, np. na etapie kodowania czy konfiguracji systemów.

Incydenty związane z ICT

Wchodzące w życie z początkiem stycznia 2025 rozporządzenie DORA reguluje również procedury związane z zarządzaniem incydentami ICT, które zakłócają lub uniemożliwiają działanie systemu. Ich konsekwencje mogą być poważne – wystarczy wymienić chociażby:

• straty finansowe, powodowane kosztami napraw i odszkodowań,
• utratę danych lub naruszenie poufności informacji,
• brak kontroli oraz dostępu do systemów, mogący uniemożliwić działalność,
• utratę reputacji, prowadzącą do kryzysu zaufania klientów i partnerów.

Przepisy DORA określają procedury związane m.in. z monitorowaniem zdarzeń, ich prawidłowym klasyfikowaniem, a także odpowiednim prowadzeniem dokumentacji.

Testowanie CDO

Testowanie cyfrowej odporności operacyjnej to proces przeprowadzania ćwiczeń symulujących zakłócenia lub incydenty związane z ICT. Celem testowania jest sprawdzenie, czy organizacja będzie w stanie kontynuować działalność w przypadku wystąpienia takiego zdarzenia. Realizacja tego obszaru może przebiegać na szereg sposobów i obejmować różne rodzaje ćwiczeń, w tym:

• testy planu ciągłości działania,
• testy penetracyjne, symulujące atak cybernetyczny,
• testy awarii systemów ICT.

Testowanie CDO jest istotnym elementem zarządzania odpornością operacyjną. Dzięki niemu organizacje mogą identyfikować i usuwać słabe punkty w swoich systemach i procedurach, a tym samym zwiększać swą odporność na incydenty związane z ICT.

Zarządzanie ryzykiem stron trzecich w branży ICT

Zarządzanie ryzykiem stron trzecich (3rd Party Risk Management, TRM) to proces identyfikacji, oceny i kontrolowania ryzyka związanego z dostawcami zewnętrznymi. W branży finansowej element ten nabiera szczególnego znaczenia, ponieważ organizacje często polegają na dostawcach zewnętrznych w zakresie kluczowych usług, takich jak hosting, wsparcie techniczne czy bezpieczeństwo. Z tego względu kluczowe jest opracowanie i wdrożenie środków kontroli w celu zmniejszenia ryzyka do akceptowalnego poziomu.

Wymiana informacji

Ustalenia dotyczące wymiany informacji to zbiór zasad i procedur określających sposób, w jaki dane są przekazywane pomiędzy organizacjami. Zasady te mogą dotyczyć zarówno rodzaju informacji i metod ich wymiany, jak i fizycznych oraz technicznych zabezpieczeń, np. szyfrowania. Ważnym elementem jest także wypracowanie procedur postępowania w przypadku naruszenia bezpieczeństwa.

Kary za nieprzestrzeganie rozporządzenia DORA

Zarówno podmioty finansowe, jak i kluczowi dostawcy usług ICT będą mogli zostać ukarani przez właściwe organy nadzoru, w przypadku stwierdzenia przez nie ignorowania zasad nowego unijnego prawodawstwa. Kary za nieprzestrzeganie rozporządzenia DORA mają być nakładane w postaci grzywny wynoszącej do 10% rocznego obrotu podmiotu finansowego oraz innych środków administracyjnych, włącznie z nakazem zawieszenia lub ograniczenia działalności.

Korzyści wynikające z wdrożenia przepisów DORA

Podstawowymi benefitami po stronie instytucji finansowych stosujących przepisy rozporządzenia będą zwiększenie odporności na zagrożenia związane z ICT, skuteczniejsza ochrona danych i systemów oraz wzrost zaufania klientów i partnerów. Nie bez znaczenia są również inne korzyści, takie jak poprawa efektywności operacyjnej dzięki lepszym procesom zarządzania ryzykiem oraz redukcja kosztów wynikająca z mniejszego narażenia na zakłócenia i incydenty związane z ICT.

DORA a RODO

Zarówno DORA, jak i RODO to dwa ważne akty prawne, które mają na celu ochronę klientów sektora finansowego UE. Pierwszy koncentruje się na zwiększeniu odporności operacyjnej cyfrowej sektora finansowego, podczas gdy drugii dotyczy ochrony danych osobowych. Oba rozporządzenia mają jednak pewne punkty wspólne. Wymagają od podmiotów finansowych identyfikacji, oceny oraz monitorowania ryzyka, ale także wdrożenia środków bezpieczeństwa w celu ochrony danych osobowych i finansowej informacji poufnej.

Podstawowa różnica polega na tym, że Digital Operational Resilience Act ma zastosowanie do podmiotów finansowych, podczas gdy RODO jest obowiązkowe dla wszystkich podmiotów przetwarzających dane osobowe. Współpraca między podmiotami finansowymi a ich dostawcami usług ICT jest kluczowa dla zapewnienia zgodności zarówno z rozporządzeniem DORA, jak i przepisami o ochronie danych.

Jak zrobić pierwszy krok w zapewnieniu zgodności z DORA?

Już teraz przygotuj swoją organizację na nowe obowiązki wynikające z rozporządzenia o zwiększeniu cyfrowej odporności operacyjnej. Zadbaj o bezpieczeństwo instytucji finansowej, zlecając wdrożenie procedur i rozwiązań zgodnych z przepisami DORA wyspecjalizowanemu usługodawcy. Powierz mu identyfikację ryzyka, przeprowadzenie testów odpornościowych oraz działania z zakresu poszerzania świadomości na temat cyberzagrożeń. Zyskaj pełną gwarancję przystosowania infrastruktury teleinformatycznej do nowych wymogów Unii Europejskiej. Skontaktuj się z nami już teraz i sprawdź, jak możemy pomóc Ci osiągnąć pełną cyfrową odporność operacyjną.