Skip to main content
Nowe technologie

Nowe obowiązki z zakresu cyberbezpieczeństwa – rozporządzenie DORA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. dotyczące operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act – DORA) wprowadza istotne unijne regulacje mające na celu wzmocnienie ochrony instytucji finansowych przed zagrożeniami związanymi z cyberbezpieczeństwem i zakłóceniami technologicznymi. Jest to kluczowy element strategii UE, która ma na celu zabezpieczenie rynku finansowego przed wyzwaniami cyfrowymi, z jakimi mierzą się obecnie podmioty działające w tym sektorze.

Co obejmuje DORA?

Rozporządzenie DORA wprowadza jednolite przepisy, obowiązujące na terenie całej Unii Europejskiej , które mają zagwarantować, że instytucje finansowe będą przygotowane na zarządzenie ryzykiem cyfrowym.  Obejmuje ono także mniejsze przedsiębiorstwa, w tym MŚP, korzystające z technologii informacyjno-komunikacyjnych (ICT), co oznacza konieczność dostosowania procesów zarządzania ryzykiem cyfrowym nawet przez podmioty o mniejszej skali działalności.  Kluczowe aspekty DORA , czyli V filarów cyberbezpieczeństwa obejmują:

  1. Zarządzanie ryzykiem ICT: instytucje są zobowiązane do wdrożenia odpowiednich mechanizmów monitorowania i zarządzania ryzykiem związanym z infrastrukturą cyfrową.
  2. Raportowanie incydentów: podmioty objęte regulacjami muszą zgłaszać poważne incydenty IT do odpowiednich organów nadzorczych, wykorzystując jednolity system raportowania na poziomie UE.
  3. Testowanie odporności cyfrowej: DORA wprowadza obowiązek zaawansowanych testów, takich jak Threat-Led Penetration Testing (TLPT), aby sprawdzić skuteczność ochrony systemów przed potencjalnymi atakami cybernetycznymi. Regularne testy, takie jak symulacje cyberataków, są wymagane w celu identyfikacji słabych punktów i potwierdzenia skuteczności zabezpieczeń.
  4. Zarządzanie dostawcami zewnętrznymi: rozporządzenie wymaga, aby instytucje finansowe zarządzały ryzykiem związanym z dostawcami usług ICT, zwłaszcza usług chmurowych, monitorując i rozliczając dostawców zewnętrznych na podstawie szczegółowych umów regulujących odpowiedzialność.
  5. Wymogi dotyczące wymiany informacji: instytucje finansowe muszą zapewnić pełną przejrzystość swoich działań w zakresie cyberbezpieczeństwa. Podmioty są zobowiązane do wymiany kluczowych informacji dotyczących cyberzagrożeń i incydentów z organami nadzorczymi, a także innymi podmiotami sektora finansowego, w celu zwiększenia ogólnego poziomu bezpieczeństwa operacyjnego.

Korzyści dla instytucji finansowych i rynku

Implementacja rozporządzenia DORA przyniesie szereg korzyści zarówno dla sektora finansowego, jak i dla konsumentów. Najważniejsze z nich to:

  1. Wzmocnienie bezpieczeństwa cyfrowego: instytucje będą lepiej chronione przed cyberatakami i innymi zagrożeniami cyfrowymi, co jest szczególnie istotne w dobie rosnącej liczby incydentów hakerskich i zakłóceń technologicznych.
  2. Jednolite przepisy dla całego rynku UE: wprowadzenie jednolitych wymogów sprawi, że instytucje finansowe na terenie całej Unii Europejskiej będą funkcjonować według tych samych zasad, co ułatwi współpracę międzynarodową i ograniczy fragmentację rynku.
  3. Większa stabilność finansowa: zwiększona odporność operacyjna podmiotów przyczyni się do poprawy stabilności sektora finansowego, co z kolei może zwiększyć zaufanie inwestorów i klientów.
  4. Skuteczniejsze zarządzanie ryzykiem ICT: DORA wymusza na instytucjach finansowych wdrążenie zaawansowanych procedur zarządzania ryzykiem technologicznym, co pomoże  minimalizować straty finansowe spowodowane przerwami w działaniu systemów IT.

Ochrona konsumentów i inwestorów: zwiększona odporność operacyjna instytucji finansowych sprawi, że klienci i inwestorzy będą mogli korzystać z usług finansowych z większym poczuciem bezpieczeństwa.

Kogo dotyczy DORA?

Rozporządzenie DORA obejmuje szeroki zakres podmiotów sektora finansowego, korzystających z technologii ICT. W szczególności dotyczy ono:

  • banki i instytucje kredytowe,
  • firmy inwestycyjne,
  • ubezpieczycieli i fundusze emerytalne,
  • instytucje płatnicze,
  • przedsiębiorców wykorzysujący innowacje technologiczne w sektorze finansowym (tzw. fintechy),
  • dostawcy usług technologicznych: DORA obejmuje także podmioty dostarczające usługi ICT dla instytucji finansowych, w tym dostawców chmur obliczeniowych oraz inne podmioty technologiczne świadczące usługi cyfrowe dla sektora finansowego.

Podsumowanie

Wprowadzenie DORA jest kluczowym krokiem w zapewnieniu odporności sektora finansowego na zagrożenia cyfrowe w złożonym, globalnym środowisku technologicznym.

Pełne obowiązywanie przepisów rozpocznie się w styczniu 2025 r., co oznacza, że instytucje mają jeszcze czas na przygotowanie się do nowych wymogów i dostosowanie swoich systemów i procesów. Konieczne jest jednak, aby już teraz podjąć odpowiednie kroki przygotowawcze, takie jak analiza i aktualizacja polityk zarządzania ryzykiem ICT oraz systemów raportowania incydentów. Warto skupić się również na współpracy z dostawcami usług zewnętrznych, aby upewnić się, że spełniają oni nowe wymogi DORA. Jednym z kluczowych elementów nowego rozporządzenia jest harmonizacja przepisów na poziomie unijnym, co redukuje różnice regulacyjne między krajami i wprowadza większą stabilność rynku.

Skuteczna implementacja DORA przyczyni się do zwiększenia zaufania konsumentów do sektora finansowego oraz poprawy jego odporności na incydenty związane z ICT.

Kuba Kościuch

Radca prawny

Kontakt

Michał Dziuba

Prawnik

Skontaktuj się
Kuba Kościuch

Kuba Kościuch

Aplikant radcowski