DORA na horyzoncie: kluczowe zmiany dla sektora finansowego 🏦

8 sierpnia 2024   /  Artykuły

DORA – nowe standardy cyberbezpieczeństwa 🔒

W erze cyfrowej, kiedy większość transakcji finansowych odbywa się online, bezpieczeństwo naszych danych i środków finansowych staje się priorytetem. Wszyscy mogliśmy ostatnio zaobserwować – na przykładzie awarii systemów operacyjnych Microsoft – co dzieje się, kiedy awaria dotyka jedną z powszechniej stosowanych w biznesie usług online, czyli Office 365. ✈️🚫

Odwoływano połączenia lotnicze, nie działała giełda w Londynie, problemy zgłaszali również klienci banków (w Polsce problemy nie ominęły m.in. klientów Santander Banku oraz PKO BP). Microsoft szacował, że incydent dotknął nawet 8,5 mln urządzeń z systemem Windows. Skutki tego, co okazało się „tylko” awarią, na moment zatrzymały część świata. Skala utrudnień w działalności podmiotów z wielu branż każe zastanowić się, co może się zdarzyć, kiedy będziemy mieć do czynienia nie z awarią, a z udanym cyberatakiem. 🤔💻

Unia Europejska, dostrzegając rosnące ryzyka w obszarze bezpieczeństwa cyfrowego dla sektora finansowego i jego klientów, w grudniu 2023 r. uchwaliła rozporządzenie w sprawie operacyjnej odporności cyfrowej (Digital Operational Resilience Act, w skrócie – DORA), które wyznacza nowe standardy cyberbezpieczeństwa podmiotów finansowych, dążąc do zapewnienia ich odporności na wszelkie zakłócenia i zagrożenia związane z technologiami ICT. 🌐📜

Nowe regulacje mają na celu:

Minimalizowanie ryzyka związanego nie tylko z cyberatakami, ale szerzej – z incydentami bezpieczeństwa. Poprzez ustanowienie jednolitych standardów i procedur, DORA ma przyczynić się do ochrony integralności, bezpieczeństwa i ciągłości usług finansowych w Unii Europejskiej. 🛡️🇪🇺

Odliczanie trwa ⏳

Podmioty finansowe mają czas na dostosowanie się do DORA do 17 stycznia 2025 r. Po tej dacie nie będzie taryfy ulgowej – KNF podczas szkoleń i spotkań z sektorem finansowym uprzedza, że nie będzie czekać na spóźnialskich i od pierwszego dnia planuje weryfikować i egzekwować realizację nowych obowiązków. 📅🔍

Co istotne, DORA ma charakter nie dyrektywy (jak jest to w przypadku innego istotnego z punktu widzenia cyberbezpieczeństwa aktu, jakim jest NIS2), a rozporządzenia. Oznacza to, że wiąże ono w całości podmioty, do których jest skierowane i jest bezpośrednio stosowane we wszystkich krajach Unii Europejskiej, bez konieczności implementowania go do lokalnych porządków prawnych za pomocą ustaw. 📜⚖️

Kogo dotyczy DORA? 🏦💼

DORA obejmuje przede wszystkim – ale nie wyłącznie – szerokie spektrum instytucji finansowych oraz podmiotów z obszaru finansów cyfrowych. Zobowiązane do dostosowania się do nowych regulacji są m.in. banki, firmy ubezpieczeniowe, fundusze inwestycyjne, instytucje kredytowe, dostawcy usług w zakresie kryptowalut, instytucje pieniądza elektronicznego oraz inne podmioty świadczące usługi finansowe. 💳🏢

Dodatkowo, DORA wprowadza pewne obowiązki w odniesieniu do dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. ☁️💻

Co oznacza DORA dla sektora finansowego? 📊🔒

DORA nakłada obowiązki na podmioty sektora finansowego, wymagając, aby instytucje finansowe nie tylko reagowały na incydenty, ale również podejmowały liczne działania prewencyjne, w myśl zasady, że lepiej zapobiegać, niż leczyć. 💡🔧

W praktyce oznacza to konieczność podjęcia działań przede wszystkim w następujących, kluczowych obszarach:

  1. Zarządzanie ryzykiem ICT 🖥️⚠️Instytucje finansowe powinny opracować i wdrożyć kompleksową strategię zarządzania ryzykiem związanym z technologiami ICT. Strategia ta powinna obejmować identyfikację, ocenę, monitorowanie i kontrolowanie ryzyk związanych z ICT, żeby zapewnić bezpieczeństwo i integralność systemów informatycznych.
  2. Zarządzanie incydentami związanymi z ICT 🛡️🚨Klasyfikacja i raportowanie incydentów związanych z ICT są według DORA kluczowe dla skutecznego zarządzania bezpieczeństwem. Instytucje finansowe zobowiązane będą do przestrzegania jasnych wytycznych dotyczących klasyfikacji incydentów, co ma prowadzić do ich odpowiedniego śledzenia, analizowania i reagowania.Obowiązki w tym obszarze obejmą m.in.:Stworzenie i wdrożenie jednolitych wytycznych dotyczących klasyfikacji incydentów, które umożliwią ich kategoryzację według poziomu powagi i typu zagrożenia.Regularne raportowanie incydentów do odpowiednich organów i interesariuszy, zgodnie z obowiązującymi normami i przepisami.Przeprowadzanie analizy przyczyn incydentów w celu identyfikacji słabych punktów i wdrażania działań naprawczych.
  3. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT 🤝🔍Instytucje finansowe powinny określić zasady zarządzania współpracą z zewnętrznymi dostawcami usług ICT. Obowiązki w tym obszarze obejmą m.in. opracowanie kryteriów oceny i wyboru dostawców usług ICT, które zapewnią, że spełniają oni wymagania dotyczące bezpieczeństwa i zgodności, zapewnienie, że umowy zawierane z dostawcami ICT są zgodne z wymaganiami stawianymi przez DORA, a także regularne monitorowanie i ocenę wydajności dostawców.
  4. Testowanie operacyjnej odporności cyfrowej 🔄🛠️Obowiązki w tym obszarze obejmować będą m.in. ustanowienie kompleksowego programu testowania operacyjnej odporności cyfrowej. Podmioty finansowe inne niż mikroprzedsiębiorstwa zobowiązane będą do przeprowadzenia przynajmniej raz w roku testów wszystkich systemów i aplikacji ICT. Dla części obowiązanych DORA przewiduje również dodatkowy obowiązek przeprowadzania nie rzadziej niż co 3 lata zaawansowanych testów penetracyjnych (TLPT) pod kątem wyszukiwania zagrożeń.

Tam gdzie są obowiązki, pojawiają się również sankcje ⚖️💰

Zrozumienie i adaptacja do wymogów DORA są z punktu widzenia podmiotów finansowych niezbędne nie tylko ze względu na konieczność zapewnienia odpowiedniego poziomu operacyjnej odporności cyfrowej, ale również dla uniknięcia poważnych konsekwencji prawnych i finansowych.

DORA zakłada przyznanie właściwym organom (w Polsce będzie to przede wszystkim KNF) szerokich uprawnień do nadzorowania i egzekwowania przepisów DORA. Będą one uprawnione do żądania dostępu do wszelkich dokumentów i danych, które uznają za istotne w kontekście prowadzonych dochodzeń. Instytucje finansowe muszą być przygotowane na ewentualne kontrole i inspekcje. Brak współpracy lub niedostarczenie wymaganych informacji może prowadzić do nałożenia dodatkowych sankcji. 🔍📋

W przypadku naruszeń przepisów DORA, organy nadzoru mogą zastosować różne sankcje administracyjne. Obejmują one m.in. nakazy zaprzestania działań niezgodnych z przepisami, wymóg zakończenia praktyk sprzecznych z regulacjami oraz stosowanie sankcji finansowych mających na celu wymuszenie zgodności. 💼💸

Podsumowanie 📊✍️

Oczywiście pełna ocena skutków nowych regulacji będzie możliwa dopiero po jakimś czasie, jednak już odważymy się postawić tezę, iż DORA to krok milowy w kierunku zapewnienia cyfrowej odporności operacyjnej w sektorze finansowym UE. Dzięki wprowadzeniu nowych standardów zarządzania ryzykiem ICT oraz wymogu proaktywnego podejścia do bezpieczeństwa cyfrowego, DORA powinna nie tylko pomóc chronić instytucje finansowe, ale także zwiększyć zaufanie klientów do usług finansowych. Ruch jest teraz po stronie sektora finansowego – osiągnięcie celu DORA i związanych z tym korzyści będzie możliwe tylko, jeżeli poważnie podejdzie się do wdrożenia nowych regulacji. 🔜🔧

Podziel się

Podziel się

Potrzebujesz pomocy w tym temacie?

Napisz do naszego eksperta

Paulina Jeziorska

Manager, Radczyni prawna

+48 570 662 013 Kontakt

Artykuły z tej kategorii

Open AI OASIS

AI

Więcej
Open AI OASIS

NIS 2 – Nowe wymagania

Aktualności

Więcej
NIS 2 – Nowe wymagania

O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?

Artykuły

Więcej
O czym musi pamiętać pracodawca zatrudniając niepełnoletnie osoby?

Co powinna zawierać Polityka wykorzystywania systemów AI?

AI

Więcej
Co powinna zawierać Polityka wykorzystywania systemów AI?

Sygnaliści – jak się przygotować na nadchodzące zmiany?

Artykuły

Więcej
Sygnaliści – jak się przygotować na nadchodzące zmiany?
Więcej

Kontakt

Masz pytania?zobacz telefon+48 570 913 713
zobacz e-mail

Biuro w Warszawie

03-737 Warszawa

(Centrum Praskie Koneser – Spaces)

pl. Konesera 12 lok. 119

google maps

Biuro we Wrocławiu

53-659 Wrocław

(Quorum D)

Gen. Władysława Sikorskiego 26

google maps

Hej, Userze
czy jesteś już w newsletterze?

    Zobacz jak przetwarzamy Twoje dane osobowe tutaj