DORA - 5 najczęstszych pytań
1. Czym jest Rozporządzenie DORA?
W odpowiedzi na rosnące zagrożenia oraz dynamiczną cyfryzację sektora finansowego, 14 grudnia 2022 roku Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Rozporządzenie DORA). Głównym celem DORA jest zwiększenie odporności cyfrowej sektora finansowego w krajach Unii Europejskiej, szczególnie w sektorze bankowym i ubezpieczeniowym.
Celem Rozporządzenia DORA jest stworzenie spójnych ram prawnych, które umożliwią podmiotom finansowym budowanie odporności na cyberzagrożenia, co w praktyce ma przyczynić się do zwiększenia stabilności i bezpieczeństwa usług finansowych.
2. Kogo dotyczy Rozporządzenie DORA?
DORA odnosi się do szerokiego zakresu podmiotów sektora finansowego, w tym:
instytucji kredytowych,
instytucji pieniądza elektronicznego,
firm inwestycyjnych,
zakładów ubezpieczeń,
agencji ratingowych,
zarządzających alternatywnymi funduszami inwestycyjnymi
Dodatkowo, regulacjami objęte są firmy działające w łańcuchach dostaw IT tych sektorów, co oznacza, że nawet jeśli firma nie jest bezpośrednio częścią kluczowej branży, ale świadczy usługi lub dostarcza produkty istotne dla jej funkcjonowania, może być zobowiązana do przestrzenia danych przepisów.
3. Kiedy zacznie obowiązywać rozporządzenie DORA?
Rozporządzenie DORA weszło w życie 16 stycznia 2023 roku, a ostateczny termin wdrożenia jego postanowień prez Państwa członkowskie Uni Europejskiej wyznaczono na 17 stycznia 2025 roku.
4. Jak przygotować firmę na Rozporządzenie DORA?
Rozporządzenie DORA wprowadza pięć kluczowych obszarów działań, które mają na celu zwiększenie odporności operacyjnej i cyfrowej podmiotów sektora finansowego:
- Zarządzanie ryzykiem IT – Instytucje finansowe zobowiązane są do posiadania procedur zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (IT). Wymaga się, aby te procedury były skuteczne i oparte na analizie ryzyka, obejmując identyfikację zagrożeń, zabezpieczenia, monitorowanie nietypowych działań oraz działania naprawcze.
- Incydenty związane z IT – Rozporządzenie DORA nakłada na instytucje obowiązek klasyfikacji, zgłaszania i analizowania incydentów związanych z IT oraz cyberzagrożeń. Wprowadza także standardy zgłoszeń i wymaga, aby instytucje finansowe mogły otrzymywać informację zwrotną od organów nadzoru rynku.
- Testowanie odporności cyfrowej – DORA wymaga cyklicznego testowania systemów IT w celu oceny odporności operacyjnej, w tym zaawansowanych testów z wykorzystaniem technik symulujących rzeczywiste zagrożenia.
- Zarządzanie ryzykiem od zewnętrznych dostawców IT – Instytucje finansowe, które współpracują z zewnętrznymi dostawcami usług IT, zobowiązane są do przeprowadzania oceny ryzyka, określenia kluczowych dostawców oraz wprowadzenia procedur umożliwiających skuteczny nadzór nad relacjami z nimi.
- Współpraca i wymiana informacji – W celu zwiększenia odporności sektora finansowego, instytucje są zobowiązane do dzielenia się informacjami o cyberzagrożeniach i incydentach z innymi podmiotami finansowymi oraz z odpowiednimi organami nadzoru.
5. Jakie są konsekwencje niewdrożenia procedur DORA?
Niewdrożenie procedur może skutkować surowymi karami finansowymi, które w przypadku naruszeń przepisów mogą sięgać 1% średniego dziennego światowego obrotu dostawcy usług IT za każdy dzień trwania naruszenia. Państwa członkowskie UE mogą również wprowadzić własne przepisy dotyczące kar w ramach swoich wewnętrznych systemów prawnych.
Wyzwania i przyszłość implementacji DORA
Implementacja DORA przynosi wyzwania dla sektora finansowego, gdyż wymaga zmian w zakresie zarządzania ryzykiem IT, integracji nowych procedur raportowania incydentów oraz dostosowania się do standardów testowania odporności cyfrowej. Jednak długoterminowe korzyści z wdrożenia DORA, takie jak wzmocnienie stabilności finansowej i ochrona danych klientów, znacząco przewyższają te wyzwania.
W dynamicznie zmieniającej się rzeczywistości cyfrowej współpraca z profesjonalnym dostawcą usług informatycznych, który oferuje kompleksowe wsparcie w zakresie bezpieczeństwa IT, może okazać się kluczowa dla firm pragnących skutecznie egzekwować wymogi DORA lub NIS2 i zapewnić sobie bezpieczny łańcuch dostaw już teraz.
Nasze procesy i standardy świadczonych usług są potwierdzone już czterema certyfikatami ISO: ISO 9001, ISO 27001, ISO 27017 oraz ISO 27018. Zapoznaj się z naszym doświadczeniem.
Specjalizujemy się w dostarczaniu kompleksowych rozwiązań bezpieczeństwa informatycznego oraz regularnie organizujemy szkolenia dotyczące cyberbezpieczeństwa - wtym NIS2 i DORA, które pomogą Ci działać świadomie.
Skontaktuj się z nami już dziś!
Regularnie prowadzimy szkolenia dla działów IT dotyczące Dyrektywy NIS2 i DORA w ramach naszego programu K3/Akademia.
Informacje o najbliższych wydarzeniach znajdą Państwo na naszej stronie: https://k3system.com.pl/blog/wydarzenia/.
W sprawie konsultacji prawny dotyczących DORA i NIS2 współpracujemy z Kancelarią Traple Konarski Podrecki i Wspólnicy - https://www.traple.pl.
Czytaj więcej
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (wdrażającą dyrektywę NIS 2) wkrótce wejdzie w życie.
Referencje i doświadczenie K3System w rozwiązaniach NetApp.
Ekspert: Michał Remiszewski - Kierownik Projektów IT, Architekt rozwiązań wirtualizacyjnych w K3System