close
menu

Zgodność z przepisami DORA (Digital Operational
Resilience Act)  

Sektor finansowy odgrywa istotną rolę w naszej gospodarce, ale jest podatny na cyberzagrożenia. Unia Europejska wprowadziła ustawę Digital Operational Resilience Act (DORA) w celu ograniczenia tych zagrożeń. Ustawa ta ma na celu ustanowienie znormalizowanego podejścia do zarządzania technologiami informacyjno-komunikacyjnymi (ICT) poprzez egzekwowanie przepisów dotyczących zarządzania ryzykiem i zgłaszania incydentów. Wdrożenie tych przepisów zwiększy ochronę przed zagrożeniami i przyczyni się do rozwoju naszej gospodarki cyfrowej.

87%

instytucji finansowych jest zaniepokojonych stanem bezpieczeństwa swoich dostawców usług wspólnych.

43%

dyrektorów wyższego szczebla nie uważa, że ich bank jest odpowiednio wyposażony, aby chronić dane, prywatność i aktywa klientów w przypadku cyberataku.

13%

całkowitej liczby incydentów bezpieczeństwa w 2019 r. dotknęły firmy z sektora bankowego i finansowego.

Wzmocnienie odporności operacyjnej w sektorze finansowym

Ustawa Digital Operational Resilience Act (rozporządzenie (UE) 2022/2554) odnosi się do kluczowej kwestii w rozporządzeniu finansowym UE.

  • DORA nakazuje instytucjom finansowym zarządzanie wszystkimi aspektami odporności operacyjnej, w tym zdolnościami ochrony, wykrywania, powstrzymywania, odzyskiwania i naprawy przed incydentami związanymi z ICT.
  • DORA ustanawia wytyczne dotyczące zarządzania ryzykiem ICT, zgłaszania incydentów, testowania odporności operacyjnej i monitorowania ryzyka ICT przez strony trzecie.
  • W rozporządzeniu uznano, że brak odporności operacyjnej i incydenty ICT mogą zagrozić stabilności systemu finansowego, nawet jeśli istnieje odpowiedni kapitał dla tradycyjnych kategorii ryzyka.
Wzmocnienie odporności operacyjnej w sektorze finansowym

Przegląd Jakie jest zastosowanie?

Rozporządzenie UE

DORA wejdzie w życie jako nowe rozporządzenie na poziomie europejskim i musi być stosowana jednakowo we wszystkich krajach Unii Europejskiej.

Ramy czasowe

DORA została opracowana w styczniu 2023 r. i ma 24-miesięczny okres wdrożenia. Organizacje, w których stosuje się DORA, muszą być gotowe najpóźniej w styczniu 2025 r.

Testy penetracyjne

Artykuł 23 i art. 24 (testy penetracyjne oparte na zagrożeniach) wejdą w życie dopiero 36 miesięcy po dacie publikacji rozporządzenia.

Zabezpiecz swoją cyfrową odporność operacyjną

Instytucje finansowe muszą przestrzegać przepisów DORA, wykonując następujące czynności:

  • Przegląd i poprawa poziomu odporności ich obecnego krajobrazu ICT.
  • Zaktualizuj swoje wewnętrzne zasady, procedury oraz ramy zarządzania i kontroli, aby wdrożyć wymagania DORA. Organ zarządzający musi określić, zatwierdzić, nadzorować i ostatecznie być za to odpowiedzialny.
  • Ustanowienie procesu zarządzania incydentami związanymi z ICT w celu wykrywania, śledzenia, rejestrowania, kategoryzowania, klasyfikowania i powiadamiania o incydentach związanych z ICT zgodnie z DORA.
  • Upewnij się, że wszelkie ustalenia umowne (outsourcingowe) są zgodne z DORA.
Zabezpiecz swoją cyfrową odporność operacyjną

Kluczowe obowiązki DORA

Podmioty finansowe muszą przestrzegać DORA, która nakazuje wdrożenie Risk Management Framework w celu zarządzania ryzykiem.

Zarządzanie ryzykiem

Zgłaszanie incydentów

Odporność operacyjna

Zarządzanie przez osoby trzecie

Zarządzanie ryzykiem ICT Wytyczanie kursu na oceanie zagrożeń ICT

Firmy finansowe muszą posiadać kompleksowy system zarządzania ryzykiem ICT, który obejmuje:

  • Instalowanie i utrzymywanie odpornych systemów i narzędzi ICT, które minimalizują wpływ zagrożeń ICT.
  • Identyfikowanie, klasyfikowanie i dokumentowanie funkcji i zasobów o znaczeniu krytycznym.
  • Stałe monitorowanie wszystkich źródeł zagrożeń ICT w celu podjęcia zapobiegawczych środków ochrony.
  • Zapewnij natychmiastowe wykrycie nietypowych czynności.
  • Wdrożenie dostosowanej i kompleksowej polityki ciągłości działania wraz z planami kryzysowymi i naprawczymi, w tym corocznymi testami planów, obejmującymi wszystkie funkcje pomocnicze.
  • Ustanowienie mechanizmów rozwoju i uczenia się na podstawie zdarzeń zewnętrznych, a także własnych incydentów ICT firmy.

Zarządzanie ryzykiem

Zgłaszanie incydentów i udostępnianie informacji Zgłaszanie incydentów związanych z ICT w firmach finansowych

Spółki finansowe są zobowiązane do:

  • Opracowanie sprawnego procesu rejestrowania/klasyfikowania wszystkich incydentów ICT i określania poważnych incydentów zgodnie z kryteriami określonymi w rozporządzeniu i szczegółowo określonymi przez europejskie organy nadzoru (EBA, EIOPA, and ESMA).
  • Przedłożenie wstępnego, okresowego i końcowego sprawozdania na temat incydentów związanych z ICT.
  • Dostosowanie zgłaszania incydentów związanych z ICT za pomocą standardowych szablonów opracowanych przez ESA.

Zgłaszanie incydentów

Testowanie odporności operacyjnej w zakresie cyfryzacji Przestrzeganie corocznych protokołów testowania odporności operacyjnej w zakresie cyfryzacji

  • Corocznie przeprowadzaj podstawowe testy narzędzi i systemów teleinformatycznych.
  • Identyfikowanie, zapobieganie i natychmiastowe eliminowanie wszelkich słabości, braków lub luk we wdrażaniu środków zaradczych.
  • Regularnie przeprowadzaj zaawansowane testy penetracyjne (TLPT) dla usług ICT, które mają wpływ na krytyczne funkcje. Zewnętrzni dostawcy usług ICT muszą uczestniczyć w testowaniu i w pełni ze sobą współpracować.

Odporność operacyjna

Zarządzanie przez osoby trzecie Poruszanie się po dzikim świecie usług ICT stron trzecich

Przedsiębiorstwa finansowe muszą:

  • Zapewnienie kontroli ryzyka związanego z usługami ICT świadczonymi przez dostawców zewnętrznych.
  • Zgłaszanie wszystkich działań zleconych na zewnątrz i wszystkich zmian, które zachodzą w odniesieniu do krytycznych usług ICT od stron trzecich; uwzględniają ryzyka informatyczne, które mogą pojawić się przy zatrudnianiu podwykonawców; połączenie istotnych części usług ICT i relacji z dostawcami zewnętrznymi w celu pełnego monitorowania.
  • Zapewnienie, że umowa z zewnętrznym dostawcą usług ICT zawiera szczegółowy i pełny poziom usług informacyjnych, gdzie dane są przetwarzane itp.
  • Dostawcy usług ICT będący osobami trzecimi o kluczowym znaczeniu dla działalności gospodarczej podlegają tzw. unijnym ramom nadzoru, które mogą wydawać zalecenia mające na celu ograniczenie ryzyka ICT. Firmy finansowe muszą wziąć pod uwagę ryzyko związane z dostawcami zewnętrznymi, którzy nie stosują się do wytycznych.

Zarządzanie przez osoby trzecie

Poproś o konsultację

Przygotowanie do ustawy o cyfrowej odporności operacyjnej

Przewidywanie zakłóceń

Aby stać się odpornym operacyjnie, firmy muszą najpierw uznać, że zdarzenia zakłócające są nieuniknione. Przygotowanie ma kluczowe znaczenie, aby móc wytrzymać zakłócenia, które nieuchronnie wystąpią.

Radzenie sobie z ryzykiem stron trzecich

Ryzyko związane z dostawcami zewnętrznymi zmienia się wraz z ich produktami i usługami. Poleganie wyłącznie na ocenach rocznych spowoduje utratę kontroli. Aby utrzymać kontrolę, podmioty finansowe powinny stale oceniać swój ekosystem stron trzecich.

Podejście multidyscyplinarne

Przyjmując ujednolicone i dynamiczne podejście oraz ramy obejmujące wszystkie dziedziny, firmy mogą osiągnąć zaawansowaną odporność operacyjną nawet w szybko zmieniającym się środowisku, w którym regularnie pojawiają się nowe zagrożenia.

Często zadawane pytania FAQ

Co musisz wiedzieć?

Jako dostawca usług ICT w łańcuchu dostaw, jakie bezpośrednie lub pośrednie skutki DORA będzie miała dla mojej firmy?

Jeśli jesteś dostawcą usług ICT w łańcuchu dostaw, DORA może mieć na Ciebie wpływ. DORA ma na celu poprawę bezpieczeństwa cybernetycznego i odporności w sektorze finansowym, w tym w dostawcach usług ICT. Będzie to miało pośredni wpływ na Ciebie w zakresie umów i wymogów zgodności. Podmioty finansowe dokonają przeglądu swoich umów z Tobą, więc powinieneś upewnić się, że Twoje umowy są zgodne z wymaganiami DORA. Będziesz podlegać DORA i innym wymogom nadzorczym i jesteś uważany za kluczowego dostawcę. Aby spełnić wymagania, musisz ściśle współpracować z podmiotami finansowymi i upewnić się, że wszystkie wymagania DORA są spełnione.

Jakie prawo obowiązuje między DORA a NIS2?

Jeśli chodzi o finanse cyfrowe, wiele zastanawia się, które prawo przeważa między DORA i NIS2. Dyrektywa NIS2 zaostrza wymogi w zakresie bezpieczeństwa cybernetycznego w całej UE, w tym w odniesieniu do banków i infrastruktur rynku finansowego. Które prawo ma pierwszeństwo? Odpowiedź jest prosta: DORA jest "lex specialis" NIS2, co oznacza, że konkretne prawo ma pierwszeństwo przed ogólnym. W praktyce DORA bardziej uzupełnia i wyjaśnia NIS2 niż go wypiera. Zgodnie z motywem 16 DORA: "Niniejsze rozporządzenie stanowi lex specialis w odniesieniu do dyrektywy (UE) 2022/2555. Jednocześnie kluczowe znaczenie ma utrzymanie silnych powiązań między sektorem finansowym a unijnymi horyzontalnymi ramami cyberbezpieczeństwa, jak obecnie określono w dyrektywie (UE) 2022/2555.

Najnowsze wpisy