W erze intensywnej cyfryzacji, sektor finansowy Unii Europejskiej staje przed wyzwaniem zapewnienia wysokiego poziomu bezpieczeństwa i stabilności swoich usług. Aby sprostać rosnącym zagrożeniom cybernetycznym i operacyjnym, Komisja Europejska wprowadziła rozporządzenie DORA (Digital Operational Resilience Act). Ten akt prawny jest kluczowym elementem strategii cyfrowej transformacji sektora finansowego, mającej na celu zwiększenie odporności na ryzyka związane z ICT.
Spis treści
1. Czym jest rozporządzenie DORA?
2. Kiedy DORA wejdzie w życie?
3. Obowiązki jakie niesie DORA
4. Korzyści wynikające z DORA
Czym jest rozporządzenie DORA?
Rozporządzenie DORA (Digital Operational Resilience Act), przyjęte pod koniec 2022 roku, jest europejskim aktem prawnym mającym na celu wzmocnienie operacyjnej odporności cyfrowej sektora finansowego. Jego celem jest zwiększenie bezpieczeństwa i stabilności rynku finansowego w Unii Europejskiej poprzez ujednolicenie zasad zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT).
Rozporządzenie to nakłada obowiązki na wszystkie podmioty w sektorze finansowym, w tym banki, ubezpieczycieli, fundusze inwestycyjne oraz dostawców usług finansowych, zobowiązując je do spełnienia określonych wymogów dotyczących cyberbezpieczeństwa i zarządzania ryzykiem operacyjnym. DORA wprowadza także ogólnounijne ramy nadzoru nad kluczowymi dostawcami zewnętrznych usług ICT, co ma na celu zapewnienie spójności i integralności działań na całym rynku finansowym.
Kiedy DORA wejdzie w życie?
Rozporządzenie DORA oficjalnie weszło w życie 16 stycznia 2023 roku, jednak jego pełne stosowanie rozpocznie się 17 stycznia 2025 roku. W międzyczasie obowiązuje 24-miesięczny okres vacatio legis, który daje instytucjom finansowym czas na dostosowanie swoich działań do nowych wymogów. Ten okres przejściowy pozwala podmiotom z sektora finansowego oraz dostawcom usług ICT na dokładne zrozumienie i wdrożenie przepisów DORA. Ostateczny termin dla wszelkich działań dostosowawczych mija 17 stycznia 2025 roku - do tego dnia wszystkie podmioty objęte rozporządzeniem muszą mieć w pełni wdrożone odpowiednie mechanizmy i procedury zgodne z jego wymogami.
Obowiązki, jakie niesie DORA
Rozporządzenie DORA zobowiązuje instytucje finansowe do:
- Stworzenia kompleksowych ram zarządzania ryzykiem ICT, które obejmują polityki cyberbezpieczeństwa, plany ciągłości działania i strategie tworzenia kopii zapasowych;
- Regularnego testowania systemów i aplikacji, aby ocenić ich odporność na incydenty;
- Zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, co wymaga oceny zgodności dostawców z wymogami DORA, przeprowadzania audytów i certyfikacji oraz zaprzestania współpracy z dostawcami, którzy nie przestrzegają przepisów;
- Zgłaszania poważnych incydentów ICT do odpowiednich organów nadzoru;
- Promowania wymiany informacji o zagrożeniach cybernetycznych między podmiotami finansowymi.
Aby spełnić te wymogi, instytucje muszą odpowiednio alokować zasoby budżetowe i kadrowe oraz przeprowadzać regularne szkolenia personelu. Dzięki temu organizacje wzmocnią swoją odporność na zagrożenia i zbudują zaufanie klientów.
Korzyści wynikające z DORA
Wdrożenie rozporządzenia DORA przynosi liczne korzyści dla sektora finansowego. Zwiększa bezpieczeństwo cyfrowe poprzez ustanowienie rygorystycznych standardów zarządzania ryzykiem ICT i wymogów zgłaszania incydentów. Instytucje finansowe zyskują kompleksowe ramy prawne, pomagające w przygotowaniu się na cyberzagrożenia i minimalizacji związanego z nimi ryzyka. DORA zwiększa przejrzystość działań zewnętrznych dostawców usług ICT oraz promuje wymianę informacji o zagrożeniach cybernetycznych, tworząc silniejszą sieć wsparcia między podmiotami finansowymi. Ujednolicenie regulacji na poziomie UE zwiększa zaufanie konsumentów i inwestorów do systemu finansowego, co sprzyja jego stabilności i rozwojowi.
Nie trać czasu na audyty i certyfikację dostawców - korzystaj z naszej platformy, aby zachować zgodność z DORA
