Aktualności

Piątek z DORA – Proces zarządzania incydentami związanymi z ICT. Obowiązek podmiotów finansowych wynikający z DORA

Zofia Zborowska Zofia Zborowska Associate
26 kwietnia 2024
Piątek z DORA – Proces zarządzania incydentami związanymi z ICT. Obowiązek podmiotów finansowych wynikający z DORA

Przepisy Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 powszechnie nazywanego „DORA” (ang. Digital Operational Resilience Act, dalej również jako „Rozporządzenie”) regulują względem podmiotów obowiązanych szereg wymogów w celu wzmocnienia bezpieczeństwa cyfrowego na unijnym rynku finansowym.

Zgodnie z art. 3 ust. 8 Rozporządzenia, incydent związany z ICT oznacza pojedyncze zdarzenie lub serię powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.

W celu wykrywania incydentów związanych z ICT, a także zarządzania i monitorowania nimi i ich zgłaszania, DORA nakłada na podmioty finansowe obowiązek ustanowienia i wdrożenia wewnętrznego procesu zarządzania incydentami związanymi z ICT, obejmującego:

  • wprowadzenie wskaźników wczesnego ostrzegania;
  • ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1 DORA;
  • przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
  • określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 DORA oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również dostarczania informacji podmiotom finansowym działającym jako kontrahenci (w stosownych przypadkach);
  • zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
  • ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.

❗ Obowiązkiem podmiotów finansowych jest regularne dokonywanie prawidłowej klasyfikacji incydentów związanych z ICT i cyberzagrożeń (w rozumieniu art. 2 pkt 8 rozporządzenia (UE) 2019/881), zgodnie z kryteriami wskazanymi w art. 18 ust. 1 i ust. 2 DORA, które zostały doprecyzowane w projektach regulacyjnych standardów technicznych (RTS) JC 2023 83 opublikowanych przez Europejskie Urzędy Nadzoru (tj. EBA, ESMA i EIOPA) i przyjętych przez Komisję Europejską w dniu 13 marca 2024 r.

Akt delegowany C(2024) 1519 final dostępny jest pod linkiem: https://ec.europa.eu/finance/docs/level-2-measures/dora-regulation-rts–2024-1519_en.pdf

Kancelaria Raczyński Skalski & Partners
Interesuje Cię ten temat?
Skontaktuj się z nami,
aby poznać naszą ofertę.

Powiązane

Piątek z DORA – Raportowanie incydentów instytucji płatniczych  (MIP, KIP, EMI, AISP) na podstawie Rozporządzenia DORA
26 kwietnia 2024

Regulacja art. 32g ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (dalej: UUP)…

Zofia Zborowska Zofia Zborowska Associate
Chcesz otrzymywać aktualności na bieżąco?
Zapisz się do Newslettera

    Wybierz listę

    Chcę być informowany e-mailowo informacjach ze strony Raczyński Skalski & Partners Kancelaria Radców Prawnych Spółka Partnerska z siedzibą w Warszawie na podany przeze mnie adres e-mail. Czytaj dalej

    Ta witryna jest chroniona przez reCAPTCHA i obowiązuje Polityka prywatności i Warunki korzystania z usługi Google.