Jednym z wymogów nałożonych na podmioty finansowe na mocy art. 11 Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako „DORA” lub „Rozporządzenie”), jest obowiązek wprowadzenia kompleksowej strategii na rzecz ciągłości działania w zakresie ICT.
W ramach strategii na rzecz ciągłości działania w zakresie ICT, podmioty finansowe zobowiązane są do:
1) wdrożenia planów reagowania i przywracania sprawności ICT, podlegającym niezależnym wewnętrznym przeglądom audytowym;
2) wdrożenia i utrzymywania planów ciągłości działania w zakresie ICT (w szczególności w odniesieniu do krytycznych lub istotnych funkcji* zlecanych w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będących przedmiotem ustaleń z tymi dostawcami);
3) okresowego testowania planów wskazanych w pkt 1) – 2) wyżej:
a) minimum raz w roku,
b) po wprowadzeniu istotnych zmian w systemach ICT wspierających krytyczne lub istotne funkcje;
4) przeprowadzania analizy wpływu na działalność swojego narażenia na poważne zakłócenia działalności gospodarczej (ang. business impact analysis);
5) wdrożenia, utrzymywania i testowania planów działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej (w tym polityki komunikacyjnej dla pracowników wewnętrznych i interesariuszy zewnętrznych oraz wyznaczenia osoby pełniącej funkcję osoby ds. kontaktów z opinią publiczną i mediami);
6) prowadzenia łatwo dostępnej ewidencji działań prowadzonych przed wystąpieniem zakłóceń i w trakcie ich wystąpienia – w przypadku uruchomienia planów wskazanych w pkt 1) – 2);
Zgodnie z art. 11 ust. 10 DORA, w odniesieniu do podmiotów finansowych innych niż mikroprzedsiębiorstwa, właściwe organy mogą zażądać wykazu szacunkowych łącznych rocznych kosztów i strat spowodowanych poważnymi incydentami związanymi z ICT.
-
-
- Do dnia 17 lipca 2024 r. Europejskie Urzędy Nadzoru (tj. EBA, ESMA i EIOPA) za pośrednictwem Wspólnego Komitetu, mają opracować wspólne wytyczne w sprawie szacowania łącznych rocznych kosztów i strat, o których mowa wyżej.
-
—————————————————————————————————————————–
* Zgodnie z art. 3 ust. 1 pkt 22) Rozporządzenia „krytyczna lub istotna funkcja” oznacza funkcję, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych
