Przepisy Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 powszechnie nazywanego „DORA” (ang. Digital Operational Resilience Act, dalej również jako „Rozporządzenie”) regulują względem podmiotów obowiązanych szereg wymogów w celu wzmocnienia bezpieczeństwa cyfrowego na unijnym rynku finansowym.
Zgodnie z art. 3 ust. 8 Rozporządzenia, incydent związany z ICT oznacza pojedyncze zdarzenie lub serię powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.
W celu wykrywania incydentów związanych z ICT, a także zarządzania i monitorowania nimi i ich zgłaszania, DORA nakłada na podmioty finansowe obowiązek ustanowienia i wdrożenia wewnętrznego procesu zarządzania incydentami związanymi z ICT, obejmującego:
- wprowadzenie wskaźników wczesnego ostrzegania;
- ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1 DORA;
- przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
- określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 DORA oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również dostarczania informacji podmiotom finansowym działającym jako kontrahenci (w stosownych przypadkach);
- zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
- ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
❗ Obowiązkiem podmiotów finansowych jest regularne dokonywanie prawidłowej klasyfikacji incydentów związanych z ICT i cyberzagrożeń (w rozumieniu art. 2 pkt 8 rozporządzenia (UE) 2019/881), zgodnie z kryteriami wskazanymi w art. 18 ust. 1 i ust. 2 DORA, które zostały doprecyzowane w projektach regulacyjnych standardów technicznych (RTS) JC 2023 83 opublikowanych przez Europejskie Urzędy Nadzoru (tj. EBA, ESMA i EIOPA) i przyjętych przez Komisję Europejską w dniu 13 marca 2024 r.
Akt delegowany C(2024) 1519 final dostępny jest pod linkiem: https://ec.europa.eu/finance/docs/level-2-measures/dora-regulation-rts–2024-1519_en.pdf
