Dnia 14 grudnia 2022 r. Parlament Europejski i Rada (UE) przyjęły Rozporządzenie 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 powszechnie nazywane „DORA” (ang. Digital Operational Resilience Act, dalej również jako „Rozporządzenie”). DORA ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka związanego z ICT (ang. Information and Communications Technology) jako części wymogów dotyczących ryzyka operacyjnego, które dotychczas były zawarte osobno w różnych unijnych aktach prawnych. DORA stosowane będzie od 17 stycznia 2025 roku.
Celem Rozporządzenia jest zwiększenie świadomości na temat ryzyka związanego z ICT i udowodnienie, że zarówno incydenty związane z ICT jak i brak odpowiedniej cyfrowej odporności operacyjnej stanowią zagrożenie dla dobrej kondycji finansowej podmiotów obowiązanych.
Jakie zmiany wprowadza Rozporządzenie?
Rozporządzenie wymaga od sektora finansowego wdrożenia szczegółowych rozwiązań zwiększających ich cyberbezpieczeństwo – zarówno w odniesieniu do środowiska wewnętrznego jak i zewnętrznego danego podmiotu, a także uwzględniając ogólny profil ryzyka i strategie biznesowe. Celem DORA jest zwalczanie ryzyka wynikającego ze wszystkich rodzajów usług ICT, które rozumiane są w Rozporządzeniu szeroko – jako obejmujące zarówno usługi cyfrowe jak i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego (z wyłączeniem tradycyjnych usług telefonii analogowej).
Jakie obszary reguluje Rozporządzenie?
Zgodnie z treścią art. 1 DORA, na mocy Rozporządzenia ustanowiono następujące jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych:
- wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do:
I. zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych;
II. zgłaszania poważnych incydentów związanych z ICT właściwym organom oraz dobrowolnego informowania ich o znaczących cyberzagrożeniach;
III. zgłaszania właściwym organom poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami przez następujące podmioty finansowe: instytucje kredytowe, instytucje płatnicze (w tym instytucje płatnicze zwolnione zgodnie z dyrektywą (UE) 2015/2366), dostawców świadczących usługę dostępu do informacji o rachunku, instytucje pieniądza elektronicznego (w tym instytucje pieniądza elektronicznego zwolnione zgodnie z dyrektywą 2009/110/WE);
IV. testowania operacyjnej odporności cyfrowej;
V. wymiany informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze;
VI. środków na rzecz należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT;
- wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
- zasady dotyczące ustanowienia i funkcjonowania ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
- zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych Rozporządzeniem.
