Zaznacz stronę

DORA – czas na powdrożeniowy audyt zgodności

12 marca 2025 | Aktualności, The Right Focus, Wiedza

Od 17 stycznia obowiązuje DORA, a wraz z nią nowe wymogi w zakresie operacyjnej odporności cyfrowej sektora finansowego oraz regulacje dotyczące świadczenia usług ICT na rynku finansowym.

W najbliższej przyszłości mają być także opublikowane ostateczne wersje aktów wykonawczych do rozporządzenia DORA. Zgodnie z planami jeszcze w I kw. tego roku do Sejmu powinien trafić projekt ustawy wdrażającej DORA, która ureguluje nadzór KNF w tym zakresie.

Wymogi DORA dla sektora finansowego

Zgodnie z nowymi przepisami podmioty finansowe muszą realizować nowe obowiązki, m.in. w zakresie:

  • Zarządzania ryzykiem związanym z ICT – to znaczy wypracowania solidnych mechanizmów identyfikacji, oceny i monitorowania ryzyka związanego z technologiami cyfrowymi
  • Zarządzania incydentami związanymi z ICT, ich klasyfikacji i zgłaszania – czyli odpowiednich procedur w zakresie reagowania na incydenty oraz ich raportowania
  • Testowania operacyjnej odporności cyfrowej – to znaczy zapewnienia regularnej weryfikacji skuteczności systemów bezpieczeństwa oraz mechanizmów zarządzania kryzysowego
  • Zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT – czyli zapewnienia gwarancji bezpieczeństwa w całym łańcuchu dostaw

W tym celu podmioty finansowe muszą zapewnić odpowiednie przygotowanie wewnętrzne w zakresie stosowanych polityk, procedur, rejestrów czy dokumentacji (zgodnie z wymaganiami odpowiednich Regulacyjnych Standardów Technicznych – RTS) oraz przygotowanie zewnętrzne obejmujące zabezpieczenie relacji umownych z dostawcami usług ICT.

Czy sektor finansowy zdążył wdrożyć rozporządzenie DORA

Chociaż formalnie sektor finansowy powinien być już gotowy, to ze względu na fakt, że procesy dostosowawcze obejmowały setki dokumentacji i umów, wiele podmiotów może wciąż nie być w pełni przygotowanych. Co więcej, w międzyczasie pojawiały się także nowe pakiety Q&A czy stanowisk organów dotyczących stosowania DORA, jak chociażby te dotyczące wyłączenia usług ICT związanych z regulowanymi usługami finansowymi spod reżimu DORA.

Procesem, który zajmuje dużo czasu jest też remediacja umów z dostawcami. Samo spełnienie wymagań jest bowiem zależne od drugiej strony i długości negocjacji.

Do jednych z najczęstszych problemów należy uregulowanie kwestii podwykonawców i nałożenia dodatkowych obowiązków na dostawców ICT. Fakt, że RTS dotyczący podwykonawców wciąż nie został oficjalnie przyjęty również nie ułatwia zawarcia porozumienia między stronami. Dodatkowo, w przypadku dotychczasowych umów chmurowych, DORA rozszerza stosowaną do tej pory definicję podwykonawcy, wynikającą z uchylonego już Komunikatu Chmurowego.

DORA – powdrożeniowy audyt zgodności

Przed 17 stycznia 2025 r. podmioty finansowe ścigały się z czasem, by zdążyć z wdrożeniem wszystkich wymagań rozporządzenia DORA, niejednokrotnie pomijając mniej lub bardziej istotne kwestie.

W celu dochowania należytej staranności warto więc ponownie zmapować ewentualne luki i przeprowadzić stosowne działania naprawcze. Rozwiązaniem w tym zakresie może być powdrożeniowy audyt zgodności.

W ramach weryfikacji zgodności, audyt powdrożeniowy powinien objąć nie tylko przegląd i ewentualne dostosowanie wewnętrznych procedur i polityk, sprawdzenie poprawności wypełnianego rejestru informacji, kwalifikacji dostawców i zawartych z nimi umów, ale również faktyczne wdrożenie odpowiednich procesów oraz spełnienie wszystkich wymagań wskazanych zarówno w treści samego rozporządzenia DORA, jak i aktów wykonawczych.

Masz pytania? Skontaktuj się z nami

Monika Maćkowska-Morytz

Mikołaj Kuterek

Najnowsza Wiedza

Jak mądrze zaplanować strukturę fundacji rodzinnej

Jedną z kluczowych zalet fundacji rodzinnej jest duża elastyczność w kształtowaniu jej wewnętrznej struktury. Ustawodawca pozostawił fundatorowi szeroką swobodę w tym zakresie, co umożliwia dostosowanie organizacji fundacji do indywidualnych potrzeb – majątkowych, rodzinnych i biznesowych.

Nowe zasady zatrudniania cudzoziemców

1 czerwca 2025r. weszła w życie dawno zapowiadana Ustawa o warunkach dopuszczalności powierzenia pracy cudzoziemcom na terytorium Rzeczypospolitej Polskiej, która zastępuje przepisy o promocji zatrudnienia i instytucjach rynku pracy.

Przegląd sektora bankowego | Banking dziś i jutro | Czerwiec 2025

Turbulencje geopolityczne będą miały istotne znaczenie dla gospodarki, w tym polskiego rynku finansowego, który na te globalne wyzwania jest jednak dobrze przygotowany. Rynek finansowy jest stabilny, banki dobrze skapitalizowane, a rynek kapitałowy ma wysoki potencjał rozwojowy.

Polski System Kaucyjny: przewodnik po prawnych i podatkowych regulacjach

1 października startuje Polski System Kaucyjny. To prawdziwa rewolucja dla przedsiębiorców – zarówno producentów, importerów, jak i dystrybutorów czy jednostek handlu. Jej wdrożenie niesie bowiem ze sobą szereg wyzwań, w tym, co nieoczywiste, również w obszarze podatku VAT. Oto krótki przewodnik po najważniejszych kwestiach związanych z Polskim Systemem Kaucyjnym.

Zapraszamy do kontaktu:

Monika Maćkowska-Morytz

Monika Maćkowska-Morytz

Adwokat / Partner / Szefowa Praktyki Ochrony Danych Osobowych i Cyberbezpieczeństwa

+48 660 765 918

m.mackowska-morytz@kochanski.pl