Od 17 stycznia obowiązuje DORA, a wraz z nią nowe wymogi w zakresie operacyjnej odporności cyfrowej sektora finansowego oraz regulacje dotyczące świadczenia usług ICT na rynku finansowym.
W najbliższej przyszłości mają być także opublikowane ostateczne wersje aktów wykonawczych do rozporządzenia DORA. Zgodnie z planami jeszcze w I kw. tego roku do Sejmu powinien trafić projekt ustawy wdrażającej DORA, która ureguluje nadzór KNF w tym zakresie.
Wymogi DORA dla sektora finansowego
Zgodnie z nowymi przepisami podmioty finansowe muszą realizować nowe obowiązki, m.in. w zakresie:
- Zarządzania ryzykiem związanym z ICT – to znaczy wypracowania solidnych mechanizmów identyfikacji, oceny i monitorowania ryzyka związanego z technologiami cyfrowymi
- Zarządzania incydentami związanymi z ICT, ich klasyfikacji i zgłaszania – czyli odpowiednich procedur w zakresie reagowania na incydenty oraz ich raportowania
- Testowania operacyjnej odporności cyfrowej – to znaczy zapewnienia regularnej weryfikacji skuteczności systemów bezpieczeństwa oraz mechanizmów zarządzania kryzysowego
- Zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT – czyli zapewnienia gwarancji bezpieczeństwa w całym łańcuchu dostaw
W tym celu podmioty finansowe muszą zapewnić odpowiednie przygotowanie wewnętrzne w zakresie stosowanych polityk, procedur, rejestrów czy dokumentacji (zgodnie z wymaganiami odpowiednich Regulacyjnych Standardów Technicznych – RTS) oraz przygotowanie zewnętrzne obejmujące zabezpieczenie relacji umownych z dostawcami usług ICT.
Czy sektor finansowy zdążył wdrożyć rozporządzenie DORA
Chociaż formalnie sektor finansowy powinien być już gotowy, to ze względu na fakt, że procesy dostosowawcze obejmowały setki dokumentacji i umów, wiele podmiotów może wciąż nie być w pełni przygotowanych. Co więcej, w międzyczasie pojawiały się także nowe pakiety Q&A czy stanowisk organów dotyczących stosowania DORA, jak chociażby te dotyczące wyłączenia usług ICT związanych z regulowanymi usługami finansowymi spod reżimu DORA.
Procesem, który zajmuje dużo czasu jest też remediacja umów z dostawcami. Samo spełnienie wymagań jest bowiem zależne od drugiej strony i długości negocjacji.
Do jednych z najczęstszych problemów należy uregulowanie kwestii podwykonawców i nałożenia dodatkowych obowiązków na dostawców ICT. Fakt, że RTS dotyczący podwykonawców wciąż nie został oficjalnie przyjęty również nie ułatwia zawarcia porozumienia między stronami. Dodatkowo, w przypadku dotychczasowych umów chmurowych, DORA rozszerza stosowaną do tej pory definicję podwykonawcy, wynikającą z uchylonego już Komunikatu Chmurowego.
DORA – powdrożeniowy audyt zgodności
Przed 17 stycznia 2025 r. podmioty finansowe ścigały się z czasem, by zdążyć z wdrożeniem wszystkich wymagań rozporządzenia DORA, niejednokrotnie pomijając mniej lub bardziej istotne kwestie.
W celu dochowania należytej staranności warto więc ponownie zmapować ewentualne luki i przeprowadzić stosowne działania naprawcze. Rozwiązaniem w tym zakresie może być powdrożeniowy audyt zgodności.
W ramach weryfikacji zgodności, audyt powdrożeniowy powinien objąć nie tylko przegląd i ewentualne dostosowanie wewnętrznych procedur i polityk, sprawdzenie poprawności wypełnianego rejestru informacji, kwalifikacji dostawców i zawartych z nimi umów, ale również faktyczne wdrożenie odpowiednich procesów oraz spełnienie wszystkich wymagań wskazanych zarówno w treści samego rozporządzenia DORA, jak i aktów wykonawczych.
Masz pytania? Skontaktuj się z nami
