DORA wchodzi w życie
17 stycznia 2025 zaczęło obowiązywać rozporządzenie DORA, a to oznacza, że objęte nim podmioty powinny być już na to gotowe, co potwierdził ostatnio KNF. Mimo tego, że ustawa wdrażająca DORA nie została do tej pory przyjęta, a opóźnienie może wynieść nawet kilkanaście tygodni.
W związku z brakiem odpowiednich przepisów krajowych w zakresie ram nadzoru ze strony KNF, rynek liczył na ustanowienie tzw. „cooling period”, czyli okresu na dostosowanie się do przepisów, które jeszcze nie podlegają stosowaniu. Niestety, taki okres nie został wprowadzony, co oznacza, że obowiązki wynikające z DORA będą obowiązywać, aczkolwiek nie ma jasności, czy będą egzekwowane.
Ponad 20 tys. firm objętych rozporządzeniem DORA
Według szacunków rozporządzenie DORA obejmie swoim zakresem ponad 20 tys. podmiotów finansowych oraz dostawców usług ICT w całej Unii Europejskiej.
Wśród nich znajdą się przede wszystkim instytucje kredytowe, instytucje płatnicze, zakłady ubezpieczeń i firmy inwestycyjne, ale też agencje ratingowe czy dostawcy usług w zakresie kryptoaktywów (przy czym w związku ze skalą działalności podmiotów przewidziane są pewne wyłączenia). W sumie to 20 kategorii podmiotów sektora finansowego oraz zewnętrzni dostawcy usług ICT.
O ile od samego początku wiadomo było, że nowe przepisy obejmą banki, o tyle uwzględnienie zakładów ubezpieczeń czy firm inwestycyjnych nie było aż tak oczywiste. Niektóre z nich w dalszym ciągu mają wątpliwości w tym zakresie. W takiej sytuacji każdorazowo trzeba przeprowadzić stosowną kwalifikację w oparciu o zawarty w rozporządzeniu DORA katalog.
DORA – jak się przygotować do zapewnienia cyfrowej odporności operacyjnej
Aby dostosować się do nowych wymogów w obszarze cyfrowej odporności operacyjnej każdy podmiot finansowy powinien w pierwszej kolejności zadbać o odpowiednie przygotowanie wewnętrzne.
W praktyce działania na tym etapie sprowadzają się do opracowania stosownych polityk, procedur, mechanizmów czy dokumentacji. Chociaż to duże i zaawansowane przedsięwzięcie, to jest ono dosyć standardowe dla instytucji finansowych i większość z nich jest już gotowa w tym zakresie.
Następny etap, czyli przygotowanie zewnętrzne, polega na zagwarantowaniu bezpieczeństwa relacji umownych z dostawcami usług ICT (związanych z technologiami informacyjnymi).
W przeciwieństwie do pierwszej fazy przygotowań, która z reguły ma charakter jednorazowy, przygotowanie zewnętrzne jest procesem ciągłym.
Podmioty finansowe muszą przeanalizować, jakie procesy ICT przekazują zewnętrznym dostawcom i kolejno je zabezpieczyć. W ramach tych działań należy oszacować i zweryfikować ryzyka, tak aby dostosowywać umowy z dostawcami do wymogów DORA, m. in. poprzez wprowadzenie odpowiednich postanowień i mechanizmów w obszarze standardów bezpieczeństwa, gwarancji ochrony danych czy uprawnień audytowych.
Jest to jednak wysoce problematyczny proces z racji wielu wątpliwości interpretacyjnych, m. in. w zakresie ustalenia, kto jest, a kto nie jest dostawcą usług ICT.
Wiąże się to także z koniecznością aneksowania nawet kilkuset umów, niejednokrotnie zawartych z zagranicznymi dostawcami. Dlatego jest mało prawdopodobne, aby każdy podmiot zakończył ten proces do dnia „0”.
Jak rozumieć operacyjną odporność cyfrową podmiotów finansowych? To ich zdolność do zapewnienia ciągłości i utrzymania jakości świadczonych usług opartych o technologie ICT, zarówno wewnątrz i na zewnątrz organizacji.
Instytucje finansowe muszą nie tylko zadbać o właściwe kształtowanie relacji umownych z dostawcami, ale też o regularne audytowanie i testowanie działania systemu.
Głównym celem rozporządzenia DORA jest bowiem zagwarantowanie, by usługi finansowe były dostarczane w sposób nieprzerwany i bezpieczny. Dlatego każdy podmiot finansowy musi być cały czas gotowy, aby skutecznie reagować na problemy infrastruktury ICT i efektywnie je minimalizować.
Źródło: Rp.pl
Data: 17.01.2025
Masz pytania? Skontaktuj się z nami
