KNF wysyła do polskich instytucji finansowych raz dostawców ICT ankiety dotyczące DORA. Cel? Urząd nadzoru chce sprawdzić, jak podmioty te przygotowują się na nowe obowiązki regulacyjne. DORA oznacza sporo zmian, które dotyczą głównie zarządzania ryzykiem technologicznym i cyberbezpieczeństwem. W ankietach pojawiają się pytania o współpracę z dostawcami ICT, testy odporności cyfrowej oraz gotowość na szybkie reagowanie w razie incydentów. To sygnał, że KNF poważnie traktuje nowe zasady, a pytani muszą się mocno zmobilizować. Co dokładnie sprawdza w kontekście DORA KNF i na czym warto się skupić?
Ankiety KNF DORA otrzymują także dostawcy ICT. Dlaczego? Bo zgodnie z DORA, ich usługi mają kluczowe znaczenie dla odporności cyfrowej sektora finansowego. Komisja sprawdza więc, czy dostawcy usług ICT są przygotowani na nowe wymagania. W ankietach znajdą oni pytania o standardy bezpieczeństwa, sposób zarządzania incydentami oraz o relacje z instytucjami finansowymi. KNF chce wiedzieć, jak podmioty świadczące usługi dla sektora finansowego reagują na cyberzagrożenia, jak często testują swoje systemy i czy współpracujące z nimi banki mogą liczyć na ciągłość świadczonych usług. To moment, żeby zweryfikować własne procedury i upewnić się, czy są spełnione oczekiwania regulatora. To ważny sprawdzian, który może pokazać ewentualne luki w systemie bezpieczeństwa instytucji finansowych.
Ankiety DORA KNF – co to jest i o co w nich chodzi?
Większość instytucji finansowych, zwłaszcza tych dużych, wie, że musi wykazać się pełną zgodnością z regulacją DORA, czyli rozporządzenia o operacyjnej odporności cyfrowej sektora finansowego. Podmioty te wiedzą też, że dostosowanie się do wytycznych zajmuje sporo czasu, a pytania od KNF mogą przyjść w każdej chwili. Dlatego ankiety KNF DORA, nie są dla nich zaskoczeniem. Problem z odpowiedziami mogą mieć mniejsze instytucje, które dopiero z pisma KNF dowiadują się, że jest coś takiego jak DORA. Jeśli dotyczy to Ciebie, to zajrzyj także do pozostałych artykułów na naszym blogu, aby dowiedzieć się, czym jest DORA i o co w niej chodzi.
- Co to jest DORA i czy jesteś na nią gotowy?
DORA KNF – do kogo kierowane są ankiety?
Ankiety samooceny zgodności z rozporządzeniem DORA Komisja Nadzoru Finansowego kieruje do przedsiębiorstw finansowych. Chodzi o podmioty wymienione w DORA, a następnie sprecyzowane w projekcie zmiany ustawy o nadzorze nad rynkiem finansowym. Dotyczy to m.in. banków, banków spółdzielczych, instytucji płatniczych, zakładów ubezpieczeniowych, pośredników ubezpieczeniowych, firm inwestycyjnych oraz innych podmiotów działających na rynku finansowym. Główne cele to ocena i zwiększenie odporności cyfrowej tych instytucji.
Jakie pytania podmiot finansowy znajdzie w ankiecie?
Ankieta zawiera pytania dotyczące różnych aspektów działalności przedsiębiorstw finansowych, związanych bezpośrednio z wymaganiami DORA. Zasadniczy zakres zagadnień z ankiety dotyczy art. 5 – 30 DORA. Ankieta zawiera treść wymagania, brzmienie stosownego podpunktu oraz miejsce na opisanie zgodności organizacji.
Przykładowe pytania mogą odnosić się do takich zagadnień z rozporządzenia DORA jak:
Zarządzanie ryzykiem związanym z ICT – Systemy, protokoły i narzędzia ICT – Artykuł 7
- W jakim stopniu firma posiada odpowiednie do skali operacji wspierających prowadzenie jej działalności systemy, protokoły i narządzia ICT?
- Czy podmioty finansowe wykorzystują i utrzymują zaktualizowane systemy, protokoły i narzędzia ICT, które są odporne pod względem technologicznym, aby odpowiednio poradzić sobie z dodatkowymi potrzebami w zakresie przetwarzania informacji wymaganymi w skrajnych warunkach rynkowych lub w niekorzystnych sytuacjach?
Zgłaszanie poważnych incydentów – artykuł 19
- Czy jeśli wystąpi poważny incydent związany z ICT, który ma istotny wpływ na interesy finansowe klientów, podmioty finansowe bez zbędnej zwłoki informują o nim swoich klientów? Czy podają do informacji środki, które podjęto w celu złagodzenia negatywnych skutków takiego incydentu?
- W jakim stopniu podmioty finansowe są gotowe do tego, aby przedłożyć KNF wstępne powiadomienie o poważnym incydencie związanym z ICT?
Testowanie operacyjnej odporności cyfrowej – Artykuł 24
W jakim stopniu podmioty finansowe (inne niż mikroprzedsiębiorstwa) ustanawiają i utrzymują prawidłowy i kompleksowy program testowania operacyjnej odporności cyfrowej oraz dokonują przeglądu tego programu? Program ten służy do celów oceny gotowości do obsługi incydentów związanych z ICT, określania słabości, niedoskonałości i luk w zakresie operacyjnej odporności cyfrowej oraz niezwłocznego wdrażania środków naprawczych.
Wstępna ocena ryzyka koncentracji w obszarze ICT – Artykuł 29
Czy podmioty finansowe rozważają korzyści i koszty rozwiązań alternatywnych, takich jak korzystanie z usług różnych zewnętrznych dostawców usług ICT, biorąc pod uwagę, czy i w jaki sposób przewidywane rozwiązania odpowiadają potrzebom i celom biznesowym określonym w ich strategii odporności cyfrowej.
Najważniejsze ustalenia umowne dotyczące korzystania z usług ICT – Artykuł 30
Czy ustalenia w umowach pomiędzy podmiotem finansowym a zewnętrznym dostawcą usług ICT zwierają co najmniej następujące elementy:
- jasny i kompletny opis wszystkich funkcji i usług ICT, które mają być świadczone przez zewnętrznego dostawcę usług ICT;
- miejsca, czyli regiony lub kraje, w których mają być świadczone funkcje i usługi ICT objęte umową;
- postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych, w tym danych osobowych;
- pozostałe wymagane przez art. 30 ust. 2 DORA.
Pełną wersję ankiety można pobrać ze strony internetowej Komisji Nadzoru Finansowego. Otrzymałeś ankietę do wypełnienia czy jeszcze nie? Niezależnie od tego, będzie ona przydatna także na dalszym etapie dostosowywania się do europejskiego rozporządzenia DORA. Można ją potraktować jako checklistę do spełnienia.
Jak wypełnić ankietę DORA KNF – rekomendacja kancelarii
Ankieta skonstruowana jest w taki sposób, że obok wymienionych wymogów z DORA, UKNF zaprojektował komórki, z których część ma do wyboru opcje zgodności z wymogami. Inne należy uzupełnić ręcznie, w tym np. wpisać własny komentarz.
Jedną z komórek jest „Ocena podmiotu finansowego odnośnie spełnienia wymagania”. W tym przypadku podmiot systemu finansowego wypełniający ankietę ma do wyboru jedną z opcji:
a) całkowite spełnienie wymogu,
b) częściowe spełnienie wymogu,
c) brak spełnienia wymogu,
d) nie dotyczy (w tym wypadku w jednej z kolejnych kolumn należy uzasadnić, dlaczego wybrało się tę opcję).
Następnie należy samemu opisać, w jaki sposób nastąpiło wdrożenie tego wymagania. A dalej, czy dane wymaganie realizowane jest ręcznie, automatycznie czy półautomatycznie – należy wybrać opcję z listy. Jako podmiot nie spełniasz jeszcze danego wymogu? Powinieneś w kolejnej komórce opisać, jakie działania planujesz podjąć, aby uzyskać zgodność do momentu wejścia w życie DORA.
Podmioty, które już wcześniej na podstawie dotychczas obowiązujących przepisów miały wdrożone u siebie polityki, procedury oraz systemy zarządzania ryzykiem, nie powinny mieć problemów z wypełnieniem tej ankiety. Nie jesteś jednak pewien, czego dokładnie dotyczy pytanie? Masz wątpliwości, czy Twoja instytucja faktycznie jest gotowa na wdrożenie DORA (patrz też: DORA co to)? Rekomendujemy skontaktowanie się z naszą kancelarią armińska radcowie prawni.
- Napisz do nas na kontakt – pomożemy Ci wypełnić ankietę KNF. Robimy też audyt DORA i wdrożenie DORA
Zobacz nasz nowy e-book DORA pdf dla wzrokowców – rozporządzenie w grafikach
Musisz poznać treść Rozporządzenia DORA (zobacz też: DORA wymagania), ale nie rozumiesz skomplikowanego języka prawniczego i zawiłych regulacji? E-book „DORA dla wzrokowców” jest dla Ciebie! Przekształciłyśmy trudne europejskie rozporządzenie o operacyjnej odporności cyfrowej (DORA) na przejrzyste grafiki, wykresy i tabele. Dzięki temu szybko i bez wysiłku zrozumiesz najważniejsze obowiązki i wymagania, które Cię dotyczą.
Ten e-book to wizualne przedstawienie treści samego rozporządzenia tak, aby osoby, które muszą pracować z tym dokumentem, przeżyły to z godnością i zrozumiały, czego dotyczy to rozporządzenie. DORA zacznie obowiązywać od 2025 roku. Kup ten e-book DORA pdf teraz.
Dlaczego wypełnienie ankiety DORA KNF jest ważne? Nadzór KNF nad sektorem finansowym
Wypełnienie ankiety samooceny zgodności z rozporządzeniem DORA to nie tylko obowiązek. Może okazać się bardzo przydatne. Firma może dzięki temu sprawdzić, czy jest przygotowana na wyzwania związane z bezpieczeństwem cyfrowym. Rozporządzenie DORA wchodzi w życie 1 stycznia 2025 roku. Czasu na dostosowanie swoich systemów i procedur do nowych wymogów jest coraz mniej. Zdaniem ekspertów wdrożenia nie da się zrobić na ostatnią chwilę.
Tymczasem do dnia obowiązywania DORA podmioty finansowe muszą być zgodne z wymogami rozporządzenia. A ich umowy z dostawcami usług ICT muszą odpowiadać nowym warunkom. Dotyczy to dużej części rynku – praktycznie całego sektora finansowego. Dotyczy to także dostawców ICT, w tym dostawców usług w zakresie kryptoaktywów czy dostawcy usług chmury obliczeniowej.
Wysyłając ankiety KNF realizuje swoje uprawnienia nadzoru nad sektorem finansowym. Ten zaś będzie wymuszał spełnienie warunków tego nadzoru na swoich dostawcach zewnętrznych. W rezultacie cały polski sektor finansowy, w tym dostawcy zewnętrzni usług ICT, zostanie objęty rozporządzeniem wprowadzającym nowe wymogi w zakresie bezpieczeństwa cyfrowego.
- Dowiedz się, jak w ramach nadzoru KNF będzie stosował kary i środki naprawcze z rozporządzenia DORA
- Dowiedz się, co to jest DORA RTS
Potrzebujesz pomocy w zakresie DORA?
Zastanawiasz się, jak wypełnić ankietę KNF? Świadczysz usługi ICT dla sektora finansowego? Jesteś zewnętrznym dostawcą usług ICT? Umów się na poradę prawną dotyczącą Rozporządzenia DORA (Digital Operational Resilience Act). Pomożemy Ci ustalić, czy Twoja działalność podlega pod DORA i jakie obowiązki z tego wynikają. Pomożemy Ci wypełnić ankietę KNF.
Nasza ekspertka, radczyni prawna Marta Makulec, doradzi, jak dostosować Twoje usługi do nowych regulacji, minimalizując ryzyko błędów i sankcji. Skorzystaj z naszej wiedzy, aby zapewnić swojej firmie pełną zgodność z unijnymi wymogami.
Wdrożenie DORA – pomożemy Twojej organizacji przygotować się
W Polsce, jeśli jesteś instytucją finansową lub zewnętrznym dostawcą usług, musisz stosować DORA od stycznia 2025 r.
Zamów audyt DORA – to pierwszy krok do wprowadzenia DORA w Twojej organizacji. Nasza kancelaria armińska radcowie prawni oferuje pełne wsparcie, które ułatwi Twojej firmie dostosowanie do nowych przepisów.
Nasze usługi obejmują m.in.:
- audyt DORA, który pozwoli na ocenę poziomu zgodności Twojej instytucji z rozporządzeniem
- wdrożenie DORA zgodnie z wytycznymi
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA
- pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.
Kancelaria armińska radcowie prawni oferuje kompleksową pomoc w wypełnianiu ankiet samooceny zgodności z DORA. Specjalizujemy się w doradztwie prawnym dla sektora finansowego. Wspieramy firmy w interpretacji przepisów oraz wdrażaniu wymaganych przez DORA nowych wymagań i procedur. Zapraszamy do kontaktu, aby dowiedzieć się, jak możemy pomóc w spełnieniu wymogów operacyjnej odporności cyfrowej.
