DORA – rozporządzenie o cyfrowej odporności operacyjnej w finansach

Już wkrótce podmioty finansowe czeka rewolucja na skalę wdrożenia rozporządzenia RODO. Akt, który będzie sprawcą zamieszania, już wszedł w życie, a od 2025 r. będzie miał zastosowanie do polskich podmiotów finansowych. O czym mowa? To coraz bardziej popularna DORA. Czym jest rozporządzenie DORA? Digital Operational Resilience Act to unijne rozporządzenie o Operacyjnej Odporności Cyfrowej. Czy Twoja instytucja jest odporna cyfrowo? Czy przedsiębiorstwo, w którym pracujesz, dojrzało do Rozporządzenia DORA? Sprawdźmy, co nas czeka, i jak przygotować się do wdrożenia.

W dzisiejszym cyfrowym świecie za odporność na cyberataki i za cyberbezpieczeństwo trzeba wziąć się na poważnie. Dlatego Unię Europejską czeka prawdziwa rewolucja, bo sytuacja nabrzmiała już do radykalnych i koniecznych zmian. Świat cyfrowy coraz bardziej będzie się rozwijał pod czujnym okiem organów nadzoru. Rozporządzenie DORA to jeden z elementów tej układanki. Ma na celu wzmocnienie bezpieczeństwa cyfrowego i zwiększenie odporności kluczowych podmiotów na ataki z zewnątrz. Choć mamy jeszcze chwilę na przygotowanie się do niego, już teraz warto się szkolić, aby wiedzieć, jak przygotować się do nadchodzących zmian. Już dziś trzeba sobie uzmysłowić, jaki ogrom pracy czeka podmioty finansowe objęte tym rozporządzeniem. 

Co to jest DORA?

Unijne rozporządzenie DORA (przez niektórych błędnie określane jako dyrektywa DORA), czyli Digital Operational Resilience Act, to kluczowy akt prawny, który ma na celu wzmocnienie operacyjnej odporności cyfrowej sektora finansowego w Unii Europejskiej (UE), także w Polsce. Regulacje DORA stanowią odpowiedź na rosnące zagrożenia związane z cyberbezpieczeństwem. DORA rozporządzenie jest milowym krokiem w kierunku ujednolicenia standardów ochrony oraz dostosowania się do światowych trendów walki z cyberatakami. 

Rozporządzenie DORA reguluje procedury, polityki, środki i narzędzia związane z infrastrukturą cyfrową i świadczeniem usług cyfrowych, w tym kluczowych usług ICT. Reguluje nie tylko obowiązki podmiotów finansowych bezpośrednio nim objętych, ale także zewnętrznych dostawców kluczowych usług ICT.

ICT – Information and Comunication Technologies – technologie informacyjno-telekomunikacyjne. To szeroko pojęty klaster technologii, które przetwarzają, gromadzą i przesyłają informacje w formie elektronicznej.

DORA – kiedy wchodzi w życie w Polsce?

Prace nad tym aktem trwają od dawna. Projekt rozporządzenia DORA ogłoszono już we wrześniu 2020 roku, a  Rada Unii Europejskiej przyjęła go 28 listopada 2022 r. Rozporządzenie weszło w życie 16 stycznia 2023 r. Można więc powiedzieć, że etap ustawodawczy już się zakończył. Zakończył się także okres 24-miesięcznego vacatio legis. Oznacza to, że DORA obowiązuje od 17 stycznia 2025 r. A ponieważ jest to rozporządzenie unijne, w Polsce stosuje się je bez konieczności uchwalania w tym zakresie osobnych ustaw. Zatem zobowiązane podmioty – instytucje finansowe i dostawcy usług ICT powinni już mieć wdrożone wymagane przez regulacje DORA procedury.

Ścieżka legislacyjna DORA:

• 24 września 2020: Komisja Europejska opublikowała pierwszą wersję projektu rozporządzenia DORA jako część pakietu dotyczącego finansów cyfrowych.
• Grudzień 2022: Parlament Europejski i Rada Unii Europejskiej przyjęły ostateczną wersję rozporządzenia DORA.​
• 16 stycznia 2023: DORA Rozporządzenie zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej i oficjalnie weszło w życie.​
• 17 stycznia 2025: DORA Rozporządzenie zaczęło obowiązywać we wszystkich państwach członkowskich UE, w tym w Polsce.​

DORA regulacja ma na celu wzmocnienie odporności cyfrowej sektora finansowego w Unii Europejskiej, zapewniając jednolite standardy zarządzania ryzykiem ICT oraz zwiększając bezpieczeństwo informacji i komunikacji w instytucjach finansowych.

Rozporządzenie DORA – kogo dotyczy?

Na pierwszym froncie walki z cyberprzestępczością są instytucje, które zarządzają i chronią nasze pieniądze. Dlatego DORA ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych, które wspierają procesy biznesowe podmiotów finansowych. Celem jest osiągnięcie wysokiego wspólnego poziomu operacyjnej odporności cyfrowej. 

Katalog instytucji obowiązanych do wdrożenia DORA jest tak szeroki, że szacuje się, iż obejmie on ponad 20 tysięcy podmiotów w całej Unii Europejskiej, w tym w Polsce. Oto kategorie podmiotów finansowych objętych nowymi przepisami: 

1. instytucje kredytowe;
2. instytucje płatnicze;
3. dostawcy świadczący usługę dostępu do informacji o rachunku;
4. instytucje pieniądza elektronicznego,
5. firmy inwestycyjne;
6. dostawcy usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów oraz zmieniającego rozporządzenia (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektywy2013/36/UE i (UE) 2019/1937 (zwanego dalej „rozporządzeniem w sprawie rynkówkrypto aktywów”) i emitentów tokenów powiązanych z aktywami;
7. centralne depozyty papierów wartościowych;
8. kontrahenci centralni;
9. systemy obrotu;
10. repozytoria transakcji;
11. zarządzający alternatywnymi funduszami inwestycyjnymi;
12. spółki zarządzające;
13. dostawcy usług w zakresie udostępniania informacji;
14. zakłady ubezpieczeń i zakłady reasekuracji;
15. pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające;
16. instytucje pracowniczych programów emerytalnych;
17. agencje ratingowe;
18. administratorzy kluczowych wskaźników referencyjnych;
19. dostawcy usług finansowania społecznościowego;
20. repozytoria sekurytyzacji;
21. zewnętrzni dostawcy usług ICT.

Jak widać krąg zainteresowanych podmiotów jest dość szeroki. A ponieważ zmiany obejmą także zewnętrznych dostawców usług ICT świadczących usługi dla tych instytucji, wdrożenie rozwiązań DORA odbije się szerokim echem w świecie finansów i technologii. 

Kancelaria Armińska Radcowie Prawni a DORA regulacja

E-book DORA dla wzrokowców – DORA rozporządzenie tekst w grafikach

Musisz poznać treść rozporządzenia DORA (DORA rozporządzenie tekst), ale nie rozumiesz skomplikowanego języka prawniczego i zawiłych regulacji? E-book „DORA dla wzrokowców” jest dla Ciebie! Przekształciłyśmy trudne europejskie rozporządzenie o operacyjnej odporności cyfrowej na przejrzyste grafiki, wykresy i tabele. Dzięki temu szybko i bez wysiłku zrozumiesz najważniejsze obowiązki i wymagania, które Cię dotyczą.

Ten e-book to wizualne przedstawienie treści samego rozporządzenia tak, aby osoby, które muszą pracować z tym dokumentem, przeżyły to z godnością i zrozumiały, czego dotyczy to rozporządzenie. DORA obowiązuje od stycznia 2025 roku. Kup ten e-book teraz.

Zapytaj o regulacje DORA

Świadczysz usługi ICT dla sektora finansowego? Jesteś zewnętrznym dostawcą usług ICT? Oferujemy Ci specjalistyczną poradę prawną dotyczącą Rozporządzenia DORA (Digital Operational Resilience Act). Pomożemy Ci ustalić, czy Twoja działalność podlega pod DORA i jakie obowiązki z tego wynikają. Nasza ekspertka, radczyni prawna Marta Makulec, doradzi, jak dostosować Twoje usługi do nowych regulacji, minimalizując ryzyko błędów i sankcji. Skorzystaj z naszej wiedzy, aby zapewnić swojej firmie pełną zgodność z unijnymi wymogami. Odo przykładowe informacje, których szukają nasi klienci:

• Co to jest DORA?
• DORA kogo dotyczy?
• DORA kiedy wchodzi w życie? Rozporządzenie DORA – od kiedy podmioty w Polsce muszą je stosować?
• DORA wymagania – jakie warunki trzeba spełnić, aby uzyskać zgodność?

• Umów się na poradę prawną DORA

Dowiedz się, jak wdrożyć u siebie wymagania DORA. Jednym z obowiązków wynikających z tego aktu jest szkolenie kadry zarządzającej i pracowników zobowiązanych instytucji. Kancelaria armińska radcowie prawni przeprowadzi szkolenie dla Twojej firmy i pomoże Ci lepiej przygotować się na nadchodzące zmiany. Skontaktuj się z nami. 

• Zobacz ofertę kancelarii i już dziś przygotuj się na wdrożenie DORA

DORA wymagania – 5 filarów Rozporządzenia DORA 

DORA rozporządzenie, czyli akt w sprawie operacyjnej odporności cyfrowej sektora finansowego, wprowadza jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych. W ramach tych wymogów DORA przewiduje pięć kluczowych filarów, na których opierać się będą zasady prawidłowego dbania o cyberbezpieczeństwo:

1. Zarządzanie ryzykiem związanym z ICT

W ramach tego filaru podmioty zobowiązane do wdrożenia przepisów DORA będą musiały posiadać i stosować politykę bezpieczeństwa informacji oraz mechanizmy wykrywania nieprawidłowości. Bardzo ważne w  obszarze ICT będą plany ciągłości działania i strategie tworzenia kopii zapasowych danych. Akt nakłada dodatkowo na podmioty finansowe obowiązki posiadania planów komunikacyjnych dotyczących ujawniania cyberincydentów. Jednym z istotnych zadań kierownictwa będzie też obowiązek szkolenia pracowników tak, aby świadomie podchodzili do kwestii zarządzania ryzykiem ICT. Ten ostatni punkt może i powinien być realizowany już na obecnym etapie.

• Przeszkolimy Twój zespół z rozporządzenia DORA. Skontaktuj się z naszą kancelarią.

2. Zgłaszanie poważnych incydentów związanych z ICT właściwym organom 

Incydenty związane z ICT to poważna sprawa. Dlatego DORA reguluje zarządzanie, klasyfikację i zgłaszanie incydentów. Wymaga też, aby podmioty finansowe ustanowiły i wdrożyły proces zarządzania incydentami. Proces ten obejmuje m.in. ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT. Podmiot finansowy będzie też musiał posiadać procedury reagowania na incydenty w celu złagodzenia skutków i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług. 

• Potrzebujesz audytu w zakresie przygotowania Twojej organizacji do wdrożenia DORA? Skontaktuj się z naszą kancelarią. 

3. Testowanie cyfrowej odporności operacyjnej

Organizacje, których dotyczy DORA, muszą być gotowe na wypadek incydentów związanych z ICT. Jednym z elementów stanu takiej gotowości jest testowanie cyfrowej odporności operacyjnej. Firmy finansowe będą posiadały solidny i kompleksowy program testowania operacyjnej odporności cyfrowej. Będzie on dostosowany do wielkości, profilu działalności i profilu ryzyka danego podmiotu finansowego. Co ważne, podmioty te co najmniej raz w roku będą zobowiązane do testowania wszystkich kluczowych systemów i aplikacji ICT.

4. Zarządzanie ryzykiem stron trzecich w branży ICT (TPRM)

Integralnym elementem ryzyka związanego z ICT jest zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT świadczących usługi na rzecz podmiotów w sektorze finansowym. To konieczny element bezpieczeństwa, ponieważ obecne struktury systemów informatycznych, narzędzi i sieci potrafią być bardzo rozbudowane. Nawet małe podmioty korzystają dziś z usług wielu dostawców – takich jak dostawcy usług w chmurze, usług wysyłania informacji, dostępu do internetu czy zarządzania danymi. Cóż dopiero duże instytucje finansowe. 

Dlatego podmioty finansowe przyjmą i będą regularnie weryfikować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT. Strategia ta obejmować będzie m.in. politykę korzystania z usług ICT świadczonych przez zewnętrznych dostawców. Co ważne, tacy dostawcy będą musieli dostosować się do nowych wymagań. Podmioty finansowe będą mogły zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają wysokich, odpowiednich i najnowszych standardów w zakresie bezpieczeństwa informacji.  DORA nakłada więc szczególne wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi.

5. Ustalenia dotyczące wymiany informacji

Cyberbezpieczeństwo wysuwa się na czołówkę najgorętszych tematów związanych z naszym życiem, niczym hart wyścigowy na pierwsze miejsce w gonitwie. Ustawodawca zdaje sobie sprawę i dostrzega potrzebę kooperacji w wymianie informacji między podmiotami, bo tak jesteśmy w stanie lepiej się chronić przed cybezagrożeniem. Stąd dopuszcza wymianę między podmiotami finansowymi informacji o cyberzagrożeniu i wyniki analiz takiego zagrożenia. Zdaje sobie jednak sprawę, że taka wymiana może stać w sprzeczności z poufnym charakterem tych informacji, w tym naruszać tajemnicę przedsiębiorstwa. Dlatego taka wymiana powinna odbywać się pod pewnymi szczególnymi warunkami. 

Jak podmioty finansowe mogą wymieniać między sobą informacje?

Przede wszystkim taka wymiana jest możliwa wtedy, gdy ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych i odbywa się w zaufanych społecznościach tych podmiotów. Dodatkowo podmioty te powinny zawrzeć między sobą ustalenia, która chronią potencjalnie poufny charakter wymienianych informacji, i które szanują tajemnicę przedsiębiorstwa, ochrony danych osobowych oraz wytyczne dotyczące polityki konkurencji. 

DORA wymagania – co musisz zrobić, aby być zgodnym z regulacją DORA?

DORA to akt-kombajn. Nie tylko ze względu na swoją objętość, ale przede wszystkim na treść, która ma być jeszcze rozwijana poprzez regulacyjne standardy techniczne (RTS) wydane przez wskazane w rozporządzeniu organy. Już dziś jednak wiemy, że podmioty zobowiązane do stosowania rozporządzenia w zakresie operacyjnej odporności cyfrowej będą musiały wytworzyć całkiem sporo dokumentacji (częściowo bazując już zapewne na posiadanych procedurach).

Oto niektóre tylko przykłady procedur, spełniających wymagania DORA, które podmioty finansowe będą musiały przygotować, wdrożyć i aktualizować:

• system zarządzania ryzykiem
• strategia operacyjnej odporności cyfrowej
• polityka bezpieczeństwa informacji
• polityka ciągłości działania
• plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej
• plany ciągłości działania
• plany działań informacyjnych
• proces zarządzania incydentami, w tym procedury reagowania na incydenty
• program testowania operacyjnej odporności cyfrowej
• strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT

To tylko niektóre ze strategii, planów i procesów, które trzeba będzie wdrożyć w firmie. Już na pierwszy rzut oka widać, że nie są to dokumenty, które da się opracować i wdrożyć w trzy miesiące. Dlatego choć termin obowiązywania DORA dla polskich podmiotów finansowych wydaje się dziś jeszcze dość odległy (styczeń 2025), to właśnie teraz jest dobry czas, aby przygotować się na czekające nas zmiany.

Dowiedz się więcej o regulacjach DORA

Na blogu kancelarii będziemy sukcesywnie rozwijać tematykę DORA, ponieważ to temat, o którym będzie robić się coraz głośniej i będą pojawiać się nowe pytania i zagadnienia. Ponieważ nasza kancelaria specjalizuje się w tematyce DORA, przygotowałyśmy ofertę szkoleń z tego zakresu. Polecamy też zacząć od zapoznania się z artykułami na blogu:

• Kim są dostawcy ICT i jaką mają rolę zgodnie z DORA?
• Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
• DORA KNF – jak wypełnić ankietę od KNF od DORA?
• Jak będą stosowane kary administracyjne i środki naprawcze?

Zrobimy wdrożenie DORA w Twojej firmie

Od stycznia 2025 roku podmioty finansowe powinny wdrożyć w swojej firmie zasady wynikające z DORA. Dotyczy to także zewnętrznych dostawców usług ICT. Jednym z obowiązków jest stałe szkolenie zespołu i kadry zarządzającej. Już dziś zacznij szkolić swój zespół i spenij wymagania DORA w swojej instytucji. Kancelaria armińska radcowie prawni oferuje kompleksowe wsparcie, które pomoże Twojej firmie dostosować się do nowych wymogów.

Nasze usługi obejmują m.in.:

• szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
• audyt DORA, który pozwoli na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
• pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.

Skonsultuj się z naszą kancelarią w kwestii wdrożenia strategii DORA w Twojej organizacji

Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r. , na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.

Podsumowanie

Rozporządzenie DORA (Digital Operational Resilience Act) stanowi ważny krok w kierunku wzmocnienia operacyjnej odporności cyfrowej w Polsce i innych krajach Unii Europejskiej. Jego wdrażanie ma na celu minimalizację ryzyka związanego z cyberatakami i zagrożeniami cyfrowymi. W założeniu ma przyczynić się do zwiększenia bezpieczeństwa infrastruktury cyfrowej oraz danych. Ochrona operacyjnej odporności cyfrowej nie jest tylko kwestią przestrzegania przepisów prawnych, ale także ważnym elementem dbania o zaufanie klientów i partnerów oraz utrzymanie ciągłości działania w dzisiejszym globalnym świecie online.

Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.