Sektor finansowy niezmiennie stoi przed wyzwaniem zapewnienia bezpieczeństwa operacyjnego i ochrony przed rosnącymi zagrożeniami cybernetycznymi. Jak sprostać tym wyzwaniom w zgodzie z dynamicznie zmieniającym się prawem? Odpowiedzią są Regulacyjne Standardy Techniczne (RTS) wprowadzone w ramach rozporządzenia DORA, czyli rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego. Mają one ujednolicić i doprecyzować regulacje w zakresie zarządzania ryzykiem ICT w całej Unii Europejskiej.
Rozporządzenie DORA, czyli Digital Operational Resilience Act, ma na celu wzmocnienie operacyjnej odporności cyfrowej sektora finansowego w Unii Europejskiej (UE). Także w Polsce. To rozporządzenie stanowi odpowiedź na rosnące zagrożenia związane z cyberbezpieczeństwem. Reguluje procedury, polityki, środki i narzędzia związane z infrastrukturą cyfrową i świadczeniem usług cyfrowych, w tym kluczowych usług ICT. Dotyczy nie tylko obowiązków podmiotów finansowych bezpośrednio nim objętych, ale także zewnętrznych dostawców usług ICT.
Unia Europejska wprowadziła regulacje uzupełniające powyższe rozporządzenie. Są to:
- Regulacyjne Standardy Techniczne – Regulatory Technical Standards (RTS) oraz
- Wykonawcze Standardy Techiczne – Implementing Technical Standards (ITS).
Czym są Regulacyjne Standardy Techniczne (RTS)?
RTS to dokumenty ustanawiające powszechne ramy prawne w zakresie:
- Zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT) oraz zarządzania ryzykiem stron trzecich z nimi związanych.
- Zgłaszania poważnych incydentów powiązanych z ICT.
Opracowywane przez Europejskie Urzędy Nadzoru (ESA), RTS mają na celu doprecyzowanie aspektów technicznych i dostarczenie szczegółowych wytycznych dla podmiotów finansowych. Po przygotowaniu są przekazywane do Komisji Europejskiej w celu weryfikacji i zatwierdzenia. To nadaje im moc wiążącą w całej Unii Europejskiej.
Czym są Wykonawcze Standardy Techniczne (ITS) i czym różnią się od RTS?
Wykonawcze Standardy Techniczne (ITS) również są opracowywane przez ESA, ale ich rola jest nieco inna. ITS mają na celu ustanowienie standardowych wzorów, formularzy i procedur dla podmiotów finansowych, szczególnie w kontekście zgłaszania poważnych incydentów. RTS skupiają się na konkretnych wymaganiach technicznych i są bardziej normatywne. ITS mają charakter proceduralny i dążą do ujednolicenia procesów wdrażania przepisów w całej UE.
O charakterze tych dokumentów informuje nas Motyw 100 Rozporządzenia DORA
“W celu ułatwienia porównywalności sprawozdań dotyczących poważnych incydentów związanych z ICT i poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami oraz w celu zapewnienia przejrzystości w zakresie ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT, EUN powinny opracować projekty wykonawczych standardów technicznych ustanawiających standardowe wzory, formularze i procedury dla podmiotów finansowych na potrzeby zgłaszania poważnych incydentów związanych z ICT i poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami, jak również standardowych wzorów na potrzeby rejestrowania informacji.
Przy opracowywaniu tych standardów EUN powinny brać pod uwagę wielkość i ogólny profil ryzyka danego podmiotu finansowego oraz charakter, skalę i stopień złożoności jego usług, działań i operacji. Komisja powinna być uprawniona do przyjmowania tych wykonawczych standardów technicznych w drodze aktów wykonawczych zgodnie z art. 291 TFUE oraz zgodnie z art. 15 rozporządzeń (UE) nr 1093/2010, (UE) nr 1094/2010 oraz (UE) nr 1095/2010”
Główne różnice między RTS a ITS
- RTS: nakładają szczegółowe wymagania techniczne dotyczące wdrożenia przepisów. Są bardziej normatywne i koncentrują się na praktycznych aspektach implementacji rozporządzenia DORA.
- ITS: zajmują się ujednoliceniem i standaryzacją procesów wdrażania tych przepisów w całej Unii Europejskiej i mają charakter bardziej proceduralny. Skupiają się dużo bardziej na odpowiednim sposobie raportowania do odpowiednich organów nadzoru.
Kto ustala RTS i ITS?
Za opracowanie RTS i ITS odpowiedzialne są trzy kluczowe organy, tworzące Europejskie Urzędy Nadzoru (ESA):
- Europejski Urząd Nadzoru Bankowego (EBA)
- Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA)
- Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA)
Po przygotowaniu, dokumenty są przekazywane do Komisji Europejskiej, która dokonuje ich weryfikacji i zatwierdza je, nadając im moc prawną.
Opublikowane pakiety RTS i ITS
Aby skutecznie wdrożyć nowe regulacje i zapewnić płynne przejście dla podmiotów finansowych, Europejskie Urzędy Nadzoru publikują RTS i ITS w formie pakietów dokumentów. Te pakiety to zbiory standardów technicznych i wytycznych, które są udostępniane etapami. Każdy pakiet skupia się na konkretnych aspektach zarządzania ryzykiem ICT i zawiera szczegółowe instrukcje oraz wymogi, które instytucje finansowe muszą spełnić w określonych terminach.
Pierwszy pakiet (17 stycznia 2024 roku)
- RTS dotyczący ram zarządzania ryzykiem ICT i uproszczonych ram zarządzania ryzykiem ICT. (art. 28 DORA)
- RTS w sprawie kryteriów klasyfikacji incydentów związanych z ICT. (art. 18 DORA)
- RTS określające politykę dotyczącą usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. (Art. 28 DORA)
- ITS określający wzory rejestru informacji – wstępnie odrzucony przez Komisję Europejską ze względu na konieczność dostosowania identyfikatorów podmiotów prawnych (LEI i EUID). (Art. 28 DORA)
- RTS w zakresie określenia elementów, które podmiot finansowy musi ustalić i ocenić przy zlecaniu podwykonawstwa usług ICT wspierających funkcje krytyczne lub ważne, zgodnie z art. 30 ust. 5 rozporządzenia (UE) 2022/2554. (Art. 30 DORA)
Drugi pakiet (17 lipca 2024 roku)
- RTS i ITS dotyczące treści, wzorów, formularzy i terminów raportowania poważnych incydentów związanych z ICT i znaczących cyberzagrożeń. (Art. 19 DORA)
- RTS w sprawie harmonizacji warunków nadzoru. (art. 41 DORA)
- RTS określający kryteria ustalenia składu wspólnego zespołu egzaminacyjnego (JET). (Art. 41 DORA)
- RTS w zakresie testów penetracyjnych opartych na zagrożeniach (TLPT). (Art. 26 DORA)
Dodatkowo opublikowano:
- Wytyczne dotyczące szacowania łącznych kosztów/strat spowodowanych poważnymi incydentami związanymi z ICT. (Art. 11 DORA)
- Wytyczne dotyczące współpracy nadzorczej i wymiany informacji między ESA a właściwymi organami w ramach DORA. (Art. 16 i Art. 32 DORA)
Zobacz nasz nowy e-book DORA dla wzrokowców – rozporządzenie w grafikach
Musisz poznać treść Rozporządzenia DORA, ale nie rozumiesz skomplikowanego języka prawniczego i zawiłych regulacji? E-book „DORA dla wzrokowców” jest dla Ciebie! Przekształciłyśmy trudne europejskie rozporządzenie o operacyjnej odporności cyfrowej (DORA) na przejrzyste grafiki, wykresy i tabele. Dzięki temu szybko i bez wysiłku zrozumiesz najważniejsze obowiązki i wymagania, które Cię dotyczą.
Ten e-book to wizualne przedstawienie treści samego rozporządzenia tak, aby osoby, które muszą pracować z tym dokumentem, przeżyły to z godnością i zrozumiały, czego dotyczy to rozporządzenie. DORA zacznie obowiązywać od 2025 roku. Kup ten e-book teraz.
Czy RTS i ITS obowiązują w Polsce?
Tak, RTS i ITS obowiązują w Polsce. Zgodnie z zapisami w przyjętych przez Komisję dokumentach: „Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich”. Oznacza to, że polskie instytucje finansowe muszą przestrzegać tych wymogów. Organem odpowiedzialnym za nadzór nad ich implementacją w Polsce jest Komisja Nadzoru Finansowego (KNF). Współpracuje ona z europejskimi organami nadzoru w celu zapewnienia zgodności z unijnymi regulacjami.
Lista przyjętych RTS i ITS
- Rozporządzenie Delegowane Komisji (UE) 2024/1774 z dnia 13 marca 2024 roku – uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających narzędzia, metody, procesy i polityki zarządzania ryzykiem ICT oraz uproszczone ramy zarządzania ryzykiem związanym ICT. Data wejścia w życie: 15 lipca 2024 roku.
- Rozporządzenie Delegowane Komisji (UE) 2024/1773 z dnia 13 marca 2024 roku – uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych doprecyzowujących szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Data wejścia w życie: 15 lipca 2024 roku.
- Rozporządzenie Delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 roku – uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów. Data wejścia w życie: 15 lipca 2024 roku.
- Rozporządzenie Delegowane Komisji (UE) 2024/1502 z dnia 22 lutego 2024 roku – uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie kryteriów wyznaczania zewnętrznych dostawców usług ICT jako mających kluczowe znaczenie dla podmiotów finansowych. Data wejścia w życie: 19 czerwca 2024 roku, z pewnymi przepisami obowiązującymi od 16 stycznia 2025 roku.
- Rozporządzenie Delegowane Komisji (UE) 2024/1505 z dnia 22 lutego 2024 roku – uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie wysokości opłat nadzorczych pobieranych przez wiodący organ nadzorczy od kluczowych zewnętrznych dostawców usług ICT oraz sposobu uiszczania tych opłat. Data wejścia w życie: 19 czerwca 2024 roku.
Podsumowanie
Nowe Regulacyjne i Wykonawcze Standardy Techniczne wprowadzone w ramach DORA stanowią kluczowy krok w kierunku zwiększenia bezpieczeństwa i odporności cyfrowej sektora finansowego. Dzięki jednolitym i precyzyjnym regulacjom, instytucje finansowe zyskują narzędzia do skutecznego zarządzania ryzykiem ICT i ochrony przed zagrożeniami cybernetycznymi. W Polsce, podobnie jak w innych krajach UE, ich implementacja jest nie tylko obowiązkiem prawnym. To także inwestycja w stabilność i zaufanie klientów w dobie cyfrowej transformacji.
Chcesz zadać pytanie z zakresu DORA?
Świadczysz usługi ICT dla sektora finansowego? Jesteś zewnętrznym dostawcą usług ICT? Oferujemy Ci specjalistyczną poradę prawną dotyczącą Rozporządzenia DORA (Digital Operational Resilience Act). Pomożemy Ci ustalić, czy Twoja działalność podlega pod DORA i jakie obowiązki z tego wynikają. Nasza ekspertka, radczyni prawna Marta Makulec, doradzi, jak dostosować Twoje usługi do nowych regulacji, minimalizując ryzyko błędów i sankcji. Skorzystaj z naszej wiedzy, aby zapewnić swojej firmie pełną zgodność z unijnymi wymogami.
Dowiedz się więcej o DORA
Na blogu naszej kancelarii znajdziesz coraz więcej artykułów z zakresu tematyki DORA. Akt o operacyjnej odporności cyfrowej sektora finansowego to ważny temat. Będzie o nim coraz głośniej, bo data dostosowania się do niego w Polsce zbliża się nieubłaganie. Do stycznia 2025 roku na pewno będą pojawiać się nowe pytania i zagadnienia. Kancelaria armińska radcowie prawni specjalizuje się w tematyce DORA. Doradzamy, jak się przygotować oraz oferujemy szkolenia z tego zakresu.
DORA dotyczy Twojej organizacji? Polecamy też zacząć od zapoznania się z artykułami na blogu:
- Rozporządzenie DORA: klucz do cyfrowej odporności
- Dostawcy usług ICT – jaką rolę wyznacza im rozporządzenie DORA?
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
- Jak będą stosowane kary administracyjne i środki naprawcze z rozporządzenia DORA?
- Ankieta DORA KNF – Komisja Nadzoru Finansowego sprawdza zgodność z rozporządzeniem DORA
Pomożemy Ci przygotować się do wdrożenia DORA w Twojej organizacji
W Polsce, jeśli jesteś instytucją finansową lub zewnętrznym dostawca usług, musisz zacząć stosować DORA od stycznia 2025 r.
Jednak nie odkładaj tego na później! Zacznij przygotowania już teraz, by wprowadzić DORA w swojej organizacji. Nasza kancelaria armińska radcowie prawni oferuje pełne wsparcie, które ułatwi Twojej firmie dostosowanie do nowych przepisów.
Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r., na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
- dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
- pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.
Skontaktuj się z nami, aby umożliwić swojej firmie efektywne przygotowanie na wdrożenie DORA.
Dziś DORA wciąż generuje wiele pytań i niepewności. Jednak jej lektura pozwala jednocześnie na udzielenie wielu odpowiedzi. Z racji zakresu tej regulacji, nie ma możliwości, aby zobowiązane podmioty wdrożyły u siebie stosowne procedury w dwa miesiące. Dlatego jesteś podmiotem finansowym zobowiązanym zgodnie z DORA, już teraz zamów audyt swoich procedur oraz dokumentów. I przygotuj plan działania wdrożeniowego. Kancelaria radcowie prawni pomoże Ci zarządzić całym procesem. Przeprowadzi także szkolenia z rozporządzenia DORA dla Twoich pracowników i zarządu. Skontaktuj się z nami.