Już wkrótce podmioty finansowe czeka rewolucja na skalę wdrożenia rozporządzenia RODO. Akt, który będzie sprawcą zamieszania, już wszedł w życie, a od 2025 r. będzie miał zastosowanie do polskich podmiotów finansowych. O czym mowa? To coraz bardziej popularna DORA. Czym jest rozporządzenie DORA? Digital Operational Resilience Act to unijne rozporządzenie o Operacyjnej Odporności Cyfrowej. Czy Twoja instytucja jest odporna cyfrowo? Czy przedsiębiorstwo, w którym pracujesz, dojrzało do Rozporządzenia DORA? Sprawdźmy, co nas czeka, i jak przygotować się do wdrożenia.
W dzisiejszym cyfrowym świecie za odporność na cyberataki i za cyberbezpieczeństwo trzeba wziąć się na poważnie. Dlatego Unię Europejską czeka prawdziwa rewolucja, bo sytuacja nabrzmiała już do radykalnych i koniecznych zmian. Świat cyfrowy coraz bardziej będzie się rozwijał pod czujnym okiem organów nadzoru. Rozporządzenie DORA to jeden z elementów tej układanki. Ma na celu wzmocnienie bezpieczeństwa cyfrowego i zwiększenie odporności kluczowych podmiotów na ataki z zewnątrz. Choć mamy jeszcze chwilę na przygotowanie się do niego, już teraz warto się szkolić, aby wiedzieć, jak przygotować się do nadchodzących zmian. Już dziś trzeba sobie uzmysłowić, jaki ogrom pracy czeka podmioty finansowe objęte tym rozporządzeniem.
Rozporządzenie DORA – Co to jest?
Rozporządzenie DORA, czyli Digital Operational Resilience Act, to kluczowy akt prawny, który ma na celu wzmocnienie operacyjnej odporności cyfrowej sektora finansowego w Unii Europejskiej (UE), także w Polsce. DORA stanowi odpowiedź na rosnące zagrożenia związane z cyberbezpieczeństwem. Jej stworzenie jest milowym krokiem w kierunku ujednolicenia standardów ochrony oraz dostosowania się do światowych trendów walki z cyberatakami.
Rozporządzenie to reguluje procedury, polityki, środki i narzędzia związane z infrastrukturą cyfrową i świadczeniem usług cyfrowych, w tym kluczowych usług ICT. Reguluje nie tylko obowiązki podmiotów finansowych bezpośrednio nim objętych, ale także zewnętrznych dostawców kluczowych usług ICT.
ICT – Information and Comunication Technologies – technologie informacyjno-telekomunikacyjne. To szeroko pojęty klaster technologii, które przetwarzają, gromadzą i przesyłają informacje w formie elektronicznej.
Kiedy DORA zacznie obowiązywać w Polsce?
Prace nad tym aktem trwają od dawna. Projekt rozporządzenia DORA ogłoszono już we wrześniu 2020 roku, a Rada Unii Europejskiej przyjęła go 28 listopada 2022 r. Rozporządzenie weszło w życie 16 stycznia 2023 r. Można więc powiedzieć, że etap ustawodawczy już się zakończył i właśnie trwa 24-miesięczne vacatio legis. Oznacza to, że DORA zacznie obowiązywać 17 stycznia 2025 r. A ponieważ jest to rozporządzenie unijne, obejmie podmioty w Polsce bez konieczności uchwalania w tym zakresie osobnych ustaw. To deadline, do którego trzeba wdrożyć wymagane przez rozporządzenie procedury.
Do kogo stosuje się Rozporządzenie DORA?
Na pierwszym froncie walki z cyberprzestępczością są instytucje, które zarządzają i chronią nasze pieniądze. Dlatego DORA ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych, które wspierają procesy biznesowe podmiotów finansowych. Celem jest osiągnięcie wysokiego wspólnego poziomu operacyjnej odporności cyfrowej.
Katalog instytucji obowiązanych do wdrożenia DORA jest tak szeroki, że szacuje się, iż obejmie on ponad 20 tysięcy podmiotów w całej Unii Europejskiej, w tym w Polsce. Oto kategorie podmiotów finansowych objętych nowymi przepisami:
- instytucje kredytowe;
- instytucje płatnicze;
- dostawcy świadczący usługę dostępu do informacji o rachunku;
- instytucje pieniądza elektronicznego,
- firmy inwestycyjne;
- dostawcy usług w zakresie kryptoaktywów, którzy uzyskali zezwolenie na mocy rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów oraz zmieniającego rozporządzenia (UE) nr 1093/2010 i (UE) nr 1095/2010 oraz dyrektywy2013/36/UE i (UE) 2019/1937 (zwanego dalej „rozporządzeniem w sprawie rynkówkrypto aktywów”) i emitentów tokenów powiązanych z aktywami;
- centralne depozyty papierów wartościowych;
- kontrahenci centralni;
- systemy obrotu;
- repozytoria transakcji;
- zarządzający alternatywnymi funduszami inwestycyjnymi;
- spółki zarządzające;
- dostawcy usług w zakresie udostępniania informacji;
- zakłady ubezpieczeń i zakłady reasekuracji;
- pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające;
- instytucje pracowniczych programów emerytalnych;
- agencje ratingowe;
- administratorzy kluczowych wskaźników referencyjnych;
- dostawcy usług finansowania społecznościowego;
- repozytoria sekurytyzacji;
- zewnętrzni dostawcy usług ICT.
Jak widać krąg zainteresowanych podmiotów jest dość szeroki. A ponieważ zmiany obejmą także zewnętrznych dostawców usług ICT świadczących usługi dla tych instytucji, wdrożenie rozwiązań DORA odbije się szerokim echem w świecie finansów i technologii.
Przygotuj się już dziś na wdrożenie DORA. Jednym z obowiązków wynikających z tego aktu jest szkolenie kadry zarządzającej i pracowników zobowiązanych instytucji. Kancelaria armińska radcowie prawni przeprowadzi szkolenie dla Twojej firmy i pomoże Ci lepiej przygotować się na nadchodzące zmiany. Skontaktuj się z nami.
5 filarów Rozporządzenia DORA
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego DORA wprowadza jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych. W ramach tych wymogów, DORA przewiduje pięć kluczowych filarów, na których opierać się będą zasady prawidłowego dbania o cyberbezpieczeństwo:
1. Zarządzanie ryzykiem związanym z ICT
W ramach tego filaru podmioty zobowiązane do wdrożenia przepisów DORA będą musiały posiadać i stosować politykę bezpieczeństwa informacji oraz mechanizmy wykrywania nieprawidłowości. Bardzo ważne w obszarze ICT będą plany ciągłości działania i strategie tworzenia kopii zapasowych danych. Akt nakłada dodatkowo na podmioty finansowe obowiązki posiadania planów komunikacyjnych dotyczących ujawniania cyberincydentów. Jednym z istotnych zadań kierownictwa będzie też obowiązek szkolenia pracowników tak, aby świadomie podchodzili do kwestii zarządzania ryzykiem ICT. Ten ostatni punkt może i powinien być realizowany już na obecnym etapie.
2. Zgłaszanie poważnych incydentów związanych z ICT właściwym organom
Incydenty związane z ICT to poważna sprawa. Dlatego DORA reguluje zarządzanie, klasyfikację i zgłaszanie incydentów. Wymaga też, aby podmioty finansowe ustanowiły i wdrożyły proces zarządzania incydentami. Proces ten obejmuje m.in. ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT. Podmiot finansowy będzie też musiał posiadać procedury reagowania na incydenty w celu złagodzenia skutków i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług.
- Potrzebujesz audytu w zakresie przygotowania Twojej organizacji do wdrożenia DORA? Skontaktuj się z naszą kancelarią.
3. Testowanie cyfrowej odporności operacyjnej
Organizacje, których dotyczy DORA, muszą być gotowe na wypadek incydentów związanych z ICT. Jednym z elementów stanu takiej gotowości jest testowanie cyfrowej odporności operacyjnej. Firmy finansowe będą posiadały solidny i kompleksowy program testowania operacyjnej odporności cyfrowej. Będzie on dostosowany do wielkości, profilu działalności i profilu ryzyka danego podmiotu finansowego. Co ważne, podmioty te co najmniej raz w roku będą zobowiązane do testowania wszystkich kluczowych systemów i aplikacji ICT.
4. Zarządzanie ryzykiem stron trzecich w branży ICT (TPRM)
Integralnym elementem ryzyka związanego z ICT jest zarządzanie ryzykiem ze strony zewnętrznych dostawców ICT świadczących usługi na rzecz podmiotów w sektorze finansowym. To konieczny element bezpieczeństwa, ponieważ obecne struktury systemów informatycznych, narzędzi i sieci potrafią być bardzo rozbudowane. Nawet małe podmioty korzystają dziś z usług wielu dostawców – takich jak dostawcy usług w chmurze, usług wysyłania informacji, dostępu do internetu czy zarządzania danymi. Cóż dopiero duże instytucje finansowe.
Dlatego podmioty finansowe przyjmą i będą regularnie weryfikować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT. Strategia ta obejmować będzie m.in. politykę korzystania z usług ICT świadczonych przez zewnętrznych dostawców. Co ważne, tacy dostawcy będą musieli dostosować się do nowych wymagań. Podmioty finansowe będą mogły zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają wysokich, odpowiednich i najnowszych standardów w zakresie bezpieczeństwa informacji. DORA nakłada więc szczególne wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi.
5. Ustalenia dotyczące wymiany informacji
Cyberbezpieczeństwo wysuwa się na czołówkę najgorętszych tematów związanych z naszym życiem, niczym hart wyścigowy na pierwsze miejsce w gonitwie. Ustawodawca zdaje sobie sprawę i dostrzega potrzebę kooperacji w wymianie informacji między podmiotami, bo tak jesteśmy w stanie lepiej się chronić przed cybezagrożeniem. Stąd dopuszcza wymianę między podmiotami finansowymi informacji o cyberzagrożeniu i wyniki analiz takiego zagrożenia. Zdaje sobie jednak sprawę, że taka wymiana może stać w sprzeczności z poufnym charakterem tych informacji, w tym naruszać tajemnicę przedsiębiorstwa. Dlatego taka wymiana powinna odbywać się pod pewnymi szczególnymi warunkami.
Jak podmioty finansowe mogą wymieniać między sobą informacje?
Przede wszystkim taka wymiana jest możliwa wtedy, gdy ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych i odbywa się w zaufanych społecznościach tych podmiotów. Dodatkowo podmioty te powinny zawrzeć między sobą ustalenia, która chronią potencjalnie poufny charakter wymienianych informacji, i które szanują tajemnicę przedsiębiorstwa, ochrony danych osobowych oraz wytyczne dotyczące polityki konkurencji.
Jakich procedur wymaga DORA?
DORA to akt-kombajn. Nie tylko ze względu na swoją objętość, ale przede wszystkim na treść, która ma być jeszcze rozwijana poprzez regulacyjne standardy techniczne (RTS) wydane przez wskazane w rozporządzeniu organy. Już dziś jednak wiemy, że podmioty zobowiązane do stosowania rozporządzenia w zakresie operacyjnej odporności cyfrowej będą musiały wytworzyć całkiem sporo dokumentacji (częściowo bazując już zapewne na posiadanych procedurach).
Oto niektóre tylko przykłady procedur, których wymaga DORA, a które podmioty finansowe będą musiały przygotować, wdrożyć i aktualizować:
- system zarządzania ryzykiem
- strategia operacyjnej odporności cyfrowej
- polityka bezpieczeństwa informacji
- polityka ciągłości działania
- plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej
- plany ciągłości działania
- plany działań informacyjnych
- proces zarządzania incydentami, w tym procedury reagowania na incydenty
- program testowania operacyjnej odporności cyfrowej
- strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT
To tylko niektóre ze strategii, planów i procesów, które trzeba będzie wdrożyć w firmie. Już na pierwszy rzut oka widać, że nie są to dokumenty, które da się opracować i wdrożyć w trzy miesiące. Dlatego choć termin obowiązywania DORA dla polskich podmiotów finansowych wydaje się dziś jeszcze dość odległy (styczeń 2025), to właśnie teraz jest dobry czas, aby przygotować się na czekające nas zmiany.
Dowiedz się więcej o DORA
Na blogu kancelarii będziemy sukcesywnie rozwijać tematykę DORA, ponieważ to temat, o którym będzie robić się coraz głośniej i będą pojawiać się nowe pytania i zagadnienia. Ponieważ nasza kancelaria specjalizuje się w tematyce DORA, przygotowałyśmy ofertę szkoleń z tego zakresu. Polecamy też zacząć od zapoznania się z artykułami na blogu:
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
- Jak będą stosowane kary administracyjne i środki naprawcze?
Pomożemy wdrożyć warunki DORA w Twojej firmie
Masz czas do stycznia 2025 roku, aby wdrożyć w swojej instytucji finansowej zasady wynikające z DORA. Dotyczy to także zewnętrznych dostawców usług ICT. Nie czekaj do ostatniej chwili! Już dziś zacznij szkolić swój zespół i podejmij przygotowania do wprowadzenia DORA w swojej instytucji. Kancelaria armińska radcowie prawni oferuje kompleksowe wsparcie, które pomoże Twojej firmie dostosować się do nowych wymogów.
Radca prawny Katarzyna Armińska-Waszczyk, właścicielka kancelarii armińska radcowie prawni, miała przyjemność poprowadzić w marcu 2024 r. , na zaproszenie Rzeczpospolita Konferencje, szkolenie pt. „Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT – omówienie wybranych wymagań Rozporządzenia DORA.” Zachęcamy do śledzenia zbliżających się szkoleń, na których regularnie dzielimy się wiedzą z zakresu DORA, Legal Design, czy nowych technologii.
- szkolenia i warsztaty dla zarządu i pracowników, które zapewnią im gruntowną wiedzę na temat DORA i najlepszych metod zarządzania ryzykiem cyfrowym,
- dokładne audyty, które pozwolą na ocenę poziomu zgodności Twojej instytucji z nadchodzącymi zmianami,
- pomoc w planowaniu i wdrażaniu indywidualnie dostosowanych rozwiązań DORA, aby zapewnić płynne przejście i pełną zgodność z nowymi regulacjami.
Skonsultuj się z naszą kancelarią w kwestii wdrożenia strategii DORA w Twojej organizacji
Podsumowanie
Rozporządzenie DORA (Digital Operational Resilience Act) stanowi ważny krok w kierunku wzmocnienia operacyjnej odporności cyfrowej w Polsce i innych krajach Unii Europejskiej. Jego wdrażanie ma na celu minimalizację ryzyka związanego z cyberatakami i zagrożeniami cyfrowymi. W założeniu ma przyczynić się do zwiększenia bezpieczeństwa infrastruktury cyfrowej oraz danych. Ochrona operacyjnej odporności cyfrowej nie jest tylko kwestią przestrzegania przepisów prawnych, ale także ważnym elementem dbania o zaufanie klientów i partnerów oraz utrzymanie ciągłości działania w dzisiejszym globalnym świecie online.
Niniejszy artykuł ma wyłącznie funkcję informacyjną i publicystyczną i nie stanowi porady prawnej. Jest efektem pracy i wiedzy jego autora. Jeśli potrzebujesz porady prawnej lub oceny prawnej Twojej konkretnej sytuacji, skontaktuj się z radcą prawnym i poproś o indywidualną opinię.
