ROZPORZĄDZENIE W SPRAWIE OPERACYJNEJ ODPORNOŚCI CYFROWEJ SEKTORA FINANSOWEGO
DIGITAL OPERATIONAL RESILIENCE ACT

[DORA]

1. Wprowadzenie:
   • DORA jest jednym z elementów pakietu dla cyfrowych finansów stworzonego przez Komisję Europejską: jej głównym celem jest utworzenie wprowadzenie regulacji, które zwiększą bezpieczeństwo w cyfrowym sektorze finansowym UE.
   • Nowe przepisy będą stanowić swoisty „kodeks” dla szeroko rozumianego obszaru ICT (ang. Information and Communication Technologies) i wykorzystania go przez instytucje finansowe.
   • DORA będzie miała wpływ zarówno na podmioty finansowe jak i na zewnętrznych dostawców usług ICT, którzy od teraz będą podlegać bezpośredniemu nadzorowi właściwych organów europejskich i krajowych.
   • Ogłoszenie projektu miało miejsce we wrześniu 2020 roku. Prace nad nim trwały do 28 listopada 2022 r., kiedy to Rada Unii Europejskiej przyjęła projekt, co stanowiło ostatni etap procesu ustawodawczego. Ze względu na fakt, że w akcie zawarto 24-miesięczne vacatio legis DORA zacznie obowiązywać na początku 2025 roku – do tego więc czasu należy dostosować się do jej wymogów.
2. Najważniejsze informacje o DORA
   1. Harmonizacja zarządzania ryzykiem
      • Obowiązek wprowadzenia specjalnej polityki zarządzania ryzykiem ICT zgodnie z wymogami rozporządzenia;
      • Podmiot powinien wyznaczyć odpowiednie role i obowiązki w zakresie zarządzania ryzykiem cybernetycznym, dokonywać regularnych audytów;
      • Obowiązek przygotowania specjalnych strategii, w szczególności: polityki ciągłości działania, plany audytów dokonywanych wewnętrznie i przez podmioty zewnętrzne, strategie odporności cybernetycznej;
   2. Zarządzanie incydentami ICT
      • Wymóg stworzenia scenariuszy ryzyk ICT oraz listy zagrożeń oraz ich regularnej aktualizacji;
      • Obowiązek wprowadzenia planu działania i komunikacji na wypadek incydentu oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT;
   3. Testowanie odporności cyfrowej
      • Opracowanie programu testowania odporności cyfrowej;
      • Obowiązkowe regularne, co najmniej coroczne, poddanie wszystkich kluczowych systemów i narzędzi ICT testom pod kątem m. in. Podatności, wydajności i bezpieczeństwa;
   4. Regulowanie relacji z dostawcami usług ICT
      • Zarządzanie ryzykiem ICT w ramach relacji z zewnętrznymi dostawcami usług: obowiązek wprowadzenia i regularnego aktualizowania polityk dotyczących takich współprac oraz wiążących się z nimi ryzyk tak, aby zapewnić najwyższy poziom bezpieczeństwa cyfrowego;
      • Szczególne wymogi dla umów dotyczących przekazywania kluczowej lub ważnej funkcji;
      • Zasady współdzielenia i wymiany informacji dotyczących ryzyk ICT między instytucjami finansowymi a dostawcami usług;
   5. Współpraca organów nadzoru
      • Wprowadzenie regulacji określających zasady współpracy europejskich organów nadzoru z organami instytucji finansowych;
      • Nacisk na wymianę informacji dotyczących wspólnych ryzyk w cyberprzestrzeni oraz dzielenie się praktykami;
      • Określenie uprawnień do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji.
3. Wdrożenie
   1. Niezbędne dostosowania organizacji
      • Zapewnienie kadry menadżerskiej w organie zarządzającym z odpowiednimi kompetencjami;
      • Ustalenie wyraźnie ról i obowiązków w odniesieniu do wszystkich funkcji związanych z ICT przy odpowiednim rozdziale funkcji zarządzania ICT, funkcji kontroli oraz funkcji audytu wewnętrznego;
      • Wyznaczenie nowej funkcji polegającej na monitorowaniu ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczenie członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji;
      • Przeszkolenie członków organu zarządzającego – w celu zdobycia i aktualizacji wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT i jego wpływu na działalność podmiotu finansowego;
      • Wyznaczenie budżetu w celu zaspokojenia potrzeb podmiotu finansowego w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, w tym szkoleń poświęconych ryzyku związanemu z ICT i umiejętności wszystkich odpowiednich pracowników;
   2. Wyznaczenie firmy audytorskiej w celu regularnego dokonywania audytu ICT
   3. Współpraca z zewnętrznymi dostawcami usług ICT
      • Dokładna identyfikacja outsorcowanych usług,
      • Opis sposobu przekazywania informacji między instytucją finansową a zewnętrznym dostawcą usług ICT;
   4. Weryfikacja istniejących strategii:
      • Weryfikacja polityk, strategii i mechanizmów już istniejących odnoszących się do ICT pod kątem bezpieczeństwa, testowania systemów, planów biznesowych, ochrony danych względem wymogów rozporządzenia DORA