Rozporządzenie DORA – wpływ i wymogi

Zakres i przedmiot

Przedmiotem DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa sieci i systemów informatycznych (ICT) m.in. dla instytucji kredytowych (banków), instytucji płatniczych oraz zakładów ubezpieczeń i zakładów reasekuracji.

Odpowiedzialność organu zarządzającego

DORA wprowadza zasadę pełnej odpowiedzialności organu zarządzającego za zarządzanie ryzykiem związanym z ICT podmiotu finansowego przejawiającą się m.in. w przypisywaniu wyraźnych ról i obowiązków w odniesieniu do wszystkich funkcji związanych z ICT oraz pełnym zaangażowaniu organu zarządzającego w kontrolę monitorowania zarządzania ryzykiem związanym z ICT.

Wymogi związane z zarządzaniem ryzykiem ICT

DORA opiera się na europejskich i międzynarodowych uznanych standardach technicznych oraz najlepszych praktykach branżowych, nie wprowadzając w tym zakresie konkretnej standaryzacji. Do najważniejszych wymogów należy zaliczyć:

– utworzenie i utrzymywanie odpornych systemów i narzędzi ICT w celu zminimalizowania skutków ryzyka związanego z ICT, opartych na modelu trzech linii obrony, tj. rozdzieleniu funkcji zarządzania ryzykiem, zapewnienia zgodności i audytu wewnętrznego

– wdrożenie tzw. strategii odporności cyfrowej (ang. Digital Resilience Strategy), określającej m.in. cele w zakresie bezpieczeństwa, opis sposobu wspierania strategii i celów biznesowych przez ramy zarządzania ryzykiem oraz całościową strategię korzystania z usług wielu dostawców

– obowiązek identyfikowania wszystkich źródeł ryzyka związanego z ICT, identyfikowania, klasyfikacji i dokumentowania funkcji biznesowych związanych z obszarem ICT oraz dokumentowania procesów opartych na usługach świadczonych przez dostawców zewnętrznych oraz zależności miedzy tymi dostawcami

– identyfikacja wszystkich zasobów informatycznych przez banki oraz przeprowadzanie ocen ryzyka i aktualizacji tych zasobów

– zapewnienie niezawodności wszystkich systemów, protokołów i narzędzi oraz przeprowadzanie audytów stosowanych rozwiązań technicznych

– utworzenie środków ochrony i zapobiegania oraz szybkiego wykrywania nietypowych działań

– wprowadzenie specjalnych i kompleksowych strategii dotyczących ciągłości działania oraz planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej

– ustanowienie i wdrożenie procesu zarządzania w celu monitorowania i rejestrowania incydentów związanych z ICT oraz obowiązek klasyfikowania incydentów na podstawie kryteriów określonych szczegółowo w DORA i dalej rozwijanych przez Europejskie Urzędy Nadzoru w celu określenia progów istotności (obowiązek raportowania dotyczy jedynie incydentów poważnych)*

– obowiązek przeprowadzania testów operacyjnej odporności cyfrowej w zależności od rozmiaru, profilu działalności i profilu ryzyka podmiotów finansowych oraz, co najmniej raz w roku, testów aplikacji i systemów informatycznych

– w zakresie outsourcingu: monitorowanie ryzyka związanego z outsourcingiem; zawieranie w umowach m.in. lokalizacji, w których mają być przetwarzane dane, opisów poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności czy postanowień w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych; objęcie kluczowych zewnętrznych dostawców usług ICT unijnymi ramami nadzoru; wymóg uwzględniania długości łańcucha podwykonawców przy analizie ryzyka związanego z powierzeniem czynności

– usługi dostarczane przez dostawców zewnętrznych będą musiały być zgodne z wymogami określonymi w DORA; w tym zakresie dostawcy ci będą mogli być m.in. wzywani przez właściwe organy nadzorcze do dokonywania przeglądów co do adekwatności wiążących ich ustaleń umownych z podmiotami finansowymi

 

* Aktualnie toczą się prace nad relacją przepisów DORA o raportowaniu incydentów względem innych regulacji, m.in. dyrektywy PSD2. W pracach europarlamentu zaproponowano poprawkę, aby dla podmiotów objętych DORA zasady określone w nowym rozporządzeniu były nadrzędne wobec raportowania incydentów zgodnie z dyrektywą PSD2.

Zobacz także:
Rozporządzenie DORA - co dostarczamy?
Rozporządzenie DORA – co dostarczamy?
Rozporządzenie DORA - FAQ
Rozporządzenie DORA – FAQ
Rozporządzenie DORA - spis treści
Rozporządzenie DORA – spis treści

Skontaktuj się

Biuro Warszawa

Ogrodowa City Gate
ul. Ogrodowa 58
00-876 Warszawa

mapa > +48 22 652 26 18

Biuro Kraków

ul. Jana Kilińskiego 2
30-308 Kraków

mapa > +48 12 31 51 841