- DORA jest rozporządzeniem Unii Europejskiej (nie wymaga implementacji przez państwa członkowskie).
- DORA jest jednym z elementów pakietu dla cyfrowych finansów stworzonego przez Komisję Europejską: jej głównym celem jest utworzenie wprowadzenie regulacji, które zwiększą bezpieczeństwo w cyfrowym sektorze finansowym UE.
- Nowe przepisy będą stanowić swoisty „kodeks” dla szeroko rozumianego obszaru ICT (ang. Information and Communication Technologies) i wykorzystania go przez instytucje finansowe.
- DORA będzie miała wpływ zarówno na podmioty finansowe jak i na zewnętrznych dostawców usług ICT, którzy od teraz będą podlegać bezpośredniemu nadzorowi właściwych organów europejskich i krajowych. W realiach consumer finance dostawcami IT mogą być również podmioty sektora retail i e-commerce w zakresie finansowania sprzedaży.
NAJWAŻNIEJSZE INFORMACJE O DORA
rozwiń
Harmonizacja zarządzania ryzykiem
- Obowiązek wprowadzenia specjalnej polityki zarządzania ryzykiem ICT zgodnie z wymogami rozporządzenia;
- Podmiot powinien wyznaczyć odpowiednie role i obowiązki w zakresie zarządzania ryzykiem cybernetycznym, dokonywać regularnych audytów;
- Obowiązek przygotowania specjalnych strategii, w szczególności: polityki ciągłości działania, plany audytów dokonywanych wewnętrznie i przez podmioty zewnętrzne, strategie odporności cybernetycznej;
Zarządzanie incydentami ICT
- Wymóg stworzenia scenariuszy ryzyk ICT oraz listy zagrożeń oraz ich regularnej aktualizacji;
- Obowiązek wprowadzenia planu działania i komunikacji na wypadek incydentu oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej w zakresie ICT;
Testowanie odporności cyfrowej
- Opracowanie programu testowania odporności cyfrowej;
- Obowiązkowe regularne, co najmniej coroczne, poddanie wszystkich kluczowych systemów i narzędzi ICT testom pod kątem m. in. Podatności, wydajności i bezpieczeństwa;
Regulowanie relacji z dostawcami usług ICT
- Zarządzanie ryzykiem ICT w ramach relacji z zewnętrznymi dostawcami usług: obowiązek wprowadzenia i regularnego aktualizowania polityk dotyczących takich współprac oraz wiążących się z nimi ryzyk tak, aby zapewnić najwyższy poziom bezpieczeństwa cyfrowego;
- Szczególne wymogi dla umów dotyczących przekazywania kluczowej lub ważnej funkcji;
- Zasady współdzielenia i wymiany informacji dotyczących ryzyk ICT między instytucjami finansowymi a dostawcami usług;
Współpraca organów nadzoru
- Wprowadzenie regulacji określających zasady współpracy europejskich organów nadzoru z organami instytucji finansowych;
- Nacisk na wymianę informacji dotyczących wspólnych ryzyk w cyberprzestrzeni oraz dzielenie się praktykami;
- Określenie uprawnień do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji.