Czym jest DORA (Digital Operational Resilience Act)?
Digital Operational Resilience Act, znany skrótowo jako DORA, to inicjatywa wprowadzająca kompleksowe ramy regulacyjne na poziomie Unii Europejskiej. Obejmuje ona przepisy dotyczące cyfrowej odporności operacyjnej dla wszystkich nadzorowanych instytucji finansowych.
Jakimi problemami zajmuje się DORA?
Ustawa o cyfrowej odporności operacyjnej (DORA) jest częścią pakietu środków mających na celu cyfryzację sektora finansowego, zaprezentowanego przez Komisję Europejską pod koniec września 2020 roku. Jej zadaniem jest promowanie konkurencyjności i innowacyjności w europejskim sektorze finansowym.
W erze pandemii koronawirusa sektor finansowy, który opiera się głównie na technologiach informacyjno-komunikacyjnych (ICT), doświadczył wzrostu zależności od usług cyfrowych. To zwiększyło jego podatność na cyberataki i inne incydenty. Komisja Europejska szacuje, że koszty związane z incydentami operacyjnymi w sektorze finansowym UE mogą osiągnąć nawet 27 mld euro rocznie, co podkreśla wagę cyfrowej odporności operacyjnej.
Poprawa cyberobrony i nadzoru
DORA ma na celu zapewnienie, że wszystkie strony zaangażowane w sektor finansowy podjęły adekwatne środki bezpieczeństwa w celu przeciwdziałania cyberatakom oraz innym incydentom ICT. Przewiduje się, że umożliwi to europejskim organom nadzoru lepszy przegląd usług delegowanych zewnętrznym dostawcom ICT oraz wprowadzenie odpowiednich ram nadzorczych.
Główna treść
Rozporządzenie UE "w sprawie cyfrowej odporności operacyjnej dla sektora finansowego" określa wymogi dotyczące zarządzania ryzykiem ICT, klasyfikacji i zgłaszania incydentów ICT, testowania cyfrowej odporności operacyjnej, umów z zewnętrznymi dostawcami usług ICT, ram nadzorczych dla krytycznych dostawców usług ICT oraz wymiany informacji.
Dowiedz się wiecej o bezpieczeństwie w Twojej organizacji
17 stycznia 2025 r. mija czas na wdrożenie wymogów rozporządzenia DORA, dlatego już teraz umów się na bezpłatną konsultację.
Cele DORA
Aktualne unijne ramy prawne dotyczące ryzyka ICT i odporności operacyjnej w sektorze finansowym są fragmentaryczne i częściowo niespójne. DORA ma na celu harmonizację tych przepisów, zmniejszając obciążenia administracyjne i finansowe transgranicznych podmiotów finansowych spowodowane niespójnymi wymogami i przepisami. Nowe rozporządzenie ma ujednolicić podejście do odporności cyfrowej i cyberbezpieczeństwa, eliminując potrzebę przyjmowania przez państwa członkowskie własnych krajowych przepisów.
Wpływ DORA na organizacje
DORA ma na celu bardziej kompleksowe zarządzanie ryzykiem związanym z technologiami ICT oraz wzmocnienie odporności operacyjnej systemów cyfrowych w sektorze finansowym UE. Nowe przepisy przewidują modernizację istniejących zasad oraz wprowadzenie nowych wymogów, co ma na celu lepszą ocenę skuteczności środków zapobiegawczych i odporności oraz identyfikację słabych punktów. DORA stymuluje także wymianę informacji o cyberzagrożeniach, umożliwiając bardziej skuteczny nadzór nad zewnętrznymi dostawcami usług ICT oraz lepsze zarządzanie ryzykiem.
Praktyczne implikacje DORA
DORA ma na celu ujednolicenie zasad zarządzania ryzykiem ICT, klasyfikacji i zgłaszania incydentów ICT. Może to doprowadzić do powstania unijnego centrum zgłaszania incydentów. Wymaga od podmiotów finansowych dostosowania procedur zgodnie z nowymi zasadami, w tym unijnymi standardami testów odporności. Harmonizacja procedur klasyfikacji i zgłaszania incydentów ma na celu zmniejszenie obciążenia administracyjnego i zwiększenie efektywności nadzoru.
Podstawowe wymogi DORA dla podmiotów finansowych
Podstawowe wymogi DORA dla podmiotów finansowych obejmują szereg kluczowych obszarów, które wymagają szczegółowej uwagi i stosowania w praktyce. Oto rozszerzone wyjaśnienia dotyczące każdego z tych obszarów:
Zarządzanie ryzykiem ICT
- Zarząd jest odpowiedzialny za nadzór i implementację ram zarządzania ryzykiem ICT. Obejmuje to regularny przegląd planów ciągłości działania, strategii odzyskiwania danych po awarii i ogólnego podejścia do zarządzania ryzykiem ICT. Zarząd powinien również zapewnić, że organizacja ma wystarczające zasoby i wiedzę do skutecznego zarządzania ryzykiem ICT.
- Instytucje finansowe muszą dokładnie identyfikować, klasyfikować i dokumentować wszystkie swoje funkcje biznesowe i zasoby informacyjne, które mogą stanowić źródło ryzyka ICT. Dotyczy to szczególnie obszarów systemowych zintegrowanych z wewnętrznymi i zewnętrznymi systemami ICT, w tym infrastruktury, aplikacji i danych.
- Niezbędne jest utrzymanie ciągłego nadzoru i monitorowania systemów ICT, aby zapewnić ich odpowiednią ochronę. Wymaga to wdrożenia skutecznych strategii bezpieczeństwa, w tym polityk, procedur i narzędzi, które zapobiegają naruszeniom bezpieczeństwa i innym zagrożeniom.
- Firmy muszą posiadać mechanizmy umożliwiające szybkie wykrywanie anomalii i identyfikację potencjalnych słabych punktów w swoich systemach ICT.
- Istotne jest ustanowienie skutecznych środków reagowania na incydenty oraz strategii odzyskiwania danych. Organizacje powinny opracować i regularnie testować plany ciągłości działania i odzyskiwania danych po awarii.
- Firmy muszą opracować procesy odpowiedzialnego ujawniania incydentów związanych z ICT lub poważnych słabych punktów, zarówno wewnętrznie, jak i zewnętrznie, w tym klientom, innym podmiotom finansowym i opinii publicznej.
Zgłaszanie incydentów związanych z ICT
- Należy ustanowić i stosować wyraźny proces zarządzania incydentami ICT, który obejmuje identyfikację, śledzenie, rejestrowanie, kategoryzację i klasyfikację incydentów ICT.
- Incydenty ICT muszą być klasyfikowane na podstawie określonych kryteriów opracowanych przez Wspólny Komitet Europejskich Urzędów Nadzoru.
- Organizacje są zobowiązane do zgłaszania poważnych incydentów ICT właściwemu organowi w ustalonych terminach, stosując zharmonizowane szablony raportów.
Testowanie cyfrowej odporności operacyjnej
- Jako część zarządzania ryzykiem ICT, firmy muszą opracować i wdrożyć kompleksowy program testowania cyfrowej odporności operacyjnej, obejmujący narzędzia, systemy i procesy ICT.
- Niektóre instytucje finansowe są zobowiązane do przeprowadzania zaawansowanych testów penetracyjnych swoich narzędzi, systemów i procesów ICT, co najmniej raz na trzy lata.
Zarządzanie ryzykiem ICT ze strony osób trzecich
- Należy zarządzać ryzykiem ICT osób trzecich, w tym odpowiedzialnością, proporcjonalnością, strategią ryzyka, dokumentacją, analizą przed zawarciem umowy, bezpieczeństwem informacji, audytami, prawami do rozwiązania umowy i strategiami wyjścia.
- Organizacje muszą przeprowadzić wstępną ocenę ryzyka, aby ustalić, czy zawarcie umowy z zewnętrznym dostawcą usług ICT nie spowoduje nadmiernej koncentracji ryzyka.
Kluczowe postanowienia umowne
Prawa i obowiązki pomiędzy podmiotem finansowym a zewnętrznym dostawcą usług ICT muszą być jasno określone w umowie, zgodnie z przepisami prawa.
Wymiana informacji na temat cyberzagrożeń
DORA kładzie duży nacisk na dzielenie się informacjami o zagrożeniach cybernetycznych między podmiotami finansowymi. Dzięki temu instytucje finansowe będą mogły lepiej zrozumieć i reagować na współczesne zagrożenia cyfrowe. Informacje te obejmują wskaźniki kompromitacji, taktyki, techniki i procedury stosowane przez cyberprzestępców, a także alerty dotyczące cyberbezpieczeństwa i narzędzia konfiguracyjne.
Wprowadzenie nowych przepisów DORA
DORA weszła w życie 16 stycznia 2023 roku, dając podmiotom finansowym dwa lata na wdrożenie nowych wymogów. Europejskie Urzędy Nadzoru opracowują standardy techniczne określające sposób wdrożenia nowych przepisów.
Co podmioty finansowe muszą wziąć pod uwagę przy wyborze zewnętrznegodostawcy usług ICT w przyszłości?
- DORA wymaga, aby unijne podmioty finansowe dokonywały szczegółowej oceny ryzyka przed zawarciem umów outsourcingowych. Ta ocena powinna obejmować badanie due diligence potencjalnych zewnętrznych dostawców usług ICT.
- Podmioty finansowe mogą zawierać umowy tylko z tymi zewnętrznymi dostawcami usług ICT, którzy spełniają wysokie i aktualne standardy bezpieczeństwa informacji.
- Przy zawieraniu umów z dostawcami usług z krajów poza UE, należy uwzględnić aspekty takie jak ochrona danych, skuteczność egzekwowania prawa i przepisy dotyczące niewypłacalności.
- Podmioty finansowe powinny unikać zawierania umów z dostawcami usług ICT spoza UE, jeśli ich niepowodzenie operacyjne mogłoby mieć znaczący wpływ na sektor finansowy.
Wnioski i dalsze działania
DORA stanowi istotny krok w kierunku wzmocnienia cyfrowej odporności operacyjnej sektora finansowego w Unii Europejskiej. Podmioty finansowe muszą teraz dokładnie ocenić swoje strategie i procedury w zakresie ICT, aby dostosować się do nowych wymogów. Wymagania te obejmują nie tylko wewnętrzne zarządzanie ryzykiem i procedury bezpieczeństwa, ale również sposób, w jaki instytucje te współpracują z zewnętrznymi dostawcami usług.
Podmioty finansowe powinny szczegółowo przeanalizować swoje obecne systemy i procesy, aby zidentyfikować obszary, które wymagają ulepszenia lub dostosowania do nowych regulacji. Kluczowe znaczenie mają tutaj zarządzanie ryzykiem ICT, procedury zgłaszania incydentów, strategie odzyskiwania danych oraz testy odporności.Ponadto ważne będzie budowanie i utrzymywanie silnych relacji z zewnętrznymi dostawcami usług ICT, co wymaga starannej oceny i due diligence.
DORA jest również szansą dla sektora finansowego na zwiększenie świadomości i wiedzy na temat cyberbezpieczeństwa oraz na rozwijanie kultury cyberbezpieczeństwa w organizacjach. Wdrażanie tych przepisów powinno być postrzegane nie tylko jako obowiązek regulacyjny, ale także jako element strategii zarządzania ryzykiem i bezpieczeństwem.
W odpowiedzi na te wyzwania, instytucje finansowe mogą potrzebować zasobów dodatkowych, takich jak szkolenia dla pracowników, inwestycje w technologie bezpieczeństwa czy konsultacje z ekspertami w dziedzinie cyberbezpieczeństwa i przepisów prawnych.Współpraca z innymi podmiotami w sektorze, wymiana doświadczeń i najlepszych praktyk, a także aktywne uczestnictwo w inicjatywach branżowych mogą pomóc w skutecznym dostosowaniu się do nowego środowiska regulacyjnego.
Bądźmy w kontakcie
Chcesz porozmawiać o cyberbezpieczeństwie w Twojej organizacji i wspólnych możliwościach? Wypełnij formularz poniżej lub skontaktuj się z nami bezpośrednio.