- Co to jest DORA? -
Digital Operational Resilience Act (DORA) to regulacja Unii Europejskiej, która ma na celu zwiększenie odporności instytucji finansowych na ryzyka związane z technologią. DORA koncentruje się na zapewnieniu, że sektor finansowy jest dobrze przygotowany na różne incydenty IT, takie jak cyberataki czy awarie systemów.
Cele DORA
- Zwiększenie bezpieczeństwa: Wzmocnienie odporności instytucji finansowych na zagrożenia cyfrowe.
- Zarządzanie ryzykiem: Wprowadzenie skutecznych strategii zarządzania ryzykiem technologicznym.
- Ochrona danych: Zapewnienie lepszej ochrony danych klientów oraz ciągłości świadczenia usług.
Zakres stosowania
DORA obejmuje różnorodne instytucje finansowe, w tym:
- Banki
- Firmy inwestycyjne
- Towarzystwa ubezpieczeniowe
- Fundusze emerytalne
- Inne podmioty regulowane przez unijne przepisy finansowe
Główne obszary regulacji
- Zarządzanie ryzykiem technologicznym: Wymóg identyfikacji, oceny i zarządzania ryzykiem związanym z systemami IT.
- Reagowanie na incydenty: Obowiązek posiadania planów reagowania na incydenty, w tym raportowania i analizy przyczyn.
- Testowanie odporności: Regularne testy systemów informatycznych w celu oceny ich odporności na awarie i ataki.
- Zarządzanie dostawcami: Monitorowanie ryzyka związanego z usługami zewnętrznych dostawców.
- Nadzór i raportowanie: Wymogi dotyczące raportowania incydentów do organów nadzoru.
Kary za niestosowanie
Instytucje, które nie przestrzegają przepisów DORA, mogą być narażone na:
- Sankcje finansowe
- Ograniczenia w działalności nałożone przez organy nadzoru
Korzyści
- Zwiększone bezpieczeństwo: Lepsza ochrona przed zagrożeniami technologicznymi.
- Zwiększone zaufanie: Wzrost zaufania klientów do instytucji finansowych.
- Przygotowanie na kryzysy: Lepsza zdolność do reagowania na incydenty, co zmniejsza koszty związane z kryzysami technologicznymi.
Implementacja
Instytucje finansowe mają określony czas na dostosowanie się do wymogów DORA, co wiąże się z:
- Inwestycjami w infrastrukturę IT
- Szkoleniem personelu
- Opracowaniem polityk zarządzania ryzykiem
Organ nadzorujący w Polsce
W Polsce organem odpowiedzialnym za nadzór nad zgodnością z DORA będzie Komisja Nadzoru Finansowego (KNF), która będzie monitorować i egzekwować przestrzeganie przepisów.
Wymagania do spełnienia, aby być zgodnym z DORA
- Opracowanie strategii zarządzania ryzykiem technologicznym: Identyfikacja i ocena ryzyk.
- Stworzenie planów reagowania na incydenty: Zawierających procedury raportowania i analizy incydentów.
- Przeprowadzanie regularnych testów systemów IT: Ocena ich odporności na różne scenariusze.
- Monitorowanie ryzyka dostawców: Analiza ryzyk związanych z zewnętrznymi usługami.
- Raportowanie incydentów do KNF: Obowiązek zgłaszania wszelkich istotnych incydentów technologicznych.
Wejście w życie
DORA wejdzie w życie w Polsce 17 stycznia 2025 roku. Do tego czasu instytucje finansowe muszą wdrożyć wymagane procedury i systemy.