Digital Operational Resilience Act (DORA) to regulacja Unii Europejskiej, która ma na celu zwiększenie odporności instytucji finansowych na ryzyka związane z technologią. DORA koncentruje się na zapewnieniu, że sektor finansowy jest dobrze przygotowany na różne incydenty IT, takie jak cyberataki czy awarie systemów.

Cele DORA

• Zwiększenie bezpieczeństwa: Wzmocnienie odporności instytucji finansowych na zagrożenia cyfrowe.
• Zarządzanie ryzykiem: Wprowadzenie skutecznych strategii zarządzania ryzykiem technologicznym.
• Ochrona danych: Zapewnienie lepszej ochrony danych klientów oraz ciągłości świadczenia usług.

Zakres stosowania

DORA obejmuje różnorodne instytucje finansowe, w tym:

• Banki
• Firmy inwestycyjne
• Towarzystwa ubezpieczeniowe
• Fundusze emerytalne
• Inne podmioty regulowane przez unijne przepisy finansowe

Główne obszary regulacji

• Zarządzanie ryzykiem technologicznym: Wymóg identyfikacji, oceny i zarządzania ryzykiem związanym z systemami IT.
• Reagowanie na incydenty: Obowiązek posiadania planów reagowania na incydenty, w tym raportowania i analizy przyczyn.
• Testowanie odporności: Regularne testy systemów informatycznych w celu oceny ich odporności na awarie i ataki.
• Zarządzanie dostawcami: Monitorowanie ryzyka związanego z usługami zewnętrznych dostawców.
• Nadzór i raportowanie: Wymogi dotyczące raportowania incydentów do organów nadzoru.

Kary za niestosowanie

Instytucje, które nie przestrzegają przepisów DORA, mogą być narażone na:

• Sankcje finansowe
• Ograniczenia w działalności nałożone przez organy nadzoru

Korzyści

• Zwiększone bezpieczeństwo: Lepsza ochrona przed zagrożeniami technologicznymi.
• Zwiększone zaufanie: Wzrost zaufania klientów do instytucji finansowych.
• Przygotowanie na kryzysy: Lepsza zdolność do reagowania na incydenty, co zmniejsza koszty związane z kryzysami technologicznymi.

Implementacja

Instytucje finansowe mają określony czas na dostosowanie się do wymogów DORA, co wiąże się z:

• Inwestycjami w infrastrukturę IT
• Szkoleniem personelu
• Opracowaniem polityk zarządzania ryzykiem

Organ nadzorujący w Polsce

W Polsce organem odpowiedzialnym za nadzór nad zgodnością z DORA będzie Komisja Nadzoru Finansowego (KNF), która będzie monitorować i egzekwować przestrzeganie przepisów.
 

Wymagania do spełnienia, aby być zgodnym z DORA

• Opracowanie strategii zarządzania ryzykiem technologicznym: Identyfikacja i ocena ryzyk.
• Stworzenie planów reagowania na incydenty: Zawierających procedury raportowania i analizy incydentów.
• Przeprowadzanie regularnych testów systemów IT: Ocena ich odporności na różne scenariusze.
• Monitorowanie ryzyka dostawców: Analiza ryzyk związanych z zewnętrznymi usługami.
• Raportowanie incydentów do KNF: Obowiązek zgłaszania wszelkich istotnych incydentów technologicznych.

Wejście w życie

DORA wejdzie w życie w Polsce 17 stycznia 2025 roku. Do tego czasu instytucje finansowe muszą wdrożyć wymagane procedury i systemy.