- Co to jest DORA? -

Digital Operational Resilience Act (DORA) to regulacja Unii Europejskiej, która ma na celu zwiększenie odporności instytucji finansowych na ryzyka związane z technologią. DORA koncentruje się na zapewnieniu, że sektor finansowy jest dobrze przygotowany na różne incydenty IT, takie jak cyberataki czy awarie systemów.

Cele DORA

  • Zwiększenie bezpieczeństwa: Wzmocnienie odporności instytucji finansowych na zagrożenia cyfrowe.
  • Zarządzanie ryzykiem: Wprowadzenie skutecznych strategii zarządzania ryzykiem technologicznym.
  • Ochrona danych: Zapewnienie lepszej ochrony danych klientów oraz ciągłości świadczenia usług.

Zakres stosowania

DORA obejmuje różnorodne instytucje finansowe, w tym:

  • Banki
  • Firmy inwestycyjne
  • Towarzystwa ubezpieczeniowe
  • Fundusze emerytalne
  • Inne podmioty regulowane przez unijne przepisy finansowe

Główne obszary regulacji

  • Zarządzanie ryzykiem technologicznym: Wymóg identyfikacji, oceny i zarządzania ryzykiem związanym z systemami IT.
  • Reagowanie na incydenty: Obowiązek posiadania planów reagowania na incydenty, w tym raportowania i analizy przyczyn.
  • Testowanie odporności: Regularne testy systemów informatycznych w celu oceny ich odporności na awarie i ataki.
  • Zarządzanie dostawcami: Monitorowanie ryzyka związanego z usługami zewnętrznych dostawców.
  • Nadzór i raportowanie: Wymogi dotyczące raportowania incydentów do organów nadzoru.

Kary za niestosowanie

Instytucje, które nie przestrzegają przepisów DORA, mogą być narażone na:

  • Sankcje finansowe
  • Ograniczenia w działalności nałożone przez organy nadzoru

Korzyści

  • Zwiększone bezpieczeństwo: Lepsza ochrona przed zagrożeniami technologicznymi.
  • Zwiększone zaufanie: Wzrost zaufania klientów do instytucji finansowych.
  • Przygotowanie na kryzysy: Lepsza zdolność do reagowania na incydenty, co zmniejsza koszty związane z kryzysami technologicznymi.

Implementacja

Instytucje finansowe mają określony czas na dostosowanie się do wymogów DORA, co wiąże się z:

  • Inwestycjami w infrastrukturę IT
  • Szkoleniem personelu
  • Opracowaniem polityk zarządzania ryzykiem

Organ nadzorujący w Polsce

W Polsce organem odpowiedzialnym za nadzór nad zgodnością z DORA będzie Komisja Nadzoru Finansowego (KNF), która będzie monitorować i egzekwować przestrzeganie przepisów.
 

Wymagania do spełnienia, aby być zgodnym z DORA

  • Opracowanie strategii zarządzania ryzykiem technologicznym: Identyfikacja i ocena ryzyk.
  • Stworzenie planów reagowania na incydenty: Zawierających procedury raportowania i analizy incydentów.
  • Przeprowadzanie regularnych testów systemów IT: Ocena ich odporności na różne scenariusze.
  • Monitorowanie ryzyka dostawców: Analiza ryzyk związanych z zewnętrznymi usługami.
  • Raportowanie incydentów do KNF: Obowiązek zgłaszania wszelkich istotnych incydentów technologicznych.

Wejście w życie

DORA wejdzie w życie w Polsce 17 stycznia 2025 roku. Do tego czasu instytucje finansowe muszą wdrożyć wymagane procedury i systemy.