Rozporządzenie Digital Operational Resilience Act (DORA) to nowa regulacja Unii Europejskiej, mająca na celu zwiększenie odporności cyfrowej instytucji finansowych na zagrożenia związane z technologią informacyjną. Przepisy te będą kluczowe dla firm z sektora finansowego, takich jak banki, firmy ubezpieczeniowe, giełdy, ale również dla dostawców usług IT, którzy świadczą usługi na ich rzecz. Podobnie najważniejsze kwestie czasowe i formalne przedstawi, tak jak w poprzednim artykule dostępnym pod tym linkiem, Weronika zajmująca się tematyką tego Rozporządzenia. Resztę najbardziej istotnych szczegółów poznasz natomiast w treści mojego artykułu. Więcej na ten temat właśnie tutaj.
Ważne daty związane z DORA
Przegłosowanie i przyjęcie – Rozporządzenie DORA zostało oficjalnie przyjęte przez Parlament Europejski oraz Radę UE w listopadzie 2022 roku. To było ważne wydarzenie, które otworzyło drogę do ujednolicenia standardów zarządzania ryzykiem cyfrowym w całej Unii Europejskiej.
Wejście w życie – DORA formalnie weszło w życie 16 stycznia 2023 roku. Od tego momentu instytucje finansowe zaczęły przygotowywać się do spełnienia nowych wymagań, choć jeszcze nie miały obowiązku ich stosowania.
Termin stosowania przepisów – DORA zacznie obowiązywać 17 stycznia 2025 roku. Przepisy te dadzą instytucjom finansowym czas na przygotowanie swoich struktur, procesów i polityk operacyjnych do nowych standardów. Termin ten jest kluczowy, ponieważ od tego dnia instytucje będą musiały być już w pełni dostosowane do regulacji.
Co wprowadza DORA?
DORA ma na celu zapewnienie, że wszystkie instytucje finansowe będą lepiej przygotowane do zarządzania zagrożeniami cyfrowymi. W ramach tego rozporządzenia wprowadzono szereg obowiązków:
Identyfikacja i zarządzanie ryzykiem cyfrowym – Wszystkie instytucje zobowiązane będą do wdrożenia kompleksowych procedur identyfikacji i zarządzania ryzykiem związanym z technologiami cyfrowymi. To oznacza, że muszą one opracować szczegółowe strategie i polityki monitorowania oraz minimalizowania zagrożeń.
Obowiązek zgłaszania incydentów – Przedsiębiorstwa finansowe będą musiały raportować incydenty cyfrowe odpowiednim organom nadzoru. Raporty te będą musiały zawierać szczegółowe informacje o rodzaju incydentu, jego skutkach oraz podjętych działaniach naprawczych.
Regularne testy systemów – Instytucje będą zobowiązane do przeprowadzania regularnych testów swoich systemów informacyjnych, aby upewnić się, że są one odporne na cyberataki i inne cyfrowe zagrożenia. Testy te mają na celu wykrycie słabych punktów i zapewnienie, że systemy są gotowe na potencjalne kryzysy.
Współpraca z dostawcami usług technologicznych – Ponieważ instytucje finansowe często korzystają z usług zewnętrznych dostawców IT, DORA nakłada obowiązek szczegółowej analizy ryzyka związanego z takimi dostawcami. Firmy będą musiały także zawierać umowy, które precyzują wymagania dotyczące bezpieczeństwa cyfrowego i zapewniają możliwość audytu tych dostawców.
Współpraca i wymiana informacji – Jednym z celów DORA jest promowanie współpracy między instytucjami finansowymi a organami nadzoru. Instytucje będą zobowiązane do wymiany informacji na temat cyberzagrożeń, co ma pozwolić na szybsze reagowanie na nowe zagrożenia.
Dlaczego DORA jest istotna?
DORA ma na celu nie tylko ochronę danych i zasobów cyfrowych instytucji finansowych, ale także poprawę bezpieczeństwa całego sektora finansowego. Nowe przepisy pozwolą na lepsze przygotowanie firm do radzenia sobie z cyberzagrożeniami, co w dłuższej perspektywie może przyczynić się do większej stabilności finansowej i lepszego zarządzania ryzykiem.
Jak się przygotować?
Instytucje finansowe mają do 2025 roku na dostosowanie się do wymagań DORA. To oznacza, że mają czas na przeprowadzenie szczegółowej analizy ryzyka, wdrożenie nowych procedur i zapewnienie, że ich systemy cyfrowe spełniają standardy odporności. Firmy powinny również zainwestować w szkolenia pracowników oraz nawiązać współpracę z prawnikami, którzy pomogą w prawidłowym wdrożeniu przepisów i monitorowaniu zgodności.
Wprowadzenie DORA to szansa na zbudowanie silniejszych fundamentów bezpieczeństwa cyfrowego. Przygotowanie się do wdrożenia przepisów nie tylko poprawi odporność na zagrożenia cyfrowe, ale także zwiększy zaufanie klientów oraz partnerów biznesowych, co jest kluczowe dla stabilności sektora finansowego.
