Czym jest DORA?
Rozporządzenie DORA, czyli Digital Operational Resilience Act, to nowe unijne prawo, które ma wzmocnić odporność cyfrową sektora finansowego. Od 17 stycznia 2025 roku każda instytucja finansowa w UE będzie musiała działać zgodnie z tym rozporządzeniem. Celem DORA jest ochrona sektora finansowego przed coraz bardziej złożonymi zagrożeniami cybernetycznymi oraz wprowadzenie jasnych zasad dotyczących zarządzania ryzykiem związanym z technologiami informatycznymi. DORA reguluje nie tylko wewnętrzne systemy IT, ale również sposób współpracy z zewnętrznymi dostawcami usług ICT.
W skrócie – DORA to kompleksowe podejście do zarządzania ryzykiem cybernetycznym, które ma zapewnić, że banki, firmy ubezpieczeniowe, fintechy i inne podmioty finansowe będą lepiej przygotowane na cyberzagrożenia i incydenty technologiczne.
Główne założenia rozporządzenia
DORA stawia przed sektorem finansowym kilka kluczowych wyzwań. Przede wszystkim każda firma z tej branży będzie musiała:
Monitorować i raportować incydenty ICT – Podmioty finansowe muszą prowadzić dokładny rejestr incydentów związanych z ICT, czyli z szeroko rozumianą infrastrukturą informatyczną. W przypadku poważnych incydentów, które mogą zagrozić stabilności operacyjnej, instytucje będą musiały zgłaszać je odpowiednim organom nadzoru. Jednym z celów DORA jest uproszczenie tego procesu i uniknięcie podwójnego raportowania incydentów, np. tych, które wcześniej były zgłaszane w ramach PSD2 (Payment Services Directive)
Zarządzać ryzykiem ICT – Każda firma finansowa musi wdrożyć odpowiednie narzędzia i procedury do zarządzania ryzykiem związanym z technologiami IT. To obejmuje zarówno analizę potencjalnych zagrożeń, jak i przygotowanie na ich skutki. DORA wymaga, aby zarządzanie ryzykiem ICT było elementem strategii każdej instytucji, a nie tylko czymś dodatkowym.
Kontrolować współpracę z zewnętrznymi dostawcami – Podmioty finansowe będą musiały jeszcze bardziej przyjrzeć się współpracy z zewnętrznymi dostawcami usług IT. DORA kładzie duży nacisk na bezpieczeństwo tych usług, szczególnie jeśli są one krytyczne dla operacyjnej ciągłości instytucji. Każda umowa z takim dostawcą będzie musiała być szczegółowo określona, a firmy finansowe muszą monitorować, jak te usługi są realizowane.
Incydenty związane z ICT i ich klasyfikacja
Jednym z najważniejszych elementów DORA jest klasyfikacja i raportowanie incydentów ICT. Co to dokładnie oznacza? Incydenty związane z ICT to wszelkie wydarzenia, które wpływają na dostępność, integralność, poufność danych lub same usługi świadczone przez podmiot finansowy. DORA wprowadza definicję poważnego incydentu – czyli takiego, który ma poważny, negatywny wpływ na funkcjonowanie systemów ICT wspierających krytyczne usługi instytucji finansowych.
Jakie kryteria decydują o klasyfikacji incydentu jako poważnego? Między innymi liczba klientów dotkniętych incydentem, czas trwania problemu, zasięg geograficzny, utrata danych oraz skutki gospodarcze, jakie może wywołać taki incydent. DORA daje więc konkretne narzędzia do oceny, jakie wydarzenia są krytyczne i wymagają zgłoszenia do organów nadzoru.
Wyzwania i korzyści wynikające z wdrożenia DORA
Dla sektora finansowego wdrożenie DORA to spore wyzwanie. Firmy będą musiały przeanalizować swoje dotychczasowe systemy, procedury i sposoby zarządzania ryzykiem ICT. Wprowadzenie nowych polityk i narzędzi do zarządzania cyberzagrożeniami może wiązać się z koniecznością dodatkowych inwestycji, nie tylko w infrastrukturę, ale również w szkolenia pracowników. Warto pamiętać, że DORA obejmuje również zarządzanie współpracą z dostawcami zewnętrznymi, co wymaga dokładnej analizy umów i mechanizmów monitorowania usług.
Korzyści z wdrożenia DORA są jednak ogromne. Przede wszystkim, DORA zwiększy bezpieczeństwo danych i usług finansowych, co z kolei przełoży się na wzrost zaufania klientów. Lepsza ochrona przed incydentami cybernetycznymi może zminimalizować ryzyko strat finansowych wynikających z ataków hakerskich czy awarii systemów IT. Dodatkowo, harmonizacja przepisów w całej UE ułatwi firmom finansowym działanie na rynkach międzynarodowych, zapewniając jednolite standardy operacyjne.
Podsumowanie
Rozporządzenie DORA to odpowiedź na rosnące zagrożenia cybernetyczne w sektorze finansowym. Zwiększa ono wymagania dotyczące zarządzania ryzykiem ICT, raportowania incydentów oraz współpracy z dostawcami usług technologicznych. Choć wdrożenie tych przepisów będzie wyzwaniem dla wielu firm, korzyści w postaci lepszej ochrony przed cyberzagrożeniami i większego zaufania klientów są warte podjęcia tych działań.
Warto już teraz rozpocząć przygotowania do wdrożenia DORA, aby w styczniu 2025 roku być w pełni gotowym na nowe regulacje i spełniać wymagania dotyczące odporności cyfrowej. DORA to szansa na stworzenie bardziej bezpiecznego i stabilnego sektora finansowego w Europie, co jest kluczowe w dzisiejszym cyfrowym świecie.
