Od dnia 17 stycznia zaczynają obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, szerzej znane jako Rozporządzenie DORA.
Celem Rozporządzenia DORA jest osiągnięcie wysokiego wspólnego poziomu odporności cyfrowej poprzez ujednolicenie wymogów dotyczących bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych.
Operacyjną odporność cyfrową należy rozumieć jako zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń.
Rozporządzenie DORA ustanowiło w art. 2 ust. 1 zamknięty katalog podmiotów, do których ma ono zastosowanie. Wyróżnić należy przede wszystkim podmioty finansowe, w tym między innymi:
- instytucje kredytowe
- instytucje płatnicze
- dostawcy świadczący usługę dostępu do informacji o rachunku
- instytucje pieniądza elektronicznego- dostawcy usług w zakresie kryptoaktywów
- dostawcy usług finansowania społecznościowego (crowdfunding)
Wymogom wynikającym z Rozporządzenia DORA objęci są także zewnętrzni dostawcy usług ICT.
Podstawowym wymogiem wynikającym z Rozporządzenia DORA jest zapewnienie bezpieczeństwa cyfrowego poprzez zarządzanie ryzykiem związanym z ICT zgodnie z zasadą proporcjonalności, przy uwzględnieniu wielkości podmiotu, jego ogólnego profilu ryzyka oraz charakteru, skali i stopnia złożoności usług, działań i operacji.
Podmioty finansowe powinny posiadać wewnętrzne ramy zarządzania i kontroli zapewniające skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT. Odpowiedzialność za ten obszar działania podmiotu finansowego spoczywa na jego organie zarządzającym.
Integralną częścią ram zarządzania ryzykiem związanym z ICT jest wprowadzenie opartego na analizie ryzyka programu testowania operacyjnej odporności cyfrowej. Jego celem jest ocena gotowości do obsługi incydentów związanych z ICT, określania ich słabości, niedoskonałości i luk w zakresie operacyjnej odporności cyfrowej oraz niezwłocznego wdrażania środków naprawczych.
Rozporządzenie DORA zobowiązuje podmioty finansowe do zgłaszania właściwemu organowi poważnych incydentów związanych z ICT, jak również wprowadza możliwość dobrowolnego powiadamiania o znaczących cyber-zagrożeniach w przypadku uznania, że mają one znaczenie dla systemu finansowego użytkowników usług lub klientów.
W celu realizacji wymogów wynikających z Rozporządzenia DORA podmioty finansowe mogą korzystać z usług zewnętrznych dostawców ICT, przy zachowaniu zasad wynikających z Rozporządzenia. Warto pamiętać, że w takim przypadku odpowiedzialność za prawidłowe wywiązywanie się z obowiązków wynikających z DORA spoczywa na podmiocie finansowym.
Do stosowania przepisów Rozporządzenia DORA nie jest konieczne uchwalenie ustawy implementującej do prawa polskiego. Natomiast warto zaznaczyć, że uchwalenie ustawy jest konieczne z uwagi na m. in. obowiązek doprecyzowanie sankcji karnych i administracyjnych za niewywiązywanie się z obowiązków wynikających z DORA przez podmioty finansowe oraz wyznaczenie właściwego organu nadzoru. Na dzień rozpoczęcia stosowania DORA prace legislacyjne nad ustawą trwają, natomiast jej finalna treść nie jest jeszcze znana.
Rozporządzenie DORA w dużej części pokrywa się z dotychczas obowiązującym tzw. soft-law w zakresie bezpieczeństwa ICT podmiotów finansowych. Komisja Nadzoru Finansowego (KNF) sygnalizowała możliwość uchylenia niektórych swoich komunikatów właśnie z uwagi na ich zbieżność z Rozporządzeniem. Finalnie w dniu 16 stycznia 2025 r. na stronie KNF pojawił się komunikat zawierający wykaz uchylonych rekomendacji i wytycznych skierowanych do podmiotów finansowych.
Ujednolicenie wymogów związanych z cyber-zagrożeniami na rynku finansowym na terenie całej Unii Europejskiej należy ocenić pozytywnie. Podmioty finansowe funkcjonujące na rynku posiadają odpowiednie polityki bezpieczeństwa związane z ryzykiem ICT z uwagi na dotychczas obowiązujące wytyczne i rekomendacje organów nadzoru, natomiast w obliczu rozpoczęcia obowiązywania Rozporządzenia DORA, na dzień 17 stycznia 2025 r. powinny mieć wykonane audyty wewnętrznych polityk i procedur w celu ich dostosowania do wymogów wynikających z DORA.
Mimo, że Rozporządzenie DORA zawiera szereg informacji, jakie powinny być uwzględnione przy opracowywaniu strategii zarządzania ryzykiem związanym ICT, ich praktyczne wdrożenie może być kłopotliwe.
W celu doprecyzowania wymogów wynikających z DORA, europejskie organy nadzoru (EBA, EIOPA, ESMA) wspólnie opracowały pakiety standardów technicznych związanych ze stosowaniem przepisów Rozporządzenia. Pierwszy pakiet został opublikowany 17 stycznia 2024 r. , a drugi 17 lipca 2024 r.
Niewątpliwie należy na bieżąco monitorować także postępy legislacyjne w sprawie ustawy wdrażającej DORA, jak również komunikaty KNF w zakresie interpretacji przepisów Rozporządzenia.
Autor: adw. Aleksandra Skrzypczyńska
Wszystko zaczyna się od rozmowy
Po wysłaniu wiadomości skontaktuję się z Tobą
w ciągu 24 godzin.
