Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) dla sektora finansowego

W XXI wieku powszechna dostępność usług cyfrowych stała się normą. Rewolucja internetowa przeniosła niemal wszystkie aspekty naszego życia do przestrzeni cyfrowej: od zakupów i gastronomii, przez rozrywkę VOD, po e-wizyty lekarskie i e-urzędy. Pandemia COVID-19 tylko przyspieszyła ten proces, uwypuklając zalety i jednocześnie ryzyka związane z cyfryzacją.

Cyfryzacja niesie za sobą ogromne korzyści, ale także ryzyka. Z roku na rok rośnie liczba ataków hakerskich, które zagrażają nie tylko indywidualnym użytkownikom, ale także całym instytucjom. Przykłady takie jak włamanie do systemu SWIFT w 2016 roku, skutkujące kradzieżą 81 milionów dolarów, czy wyciek danych w Polsce w 2023 roku, pokazują, jak poważne mogą być konsekwencje takich incydentów.

W obliczu tych wyzwań, sektory takie jak finanse, ubezpieczenia i inne usługi cyfrowe muszą dostosować swoje systemy i procedury, aby zapewnić bezpieczeństwo i odporność na cyberzagrożenia. W tym kontekście Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, uchwalone przez Parlament Europejski i Radę 14 grudnia 2022 roku, staje się kluczowym elementem strategii ochrony przed cyberzagrożeniami.

Czym jest DORA?

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (Digital Operational Resilience Act – DORA) jest inicjatywą legislacyjną Unii Europejskiej mającą na celu wzmocnienie odporności sektora finansowego na zagrożenia związane z cyberprzestępczością oraz awariami systemów informatycznych. DORA została zaproponowana w odpowiedzi na coraz bardziej złożone i zróżnicowane ataki cybernetyczne, które stanowią poważne ryzyko dla stabilności finansowej oraz ochrony danych klientów instytucji finansowych. Rozporządzenie zostało przyjęte przez Radę Unii Europejskiej pod koniec 2022 roku z celem ustanowienia spójnych standardów bezpieczeństwa informatycznego dla instytucji finansowych w UE, takich jak banki, firmy ubezpieczeniowe i inwestycyjne.

Zakres i cele regulacji DORA

DORA określa jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych przedsiębiorstw i organizacji działających w sektorze finansowym, a także krytycznych stron trzecich, które świadczą na ich rzecz usługi związane z technologiami informacyjno-komunikacyjnymi (ICT), takie jak platformy w chmurze lub usługi analizy danych. Głównym celem jest zapobieganie zagrożeniom cybernetycznym i łagodzenie ich skutków.

Cele DORA obejmują:

1. Zapewnienie spójnych standardów bezpieczeństwa informatycznego: DORA stara się ustanowić spójne i wysokie standardy bezpieczeństwa informatycznego dla instytucji finansowych (takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne) we wszystkich krajach członkowskich Unii Europejskiej. Celem jest zwiększenie odporności sektora finansowego na cyberzagrożenia i zakłócenia operacyjne.
2. Ochrona danych klientów: DORA dąży do zapewnienia ochrony danych klientów instytucji finansowych poprzez zaostrzenie wymagań dotyczących zarządzania ryzykiem cybernetycznym oraz sposobów reagowania na incydenty bezpieczeństwa.
3. Stabilność finansowa: Poprzez zwiększenie operacyjnej odporności sektora finansowego na cyberzagrożenia, DORA ma na celu zapewnienie stabilności finansowej w Unii Europejskiej i ochronę interesów konsumentów oraz inwestorów.
4. Wzmocnienie współpracy i wymiany informacji: DORA stawia sobie za cel poprawę współpracy między instytucjami finansowymi, organami regulacyjnymi oraz innymi podmiotami w zakresie cyberbezpieczeństwa, aby szybciej i skuteczniej reagować na zagrożenia.
5. Ułatwienie innowacji technologicznej: Pomimo ustanowienia restrykcyjnych standardów bezpieczeństwa, DORA dąży do zachęcania do innowacji technologicznej w sektorze finansowym poprzez promowanie bezpiecznego i odpowiedzialnego wykorzystania nowych technologii.

Poprzez realizację tych celów, DORA ma na celu zwiększenie bezpieczeństwa cyfrowego w sektorze finansowym Unii Europejskiej oraz zwiększenie zaufania klientów i inwestorów do instytucji finansowych.

Kogo dotyczy DORA?

Nowym przepisom będą podlegać prawie wszystkie podmioty finansowe, w tym:

• Instytucje bankowe, kredytowe, płatnicze i pieniądza elektronicznego
• Firmy inwestycyjne
• Rynki kryptowalut, dostawcy usług w zakresie aktywów kryptograficznych
• Emitenci tokenów opartych na aktywach
• Centralne depozyty papierów wartościowych
• Kontrahenci centralni
• Systemy obrotu
• Repozytoria transakcji
• Zarządzający alternatywnymi funduszami inwestycyjnymi
• Spółki zarządzające
• Dostawcy usług w zakresie udostępniania informacji
• Zakłady ubezpieczeń i reasekuracji
• Pośrednicy ubezpieczeniowi i reasekuracyjni
• Instytucje pracowniczych programów emerytalnych
• Agencje ratingu kredytowego
• Agencje audytu ustawowego i firmy audytorskie
• Administratorzy kluczowych wskaźników referencyjnych
• Dostawcy usług finansowania społecznościowego
• Repozytoria sekurytyzacji
• Dostawcy usług ICT dla sektora, FinTech

Krytyczni dostawcy usług ICT z państw trzecich dla podmiotów finansowych w UE będą musieli założyć spółkę zależną w UE, aby umożliwić właściwe wdrożenie nadzoru.

Kluczowe wymagania DORA dla sektora

1. Ramy zarządzania ryzykiem ICT: Zarządzanie ryzykiem musi być kompleksowe – na bazie całego otoczenia, w jakim funkcjonuje firma (w tym w zakresie dostawców zewnętrznych).
2. Cyfrowa strategia odporności operacyjnej: Strategia obejmuje całą firmę, jest monitorowana, wspiera cele biznesowe i obejmuje sposoby zarządzania ryzykami ICT, na jakie wyeksponowana jest instytucja (z uwzględnieniem perspektywy stron trzecich/dostawców ICT).
3. Klasyfikacja i zgłaszanie incydentów: Rozbudowany mechanizm zarządzania (szczególnie wykrywania incydentów – procesy, narzędzia SIEM, etc.) i rejestrowania incydentów. Zgłaszanie poważnych incydentów ICT do nadzoru (KNF) i współpraca w ramach incydentu.
4. Zwiększone wymagania dotyczące cyfrowych testów odporności operacyjnej: Rozbudowane testy penetracyjne (w zależności od wielkości instytucji finansowej) oraz ćwiczenia symulacyjne sytuacji kryzysowych (war games).
5. Zarządzanie dostawcami zewnętrznymi: Minimalizowanie ryzyka koncentracji i nadmiernej zależności od kluczowych stron trzecich z branży ICT (szacowanie ryzyka koncentracji – korzyści i koszty – business case). Wdrożenie strategii „wielu dostawców” dla zmniejszenia ryzyka. Strategia wyjścia – plan na wypadek zawodności dostawcy (utrata ciągłości działania, reputacji, incydent bezp., bankructwo, monitorowanie dostawców). Podmioty finansowe mogą zawierać umowy jedynie z zewnętrznymi dostawcami usług ICT, którzy spełniają odpowiednie standardy bezpieczeństwa informacji.

DORA stanowi istotny krok w kierunku zwiększenia bezpieczeństwa cyfrowego w sektorze finansowym UE, promując bardziej jednolite i solidne podejście do zarządzania ryzykiem ICT. Wymaga, aby instytucje finansowe były przygotowane na wszelkie rodzaje zakłóceń operacyjnych, co ma kluczowe znaczenie dla ochrony danych klientów oraz stabilności finansowej całej Unii Europejskiej.

DORA a operacyjna odporność cyfrowa

DORA nakłada na instytucje finansowe szereg obowiązków dotyczących zarządzania ryzykiem cybernetycznym, przeprowadzania testów penetracyjnych, monitorowania systemów informatycznych oraz raportowania incydentów bezpieczeństwa. Ponadto, DORA wymaga, aby instytucje finansowe stosowały najlepsze praktyki w zakresie bezpieczeństwa informatycznego i wdrażały środki mające na celu zminimalizowanie wpływu ataków cybernetycznych na ich działalność.

NIS2 i DORA – podobne założenia, ale różne cele

W europejskim krajobrazie legislacyjnym figurują od niedawna dwa główne elementy prawodawstwa w zakresie cyberbezpieczeństwa – DORA i NIS2. Formalne różnice między nimi są takie, że NIS2 to dyrektywa, a DORA to rozporządzenie. Dyrektywa wyznacza kierunek i musi być transponowana do prawa krajowego każdego kraju osobnym procesem legislacyjnym. Z drugiej strony rozporządzenie stosuje się w niezmienionej formie we wszystkich państwach członkowskich od chwili jego wejścia w życie. Jest to wiążący akt ustawodawczy, niewymagający wprowadzania krajowych aktów prawnych i należy go w całości egzekwować w niezmienionej formie.

NIS2 i DORA nie mają również tych samych celów. Dyrektywa NIS2 harmonizuje globalny poziom cyberbezpieczeństwa w całej UE, mając na celu zapewnienie, że firmy i organizacje najważniejsze dla sprawnego funkcjonowania naszego społeczeństwa osiągną wysoki poziom bezpieczeństwa cyfrowego. Rozporządzenie DORA ma z kolei na celu wzmocnienie cyfrowej odporności operacyjnej całego sektora finansowego, zapewniając, aby podmioty finansowe były w stanie przeciwstawić się i działać nieprzerwanie nawet w przypadku cyberataku. Sednem rozporządzenia jest zapewnienie dostępności usług i prawidłowego ich działania dla klientów.

NIS2 vs DORA: Które wymaganie jest ważniejsze?

Dyrektywa NIS 2, mająca na celu ustanowienie wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich krajach Unii Europejskiej, została przyjęta jednocześnie z DORA, co zaostrza wymagania dotyczące bezpieczeństwa cybernetycznego, również w sektorze finansowym. DORA ma pierwszeństwo wobec dyrektywy NIS 2, zgodnie z zasadą, według której prawo szczegółowe ma pierwszeństwo nad prawem ogólnym. DORA wyjaśnia i uzupełnia przepisy NIS 2.

W praktyce oba teksty raczej się uzupełniają niż ze sobą konkurują. NIS2 ma na celu wzmocnienie ogólnego poziomu cyberbezpieczeństwa w UE, natomiast DORA dba o to, aby system finansowy pozostał funkcjonalny nawet w przypadku cyberataku. NIS2 kładzie nacisk na bezpieczeństwo łańcucha dostaw, podczas gdy DORA koncentruje się na zarządzaniu ryzykiem stron trzecich.

Podobnie kary finansowe są wysokie i wymierne w przypadku NIS2 – aż do 2% światowego rocznego obrotu. Natomiast DORA woli pozostawić ocenę sankcji państwom członkowskim i ich właściwym organom. Z drugiej strony DORA stawia znacznie większe wymagania, jeśli chodzi o testy bezpieczeństwa: program testów odporności przynajmniej raz w roku i test penetracji pod kątem zagrożeń przynajmniej co 3 lata.

Które przepisy mają pierwszeństwo?

Jeśli Twoja organizacja podlega pod rozporządzenie DORA, to ma ono pierwszeństwo przed NIS2. Można przyjąć, że DORA to „lex specialis” bazujący na NIS2, ale dedykowany dla sektora finansowego.

Ramy nadzoru i przyszłość

DORA wprowadza ramy regulacyjne, zgodnie z którymi instytucje finansowe muszą zapewnić, że są w stanie wytrzymać, reagować i odzyskiwać zdolność operacyjną po wszelkiego rodzaju zakłóceniach ICT. Europejskie organy nadzoru, takie jak EBA, ESMA i EIOPA, opracują standardy techniczne, które będą musiały być przestrzegane przez wszystkie instytucje świadczące usługi finansowe.

Szerszy kontekst

DORA jest częścią większego pakietu dotyczącego finansów cyfrowych, który obejmuje także strategię finansów cyfrowych, wniosek w sprawie rynków kryptowalut (MiCA) oraz wniosek w sprawie technologii rozproszonych ksiąg (DLT). Pakiet ten ma na celu wspieranie innowacji i wdrażania nowych technologii finansowych przy jednoczesnym zapewnieniu odpowiedniego poziomu ochrony konsumentów i inwestorów.

Terminy i przepisy uzupełniające

Według art. 64 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA) czas na wdrożenie nowych przepisów upływa 17 stycznia 2025 roku.

Pojawiły się już także akty wykonawcze związane z Rozporządzeniem DORA, m. in.:

• Rozporządzenie delegowane Komisji (UE) 2024/1773 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych doprecyzowujących szczegółową treść polityki w zakresie ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT
• Rozporządzenie delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów.
• Rozporządzenie delegowane Komisji (UE) 2024/1774 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT oraz uproszczone ramy zarządzania ryzykiem związanym z ICT.
• Rozporządzenie delegowane Komisji (UE) 2024/1505 z dnia 22 lutego 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie wysokości opłat nadzorczych pobieranych przez wiodący organ nadzorczy od kluczowych zewnętrznych dostawców usług ICT oraz sposobu uiszczania tych opłat.
• Rozporządzenie delegowane Komisji (UE) 2024/1502 z dnia 22 lutego 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 przez określenie kryteriów wyznaczania zewnętrznych dostawców usług ICT jako mających kluczowe znaczenie dla podmiotów finansowych.

W/w akty wykonawcze uzupełniają przepisy Rozporządzenia DORA, mając jednocześnie istotne znaczenie w zakresie dostosowania działalności podmiotów finansowych do wymogów tego Rozporządzenia.

Jak Doradcy365 mogą wspierać firmy i instytucje w zakresie DORA?

Eksperci marki Doradcy365 oferują kompleksowe wsparcie dla firm i instytucji finansowych w zakresie wdrażania wymogów Rozporządzenia DORA. Nasi partnerzy specjalizują się w analizie ryzyka ICT, pomagając klientom w identyfikacji i zarządzaniu zagrożeniami związanymi z technologiami informacyjnymi.

W ramach naszej oferty, zapewniamy pomoc w opracowaniu i wdrożeniu procedur zarządzania incydentami ICT, w tym w zakresie klasyfikacji, zgłaszania i reakcji na cyberzagrożenia. Oferujemy również usługi w zakresie testowania operacyjnej odporności cyfrowej, przeprowadzając symulacje i audyty, które umożliwiają naszym klientom ocenę i wzmocnienie ich systemów zabezpieczeń. Ponadto, wspieramy firmy w zarządzaniu ryzykiem związanym z zewnętrznymi dostawcami usług ICT, pomagając w ocenie ryzyka oraz negocjowaniu odpowiednich umów.

Nasze doświadczenie i wiedza w zakresie zgodności z regulacjami DORA gwarantują, że nasi klienci będą mogli skutecznie spełniać wymagania prawne, minimalizować ryzyko cyberzagrożeń i zwiększać swoją odporność na incydenty ICT, zapewniając tym samym stabilność i bezpieczeństwo operacji finansowych.

Podsumowanie

Rozporządzenie DORA stanowi istotny krok w kierunku zwiększenia bezpieczeństwa cyfrowego w sektorze finansowym UE. Wymaga, aby instytucje finansowe były przygotowane na wszelkie rodzaje zakłóceń operacyjnych, co ma kluczowe znaczenie dla ochrony danych klientów oraz stabilności finansowej całej Unii Europejskiej. Dzięki DORA sektor finansowy stanie się bardziej odporny na zagrożenia cybernetyczne, co zwiększy zaufanie klientów i inwestorów do instytucji finansowych.

Skorzystaj z naszej pomocy już dziś i uzyskaj wsparcie.

Masz więcej pytań? Zapraszamy do kontaktu