Od stycznia 2025 roku obowiązuje w Polsce unijne rozporządzenie DORA – Digital Operational Resilience Act. Jest to akt dotyczący operacyjnej odporności cyfrowej sektora finansowego. Ale dotyczy również dostawców usług technologicznych dla instytucji finansowej każdego typu. Reguluje ono zarządzanie ryzykiem, testowanie systemów i spełnianie wymogów raportowania incydentów i wpływa na zwiększenie bezpieczeństwa cyfrowego w Europie. Wyjaśniamy, czym ono jest i kogo obowiązuje.
Czym jest i co reguluje rozporządzenie DORA?
Unijne rozporządzenie dotyczące odporności instytucji finansowych na zagrożenia cyfrowe, czyli DORA, weszło w życie 16 stycznia 2023. Przepis ten ma poprawić bezpieczeństwo instytucji finansowych w Unii Europejskiej w odniesieniu do cyberataków i innych problemów technologicznych. Określa on zakres podmiotowy swoich działań, oraz uznaje, że aby podmiot uznać za przygotowany na różnego rodzaju incydenty cyfrowe, spełnione muszą zostać następujące warunki:
• odporność operacyjna – wdrożenie systemów zarządzania ryzykiem ICT (technologii informacyjno-komunikacyjnych),
• regularne testy odporności i wynikające z nich analizy potencjalnych słabych punktów,
• umiejętność zarządzania ryzykiem związanym z dostawcami usług technologicznych,
• skuteczne raportowanie – zgłaszanie zdarzeń niebezpiecznych organom nadzoru.
DORA ujednolica w całej UE przepisy związane z cyberbezpieczeństwem, dzięki czemu współpraca między podmiotami sektora finansowego jest znacznie ułatwiona, a dbałość o bezpieczeństwo cyfrowe staje się działaniem kompleksowym.
Kto zobowiązany jest do wdrożenia przepisów DORA?
Jako rozporządzenie związane z sektorem usług finansowych DORA dotyczy wszystkich kluczowych podmiotów ryku finansowego w Unii Europejskiej. Należą do nich banki, firmy ubezpieczeniowe i inwestycyjne, instytucje płatnicze, giełdy, platformy obrotu instrumentami finansowymi, centralnych kontrpartnerzy (CCP) oraz centralne depozyty papierów wartościowych (CSD). W zakresie działania rozporządzenia znajdują się również Biura Informacji Kredytowej, choć nie obracają one w żaden sposób środkami finansowymi.
Nie trzeba jednak być instytucją finansową, aby być zobowiązanym do wdrożenia w swojej organizacji rozporządzenia DORA. Podlegają pod nie również zewnętrzni, krytyczni dostawcy usług technologicznych (ICT) dla sektora finansowego. Wśród nich znajdują się dostawcy oprogramowania, usług chmurowych, firmy analizujące dane i oferujący usługi wspierające cyberbezpieczeństwo, jak również podmioty oferujące sektorowi finansowemu usługi infrastrukturalne i komunikacyjne.
Rozporządzenie DORA to narzędzie służące ochronie europejskiego rynku finansowego. Dzięki jego wdrożeniu zarówno bezpośrednio w instytucjach finansowych, jak i u ich dostawców usług krytycznych skutki cyberataków i zagrożeń cyfrowych będą dla przeciętnego Europejczyka mniej dotkliwe.
Monika Zygmunt-Jakuć (Inspektor ochrony danych)