W dzisiejszych czasach instytucje finansowe narażone są na różne cyberataki. Jednym z głównych zadań powyższych instytucji jest więc zapewnienie cyberbezpieczeństwa. W tym celu ustawodawca unijny uchwalił w dniu 14 grudnia 2022 roku rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA). Dokument ten zawiera regulacje optymalizujące ryzyko związane z cyfrowym świadczeniem usług finansowych, a jednocześnie wspierające ich rozwój oraz innowacyjność.
Czym jest DORA?
DORA (Digital Operational Resilience Act) to rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego. Jego zadaniem jest stworzenie fundamentów dla wzmocnienia oraz zwiększenia stabilności i odporności podmiotów unijnego sektora finansowego, w szczególności na wszelkiego rodzaju zakłócenia i zagrożenia związane z technologiami informacyjno-komunikacyjnymi.
Innymi słowy rozporządzenia DORA ma na celu wprowadzenie rozwiązań, które zapewnią instytucją finansowym środki do wstrzymania cyberataków, poprzez wdrożenie najlepszych praktyk, takich jak ochrona danych i planowanie reakcji na incydenty.
Rozporządzenie skierowane jest do podmiotów finansowych, w szczególności do: instytucji kredytowych, instytucji płatniczych, instytucji pieniądza elektronicznego, firm inwestycyjnych, dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, dostawców usług w zakresie udostępniania informacji, zakładów ubezpieczeń i zakładów reasekuracji, pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające, instytucji pracowniczych programów emerytalnych, agencji ratingowych, biegłych rewidentów i firm audytorskich, administratorów kluczowych wskaźników referencyjnych, dostawców usług finansowania społecznościowego, repozytoriów sekurytyzacji, zewnętrznych dostawców usług ICT.
Sprawdź jak wdrożyć RODO w twojej organizacji
Co reguluje DORA?
Rozporządzenie DORA stanowi uzupełnienie obowiązujących już w Unii Europejskiej regulacji z obszaru cyberbezpieczeństwa takich jak: dyrektywa nr 2016/1148 z dnia 6 lipca 2016 roku w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS), dyrektywa nr 2015/2366 z dnia 25 listopada 2015 roku w sprawie usług płatniczych w ramach rynku wewnętrznego (dyrektywa PSD2) oraz rozporządzenie RODO.
Rozporządzenie DORA zawiera regulacje dotyczące:
- zarządzania ryzykiem cyberbezpieczeństwa oraz strukturą zarządzania ICT,
- testów odporności oraz ciągłości,
- wymiany informacji o cyberzagrożeniach i słabościach systemowych,
- minimalnych wymagań kontraktowych instytucji finansowych z ich dostawcami usług ICT,
- zgłaszania incydentów.
Wymagania DORA
Rozporządzenie DORA nakłada na podmioty finansowe nowe wymagania takie jak:
- obowiązek sporządzenia planu reagowania na incydenty, zawierającego szczegółowy opis cyberataku, sposobu reagowania przez pracowników i jak operacje zostaną przywrócone, jeśli dojdzie do naruszenia,
- obowiązek prowadzenia programu bezpieczeństwa cybernetycznego, obejmującego ocenę ryzyka stwarzanego przez cyberataki oraz plan działań ograniczających to ryzyko,
- obowiązek utrzymywania odpowiednich kontroli bezpieczeństwa nad posiadaną infrastruktura cyfrową, obejmujące szyfrowanie, uwierzytelnianie, kontrolę dostępu, ścieżki audytu, systemy monitorowania, systemy zarządzania zdarzeniami oraz plany reagowania na incydenty,
- obowiązek zgłaszania incydentów w momencie ich wystąpienia,
- obowiązek posiadania planu zapewniającego ciągłość usług podczas występujących zakłóceń, mogącego utrzymać działalność operacyjną podczas odzyskiwania wszelkich szkód wywołanych atakiem,
- obowiązek zapewnienia bezpieczeństwa cyfrowego, sieciowego i chmurowego, a także bezpieczeństwa poczty elektronicznej.
Od kiedy należy stosować DORA?
Rozporządzenie DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 27 grudnia 2022 roku, a dwadzieścia dni później, tj.16 stycznia 2023 r. weszło w życie. Adresaci rozporządzenia DORA będą mieli dwa lata na przygotowanie się do nowych wymagań. Rozporządzenie DORA stosować się będzie dopiero od 17 stycznia 2025 roku.
