Dyrektywa DORA – Digital Operational Resilience Act – to nowe regulacje UE, które wymuszają zwiększoną cyberodporność sektora finansowego, stawiając przed instytucjami finansowymi, takimi jak banki czy ubezpieczyciele, zestaw jasnych wymagań. W tym artykule przedstawiamy, co musisz wiedzieć o DORA i jakie konkretne zmiany niesie ona dla Twojej pracy w finansach.
Spis treści
Najważniejsze Informacje
DORA ma na celu zwiększenie odporności operacyjnej w sektorze finansowym, wprowadzając jednolite wymogi dotyczące zarządzania ryzykiem ICT oraz bezpieczeństwa informatycznego.
DORA – Digital Operational Resilience Act dotyczy wszystkich instytucji finansowych oraz dostawców usług ICT współpracujących z sektorem finansowym w UE, zobowiązując do identyfikacji ryzyk, regularnych testów penetracyjnych oraz tworzenia strategii zarządzania ryzykiem ICT.
Podmioty nieprzestrzegające wymagań dyrektywy mogą być poddane konsekwencjom prawnym, w tym karam administracyjnym i środkom naprawczym, przy czym pełne wdrożenie DORA ma nastąpić do 17 stycznia 2025 roku.
Co to jest dyrektywa DORA?
Dyrektywa DORA to Rozporządzenie (UE) 2022/2554, które weszło w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej. Jej celem jest zapewnienie wysokiego wspólnego poziomu odporności operacyjnej w sektorze finansowym. Ale co to oznacza w praktyce? Rozporządzenie DORA wprowadza jednolite wymagania dotyczące bezpieczeństwa sieci i systemów informatycznych, które są niezbędne dla procesów biznesowych podmiotów finansowych.
To oznacza, że każdy podmiot finansowy, od małych start-upów fintech po duże banki, muszą podjąć konkretnie wymienione w dyrektywie DORA kroki, aby zapewnić, że ich systemy sieciowe i informatyczne są bezpieczne. To nie jest tylko kwestia zabezpieczenia przed atakami cybernetycznymi – chodzi o to, aby te systemy były odporne na wszelkiego rodzaju zakłócenia, które mogą wpływać na ich zdolność do wykonywania kluczowych funkcji biznesowych. W przeciwnym wypadku instytucje finansowe, które nie wdrożą egzekwowania przepisów operacyjnej odporności cyfrowej będą narażone na możliwość nakładania kar finansowych poprzez właściwe organy jakimi są organy nadzoru.
Cel i założenia DORA
DORA ma na celu zwiększenie operacyjnej odporności cyfrowej sektora finansowego, a także wypełnienie luk w obecnych przepisach UE dotyczących ryzyka cyfrowego, szczególnie w zakresie operacyjnej odporności cyfrowej. W praktyce oznacza to, że instytucje finansowe muszą:
zidentyfikować swoje kluczowe funkcje biznesowe i zrozumieć, jak zależą one od systemów sieciowych i informatycznych,
zrozumieć, jakie zagrożenia mogą stanowić dla tych funkcji,
podjąć kroki, aby je zminimalizować.
Jednym z kluczowych aspektów DORA jest wprowadzenie jednolitych zasad zarządzania ryzykiem ICT. To oznacza, że wszystkie instytucje finansowe będą musiały podjąć te same kroki, aby zabezpieczyć swoje systemy sieciowe i informatyczne z obszaru cyfrowych finansów, które znacząco podniosą zdolność podmiotu finansowego w zakresie ICT. Dzięki temu klienci i inwestorzy będą mieli pewność, że ich pieniądze są bezpieczne, bez względu na to, z którą instytucją finansową współpracują.
Wreszcie, DORA ma na celu zwiększenie cyberodporności zarówno dla instytucji finansowych, jak i dostawców technologii oferujących produkty i usługi dla tego sektora. Oznacza to, że nawet jeśli instytucja finansowa korzysta z usług zewnętrznego dostawcy, musi ona mieć pewność, że ten dostawca również spełnia wymagania DORA.
Akt unijny DORA – kontekst powstania
DORA nie powstała w próżni. Jest częścią unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest dostosowanie ram regulacyjnych do rozwoju technologii finansowych. Innymi słowy, DORA jest odpowiedzią na rosnący wpływ technologii na sektor finansowy. W miarę jak banki i inne instytucje finansowe coraz bardziej polegają na technologii, konieczne jest, aby regulacje dorównywały temu tempu.
DORA powstało na podstawie prac i zaleceń różnych europejskich instytucji, takich jak Europejski Bank Centralny, i ma na celu ujednolicenie norm bezpieczeństwa cyfrowego w sektorze finansowym. To znaczy, że chociaż różne kraje mogą mieć swoje własne przepisy dotyczące bezpieczeństwa sieci i systemów informatycznych, DORA zapewnia, że wszystkie instytucje finansowe w UE muszą spełniać te same minimalne standardy.
Główne elementy DORA
Jednym z kluczowych elementów DORA jest wprowadzenie wymogów dotyczących zarządzania ryzykiem ICT mające na celu wzmocnienie bezpieczeństwa informatycznego oraz zapewnienie odporności operacyjnej. W praktyce oznacza to, że instytucje finansowe muszą:
zabezpieczyć swoje systemy sieciowe i informatyczne
zrozumieć, jakie ryzyko niesie ze sobą ich wykorzystanie
podjąć kroki, aby to ryzyko zminimalizować.
DORA wymaga od instytucji przeprowadzania regularnych testów penetracyjnych oraz testowania odporności operacyjnej w celu identyfikacji i łagodzenia ryzyka. To oznacza, że instytucje finansowe muszą aktywnie szukać potencjalnych lęk i luk w swoich systemach sieciowych i informatycznych, a nie tylko reagować na problemy, gdy one wystąpią.
Kolejnym istotnym elementem DORA jest określenie zasad współpracy z dostawcami usług ICT. To oznacza, że instytucje finansowe nie tylko muszą zabezpieczyć swoje własne systemy sieciowe i informatyczne, ale także muszą mieć pewność, że dostawcy usług, z którymi współpracują, również spełniają te same standardy bezpieczeństwa.
Na koniec, DORA promuje wymianę informacji o zagrożeniach cybernetycznych, wymagając od instytucji instalacji zautomatyzowanych rozwiązań do ich wykrywania i reagowania. To oznacza, że instytucje finansowe muszą być gotowe na to, że będą musiały dzielić się informacjami o potencjalnych zagrożeniach z innymi instytucjami i regulatorami w sprawie operacyjnej odporności cyfrowej sektora finansowego.
Kto musi stosować się do dyrektywy DORA?
Dyrektywa DORA dotyczy wszystkich podmiotów finansowych wykorzystujących systemy sieciowe i informatyczne w swoich procesach biznesowych w Unii Europejskiej, w tym:
banków,
firm ubezpieczeniowych,
firm inwestycyjnych,
innych podmiotów oferujących usługi finansowe takich jak zakłady reasekuracji.
To oznacza, że DORA ma bardzo szeroki zasięg. Niezależnie od tego, czy jesteś dużym bankiem, małym start-upem fintech, czy firmą ubezpieczeniową, musisz spełniać wymagania DORA.
DORA zobowiązuje ponad 22 000 podmiotów finansowych i dostawców usług ICT działających w UE, jak również obsługującą je infrastrukturę ICT pochodzącą spoza UE, do spełnienia określonych wymagań. To oznacza, że nawet jeśli jesteś dostawcą usług ICT spoza UE, ale obsługujesz podmioty finansowe w UE, musisz również spełniać wymagania DORA.
Wpływ na tradycyjne instytucje sektora finansowego
Tradycyjne instytucje finansowe, takie jak banki i ubezpieczyciele, będą musiały spełniać wymagania DORA, które obejmują zarządzanie ryzykiem ICT, zgłaszanie incydentów oraz testowanie odporności operacyjnej. Dla wielu z tych instytucji może to oznaczać znaczące zmiany w sposobie, w jaki zarządzają swoimi systemami sieciowymi i informatycznymi. Działania te mają wpłynąć na odporność sektora finansowego.
Dyrektywa DORA wymaga od instytucji finansowych stosowania jednolitego podejścia i zasad opartych na tych samych standardach przy adresowaniu ryzyka ICT. To oznacza, że niezależnie od rozmiaru lub typu instytucji finansowej, każda z nich musi stosować te same zasady zarządzania ryzykiem. To może oznaczać, że mniejsze instytucje, które wcześniej nie miały tak ścisłych regulacji, będą musiały wprowadzić znaczne zmiany w swoim podejściu do zarządzania ryzykiem ICT.
Banki, firmy ubezpieczeniowe oraz inne tradycyjne instytucje finansowe, w tym instytucje kredytowe, będą musiały zidentyfikować, sklasyfikować i dokumentować swoje krytyczne funkcje i aktywa, a także nieustannie monitorować wszystkie źródła ryzyka ICT. To oznacza, że instytucje te muszą mieć pełne zrozumienie swojej infrastruktury sieciowej i informatycznej i ryzyka, które niesie jej wykorzystanie.
Wpływ na fintech i dostawców usług ICT
Fintech oraz dostawcy usług ICT będą musieli dostosować swoje działania do wymagań DORA dotyczących zarządzania ryzykiem ICT i zgłaszania incydentów. Dla wielu z tych firm może to oznaczać znaczne zmiany w sposobie, w jaki prowadzą swoje działania. Mogą na przykład musieć wprowadzić nowe procedury do identyfikacji i zarządzania ryzykiem, a także do zgłaszania i reagowania na incydenty bezpieczeństwa.
Dostawcy usług ICT będą odpowiedzialni za audytowalność swoich polityk i procedur, co zwiększa przejrzystość i kontrolę procesów w celu zapewnienia zgodności z wymogami regulacji DORA. To oznacza, że muszą oni być w stanie udowodnić, że ich działania są zgodne z wymaganiami DORA, co może wymagać wprowadzenia nowych procedur audytu i dokumentacji.
Wydaje się, że DORA wprowadza unikalny w UE system nadzoru nad krytycznymi dostawcami usług ICT, określonymi przez Europejskie Urzędy Nadzoru (ESAs). To oznacza, że niektórzy dostawcy usług ICT mogą być poddani szczególnemu nadzorowi regulacyjnemu, co może mieć wpływ na sposób, w jaki prowadzą swoje działania.
Wdrażanie i terminy dyrektywy DORA
DORA została wprowadzona w życie 16 stycznia 2023 roku, z okresem implementacji wynoszącym dwa lata. Oznacza to, że instytucje finansowe i dostawcy usług ICT mieli dwa lata na dostosowanie się do nowych wymagań. To może wydawać się długim okresem, ale biorąc pod uwagę złożoność niektórych wymagań DORA, dla wielu podmiotów mogło to być wyzwanie.
Podmioty finansowe będą musiały być zgodne z regulacją dyrektywy DORA do ostatecznego terminu wdrożenia, którym jest 17 stycznia 2025 roku. To oznacza, że instytucje, które nie są jeszcze w pełni zgodne z wymaganiami rozporządzenia DORA, muszą podjąć szybkie kroki, aby dostosować się do tych wymagań. W przeciwnym razie mogą narazić się na konsekwencje prawne, w tym na kary finansowe.
Przygotowanie do wdrożenia DORA
Przeprowadzenie oceny ryzyka ICT obejmuje całą organizację i jej rozszerzony łańcuch dostaw, identyfikując obszary podatne na zagrożenia cybernetyczne, oraz regularne przeglądanie kluczowych aspektów działalności biznesowej jak Disaster Recovery. To oznacza, że instytucje finansowe muszą mieć pełne zrozumienie swojej infrastruktury sieciowej i informatycznej oraz ryzyka, które niesie jej wykorzystanie, w zakresie zarządzania ryzykiem ict.
Planowanie działań zgodnych z dyrektywą obejmuje:
zrozumienie wymogów regulacyjnych
klasyfikację zdarzeń ICT
ustalenie progów dla incydentów i zagrożeń
przygotowanie polityki dotyczącej umów usług ICT
To oznacza, że instytucje finansowe muszą mieć plan, który pokazuje, jak będą spełniać wymagania DORA. Ten plan musi być szczegółowy i musi uwzględniać wszystkie aspekty działalności instytucji, które mogą być dotknięte DORA.
Szkolenie wszystkich pracowników w zakresie odporności operacyjnej cyfrowej jest niezbędnym elementem przygotowania do wdrożenia DORA, w tym obszarach zarządzania ryzykiem ICT i raportowania incydentów. To oznacza, że wszystkie osoby pracujące w instytucji finansowej muszą zrozumieć, co oznacza DORA i jakie są jej wymagania. Muszą też zrozumieć, jakie są ich role i odpowiedzialności w kontekście DORA.
Monitorowanie i egzekwowanie przepisów DORA
Europejskie Urzędy Nadzoru, takie jak EBA, EIOPA i ESMA, odgrywają centralną rolę w monitorowaniu przestrzegania dyrektywy DORA, w tym w opracowywaniu standardów technicznych. To oznacza, że te organy mają prawo do przeprowadzania kontroli i inspekcji w instytucjach finansowych, aby sprawdzić, czy spełniają one wymagania DORA.
EBA jako organ nadzorczy odpowiedzialny za egzekwowanie DORA ocenia odporność operacyjną instytucji finansowych oraz przeprowadza kontrole na miejscu w celu potwierdzenia zgodności z wymogami regulacji. To oznacza, że EBA ma prawo do przeprowadzania kontroli i inspekcji w instytucjach finansowych, aby sprawdzić, czy spełniają one wymagania DORA.
W przypadku wykrycia naruszeń, organy nadzorcze mogą nakładać kary administracyjne, zawsze zapewniając uzasadnienie decyzji i prawo do odwołania. To oznacza, że instytucje, które nie spełniają wymagań DORA, mogą zostać ukarane. Kary te mogą być dość surowe i mogą obejmować grzywny finansowe, działania naprawcze, a nawet zawieszenie działalności instytucji.
Kary za nieprzestrzeganie dyrektywy DORA
Państwa członkowskie są zobowiązane do ustanowienia zasad dotyczących odpowiednich kar administracyjnych i środków naprawczych, które powinny być skuteczne, proporcjonalne i odstraszające. To oznacza, że instytucje, które nie spełniają wymagań DORA, mogą zostać ukarane. Kary te mogą być dość surowe i mogą obejmować grzywny finansowe, działania naprawcze, a nawet zawieszenie działalności instytucji, w tym również instytucje płatnicze.
Władze nadzorcze mają prawo do nałożenia sankcji na podmioty finansowe, w tym również na spółki zarządzające, w rzecz podmiotów finansowych, obejmujących:
grzywny administracyjne,
działania naprawcze,
publiczne upomnienia,
wycofanie autoryzacji.
W przypadku nieprzestrzegania wymagań regulacji DORA. To oznacza, że organy nadzorcze mają szerokie uprawnienia, jeśli chodzi o nakładanie kar na instytucje, które nie spełniają wymagań DORA. Mogą one na przykład nałożyć na instytucję grzywnę finansową, wymusić na niej podjęcie działań naprawczych, wydać publiczne upomnienie, a nawet wycofać jej autoryzację.
Korzyści płynące z wdrożenia dyrektywy DORA
Zwiększenie bezpieczeństwa sieci i systemów informatycznych podmiotów finansowych jest priorytetem DORA, co przekłada się na większą odporność operacyjną. To oznacza, że instytucje, które spełniają wymagania DORA, są lepiej przygotowane na potencjalne zagrożenia dla swoich systemów sieciowych i informatycznych. Mogą one na przykład lepiej zidentyfikować potencjalne zagrożenia i podjąć kroki, aby je zminimalizować.
Szczegółowe ramy prawne na poziomie UE związane z odpornością cyfrową umożliwiają instytucjom finansowym lepsze przygotowanie na incydenty ICT, również w zakresie udostępniania informacji. To oznacza, że instytucje te mają jasne wskazówki, jak postępować w przypadku incydentu ICT. Mogą one na przykład mieć plany, które określają, jakie kroki należy podjąć w przypadku ataku cybernetycznego, co może pomóc w minimalizacji szkód.
Ujednolicenie regulacji przez DORA zwiększa zaufanie konsumentów i inwestorów w system finansowy, szczególnie przy zwiększonym wykorzystaniu ICT. To oznacza, że klienci i inwestorzy mogą mieć większe zaufanie do instytucji finansowych, które spełniają wymagania DORA. Mogą oni na przykład mieć pewność, że instytucje te podjęły odpowiednie kroki, aby zabezpieczyć swoje systemy sieciowe i informatyczne.
Jak współpracować z zewnętrznymi dostawcami usług ICT w ramach DORA?
Instytucje finansowe muszą pracować z zewnętrznymi dostawcami usług ICT, przyjmując i regularnie aktualizując strategie zarządzania ryzykiem ICT, które obejmują współpracę z zewnętrznych dostawców usług ict:
ocenę znaczenia, złożoności i skali usług ICT oraz zależność od tych usług,
pełne zrozumienie, jakie usługi są im dostarczane przez zewnętrzne firmy,
jakie ryzyko niesie ze sobą korzystanie z tych usług.
Due diligence dostawców ICT to kluczowy element procesu, który obejmuje identyfikację i ocenę ryzyka, analizę kosztów i korzyści oraz ocenę zgodności z aktualnymi standardami bezpieczeństwa informacji. To oznacza, że instytucje finansowe muszą dokładnie ocenić dostawców usług ICT, z którymi zamierzają współpracować. Muszą one na przykład sprawdzić, czy dostawcy ci mają odpowiednie zabezpieczenia i procedury, które są zgodne z wymaganiami DORA.
DORA określa wymogi dotyczące zawierania umów z dostawcami usług ICT, w tym:
konieczność pisemnego dokumentowania,
klauzule umożliwiające audyt i inspekcję,
strategie wyjścia,
klauzula zakończenia umowy.
To oznacza, że instytucje finansowe muszą mieć pewność, że umowy, które zawierają z dostawcami usług ICT, spełniają wymagania DORA.
Rozporządzenie DORA – jak Securivy może pomóc
Securivy może dostarczyć instytucjom finansowym w spełnieniu wymagań DORA, dostarczając usługi związane z zarządzaniem ryzykiem ICT umożliwiające uniknięcia kar finansowych . To oznacza, że Securivy może dostarczyć narzędzia i usługi, które pomagają instytucjom finansowym zrozumieć i zarządzać ryzykiem związanym z ich systemami sieciowymi i informatycznymi.
Usługi Securivy obejmują wsparcie w raportowaniu poważnych incydentów związanych z ICT oraz powiadamianiu o znaczących zagrożeniach cybernetycznych. Securivy dostarcza narzędzia, które pomagają instytucjom finansowym szybko i skutecznie zgłaszać incydenty i zagrożenia, co jest kluczowym założeniem dyrektywy.
Jednym z założeń DORA jest monitorowanie i kontrolowanie dostawców zewnętrznych, tak aby spełniali oni wymagania dotyczące zachowania cyberbezpieczeństwa.
Dlaczego potrzebujemy profesjonalnego narzędzia do nagrywania i monitorowania firm zewnętrznych?
Firmy korzystające z usług outsourcingowych muszą liczyć się z działaniami usługodawców, które z jednej strony odciążają bieżącą działalność przedsiębiorstwa, ale z drugiej – istotnie ingerują w strukturę firmy.
Ekran System oferowany przez Securivy to kompleksowy program pozwalający na śledzenie podejrzanych aktywności i prewencję nadużyć, które mają miejsce na serwerach oraz sesjach RDP. Dzięki nadzorowi nad infrastrukturą IT firmy w czasie rzeczywistym, cyberbezpieczeństwo organizacji poprawia się wydajniej i łatwiej.
Każde oprogramowanie do monitorowania firm zewnętrznych lub dostawców funkcji powinno zawierać szereg funkcji dla optymalnego i bezpiecznego kontrolowania aktywności użytkowników uprzywilejowanych. Jest tak ze względu na duże przywileje pracowników outsourcingowych
W szczególności należy zwrócić uwagę na funkcjonalność: przejrzystego i transparentnego raportowania działań, bezpieczną politykę haseł (password manager) i jump serwer.
W jaki sposób Jump Server działa w przypadku Ekran System?
Dzięki wdrożeniu Ekran System na serwerze przesiadkowym, wyznaczony jest tzw. serwer kontrolny, a użytkownicy logują się w pierwszej kolejności właśnie do tego miejsca. Po uwierzytelnieniu, często dwuskładnikowym, mogą przechodzić oni na inne serwery bez konieczności znajomości danych logowania. W przypadku Ekran System odpowiedzialna jest za to funkcja Password Managera, gdzie poświadczenia logowania przekazywane są w tle, a użytkownicy mogą zalogować się jedynie do serwerów, do których mają nadany dostęp, co znacznie zmniejsza powierzchnię ataku.
Najczęściej Zadawane Pytania
Od kiedy będzie obowiązywać Dora?
Rozporządzenie DORA zacznie obowiązywać od początku 2025 roku, po przyjęciu przez Radę Europy 28 listopada 2022 roku. Od tego momentu zarządzanie ryzykiem związanym z wdrożeniem operacyjnej odporności cyfrowej sektora finansowego.
Kogo dotyczy Dora?
DORA dotyczy szerokiego zakresu podmiotów sektora finansowego, włącznie z tradycyjnymi instytucjami finansowymi, firmami fintech, dostawcami usług ICT i wieloma innymi. Obejmuje to ponad 22 000 instytucji finansowych w Unii Europejskiej. Mogą to być instytucje pieniądza elektronicznego, centralne depozyty papierów wartościowych, instytucje pracowniczych programów emerytalnych, zakłady ubezpieczeń, podmioty finansowe, instytucje kredytowe, spółki zarządzające, administratorzy kluczowych wskaźników referencyjnych, pośrednicy ubezpieczeniowi, zarządzających alternatywnymi funduszami inwestycyjnymi, firmy inwestycyjne.
Podsumowanie
Dyrektywa DORA to ważny krok naprzód w zakresie regulacji finansowych w Unii Europejskiej. Wdrożenie rozporządzenia wprowadza jednolite standardy zarządzania ryzykiem ICT dla wszystkich podmiotów finansowych i dostawców usług ICT, które zobowiązują organy zarządzające do wprowadzenia zmian. Chociaż wymaga to od tych podmiotów podjęcia znacznych wysiłków w celu dostosowania się do nowych wymagań, przynosi również wiele korzyści. Poprzez zwiększenie bezpieczeństwa sieci i systemów informatycznych, DORA pomaga instytucjom finansowym zwiększyć odporność operacyjną, co przekłada się na większe zaufanie konsumentów i inwestorów. Wreszcie, DORA wprowadza system nadzoru nad krytycznymi dostawcami usług ICT, co pomaga zapewnić, że te podmioty również spełniają wymagania DORA.
