Statyczna nakladka

Ponad 20 lat wspieramy biznes. Doradzamy, jak podejmować i realizować trudne przedsięwzięcia. Czasem odradzamy.

-----------

WŁODZIMIERZ GŁOWACKI

Statyczna nakladka

Przewidujemy zachodzące zmiany, co pozwala nam dostosować strategię działania nawet przy najbardziej nietypowych sprawach.

-----------

Joanna Basińska

Statyczna nakladka

Zabezpieczamy interesy przedsiębiorców. Minimalizujemy zagrożenia i pomagamy w procesie realizacji projektów inwestycyjnych.

-----------

Rita Świętek

previous arrow
next arrow

Rozporządzenie o Operacyjnej Odporności Cyfrowej (DORA)

Jakie nowe obowiązki będą mieć podmioty finansowe od stycznia 2025 roku?

Digital Operational Resilience Act (Rozporządzenie o Operacyjnej Odporności Cyfrowej) w skrócie DORA jest aktem prawa unijnego mającym na celu uregulowanie kwestii cyberbezpieczeństwa podmiotów z branży finansowej, a także obsługujących je dostawców usług IT. Rozporządzenie będzie obowiązywać od 17 stycznia 2025 roku.

Szacowana liczba podmiotów finansowych w Unii Europejskiej do których będzie mieć zastosowanie DORA wynosi 22 tysiące. Wśród rodzajów tych podmiotów możemy wyróżnić m.in. banki, fintechy, giełdy kryptowalut, firmy inwestycyjne czy zakłady ubezpieczeń, a także dostawców usług technologii informacyjno-komunikacyjnej (ICT).

Celem DORA jest ujednolicenie i skonsolidowanie obecnych regulacji w zakresie cyberbezpieczeństwa instytucji finansowych. Rozporządzenie jest częścią pakietu unijnego ustawodawstwa dla podmiotów finansowych wraz z rozporządzeniem o rynkach kryptoaktywów (MiCA) i rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT Pilot).

Głównymi założeniami Rozporządzenia o Operacyjnej Odporności Cyfrowej jest wprowadzenie konkretnych wymagań nazywanych czasami pięcioma filarami, są to:

  1. Zarządzanie ryzykiem – tworzenie i utrzymanie systemów i narzędzi mających na celu minimalizowanie ryzyka. Stałe monitorowanie potencjalnych zagrożeń i szybkie wdrażanie rozwiązań odpornych na nie. Wprowadzenie strategii ciągłości działania i przywracania gotowości do pracy po wystąpieniu sytuacji nadzwyczajnych.
  2. Zgłaszanie incydentów – zorganizowanie i administrowanie przez podmioty obowiązane rejestru incydentów związanych z naruszeniem cyberbezpieczeństwa w organizacji. Klasyfikowanie i dokumentowanie tych incydentów, a także zgłaszanie ich do europejskich organów nadzoru.
  3. Testowanie operacyjnej odporności cyfrowej – przeprowadzanie cyklicznych testów penetracyjnych systemów, protokołów i narzędzi ICT w podmiotach objętych regulacjami rozporządzenia. Identyfikacja, a następnie efektywna naprawa luk i braków w zabezpieczeniach
  4. Kontrola ryzyka ze strony zewnętrznych dostawców usług ICT – monitorowanie niebezpieczeństw wynikających z outsourcingu usług technologii informacyjno-komunikacyjnych. Utrzymywanie rejestru czynności delegowanych dostawcom usług ICT i czuwanie nad dokładnością umów zawieranych z tymi podmiotami.
  5. Wymiana informacji o ryzykach – umożliwienie podmiotom objętych regulacjami rozporządzenia zawierania między sobą porozumień mających na celu wymianę informacji na temat zagrożeń związanych z cyberbezpieczeństwem z pełnym poszanowaniem tajemnicy przedsiębiorstwa i ochrony danych osobowych. Dostarczanie przez organy nadzoru istotnych informacji w tym zakresie.

DORA wprowadza również najważniejsze postanowienia umowne do umów o świadczenie usług ICT zawieranych między podmiotami finansowymi a zewnętrznymi dostawcami. Zgodnie z artykułem 30 Rozporządzenia, prawa i obowiązki podmiotu finansowego i zewnętrznego dostawcy usług ICT będą musiały być określone na piśmie, a umowa będzie musiała obejmować klauzule o gwarantowanym poziomie usług. W przepisach DORA dotyczących najważniejszych postanowień umownych poruszona została również kwestia ochrony danych. Umowy będą musiały zawierać postanowienia dotyczące dostępności, autentyczności, integralności i poufności w związku z ochroną danych. Poza powyższym umowa będzie musiała określać również obowiązki sprawozdawcze dostawców usług ICT, odpowiednio długie okresy wypowiedzenia umowy czy też tzw. strategię wyjścia, czyli procedurę przekazania obowiązków innemu dostawcy ICT w przypadku rozwiązania umowy. Zakres minimalnych postanowień umownych będzie się rozszerzać w przypadku korzystania z usług ICT wspierających krytyczne lub istotne funkcje.

Organ zarządzający spółki będącej podmiotem finansowym zobowiązany będzie do określenia, zatwierdzenia i nadzorowania wdrożenia wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT. To właśnie zarządy podmiotów finansowych będą ponosić odpowiedzialność za wdrożenie nowych obowiązków wynikających z DORA.

Ze względu na mnogość nowych obowiązków nałożonych na podmioty finansowe rozporządzeniem DORA warto rozważyć zwrócenie się do specjalistów w zakresie prawa IT w celu przeprowadzenia audytu zawartych umów z dostawcami usług ICT, a także ich dostosowanie do nowych regulacji.

Nasi Klienci od ponad 10 lat
Razem od ponad 10 lat
Facebook
LinkedIn