W rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) stosuje się następujące definicje:
operacyjna odporność cyfrowa oznacza zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość
sieci i systemy informatyczne oznaczają sieci i systemy informatyczne w rozumieniu art. 4 pkt 1 dyrektywy (UE) 2016/1148
bezpieczeństwo sieci i systemów informatycznych oznacza bezpieczeństwo sieci i systemów informatycznych w rozumieniu art. 4 pkt 2 dyrektywy (UE) 2016/1148
ryzyko związane z ICT oznacza każdą dającą się racjonalnie określić okoliczność związaną z użytkowaniem sieci i systemów informatycznych, w tym nieprawidłowe funkcjonowanie, przekroczenie przepustowości, awarię, zakłócenie, zaburzenie, niewłaściwe użytkowanie, utratę lub inny rodzaj złośliwego lub niezłośliwego zdarzenia, która – jeżeli dojdzie do jej urzeczywistnienia – może zagrozić bezpieczeństwu sieci i systemów informatycznych, dowolnego narzędzia lub procesu zależnego od technologii, działania i procesu lub świadczenia usług, tym samym naruszając integralność lub dostępność danych, oprogramowania lub jakiegokolwiek innego składnika usług i infrastruktury ICT lub powodując naruszenie poufności, uszkodzenie fizycznej infrastruktury ICT lub inne niekorzystne skutki
zasoby informacyjne oznaczają zbiór informacji, w formie materialnej albo niematerialnej, który jest wart ochrony
incydent związany z ICT oznacza nieprzewidziane, stwierdzone zdarzenie w sieciach i systemach informatycznych, wynikające z działalności złośliwej lub nie, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przesyłanych przez te systemy lub ma negatywny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy
poważny incydent związany z ICT oznacza incydent związany z ICT o potencjalnie dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne funkcje podmiotu finansowego
cyberzagrożenie oznacza cyberzagrożenie w rozumieniu art. 2 pkt 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881
cyberatak oznacza złośliwy incydent związany z ICT polegający na próbie zniszczenia, ujawnienia, zmiany, dezaktywacji, kradzieży lub uzyskania nieuprawnionego dostępu do składnika aktywów lub jego nieuprawnionego wykorzystania przez jakiegokolwiek agresora
analiza zagrożeń oznacza informacje, które zostały zagregowane, przekształcone, przeanalizowane, zinterpretowane lub wzbogacone w celu zapewnienia niezbędnego kontekstu na potrzeby podejmowania decyzji i które umożliwiają odpowiednie i wystarczające zrozumienie w celu złagodzenia skutków incydentu związanego z ICT lub cyberzagrożenia, w tym informacje dotyczące technicznych szczegółów cyberataku, osób odpowiedzialnych za atak oraz ich sposobu działania i motywacji
ochrona w głąb oznacza strategię związaną z ICT, integrującą ludzi, procesy i technologie w celu ustanowienia szeregu barier na wielu poziomach i w zakresie wielu wymiarów podmiotu
luka oznacza słabość, podatność lub wadę zasobu, systemu, procesu lub kontroli, które mogą być wykorzystane do stworzenia zagrożenia
testy penetracyjne pod kątem wyszukiwania zagrożeń oznaczają ramy naśladujące taktykę, techniki i procedury stosowane w rzeczywistości przez agresorów stanowiących cyberzagrożenie, które zapewniają kontrolowane, dostosowane do konkretnych zagrożeń, oparte na analizie zagrożeń (zespół atakujący) testy działających na bieżąco krytycznych systemów produkcji podmiotu
ryzyko ze strony zewnętrznych dostawców usług ICT oznacza ryzyko związane z ICT, które może wystąpić w przypadku podmiotu finansowego w związku z korzystaniem przez niego z usług ICT świadczonych przez zewnętrznych dostawców usług ICT lub przez ich podwykonawców;
zewnętrzny dostawca usług ICT oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług w chmurze, oprogramowania, usług analizy danych, ośrodków przetwarzania danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw, które uzyskały zezwolenie na mocy prawa Unii i świadczą usługi łączności elektronicznej, o których mowa w art. 2 pkt 4 of dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972
usługi ICT oznaczają usługi cyfrowe i usługi w zakresie danych świadczone za pośrednictwem systemów ICT na rzecz użytkownika wewnętrznego lub zewnętrznego lub większej liczby takich użytkowników, w tym dostarczanie danych, wprowadzanie danych, przechowywanie danych, przetwarzanie danych i usługi w zakresie udostępniania informacji, monitorowanie danych, a także oparte na danych usługi w zakresie wspierania działalności gospodarczej i podejmowania decyzji
kluczowa lub ważna funkcja oznacza funkcję, której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie mogłoby stanowić istotne zagrożenie dla dalszego wypełniania przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych, dla wyników finansowych podmiotu finansowego lub dla bezpieczeństwa lub ciągłości usług i działalności tego podmiotu
kluczowy zewnętrzny dostawca usług ICT oznacza zewnętrznego dostawcę usług ICT wyznaczonego na mocy art. 29 rozporządzenia i podlegającego ramom nadzoru, o których mowa w art. 30–37 rozporządzenia
zewnętrzny dostawca usług ICT z siedzibą w państwie trzecim oznacza zewnętrznego dostawcę usług ICT, który jest osobą prawną mającą siedzibę w państwie trzecim, nie założył działalności gospodarczej ani nie jest obecny w Unii i zawarł z podmiotem finansowym umowę o świadczenie usług ICT
podwykonawca usług ICT z siedzibą w państwie trzecim oznacza podwykonawcę usług ICT, który jest osobą prawną mającą siedzibę w państwie trzecim, nie założył działalności gospodarczej ani nie jest obecny w Unii i zawarł umowę z zewnętrznym dostawcą usług ICT lub z zewnętrznym dostawcą usług ICT mającym siedzibę w państwie trzecim
ryzyko koncentracji w obszarze ICT oznacza ekspozycję na poszczególnych lub wielu powiązanych ze sobą kluczowych zewnętrznych dostawców usług ICT, która prowadzi do takiego stopnia uzależnienia od takich dostawców, że niedostępność, awaria lub innego rodzaju niedociągnięcie tych ostatnich może potencjalnie zagrozić zdolności podmiotu finansowego, a ostatecznie także całego systemu finansowego Unii, do wypełniania kluczowych funkcji lub przyczynić się do poniesienia innego rodzaju negatywnych skutków, w tym dużych strat
organ zarządzający oznacza organ zarządzający w rozumieniu art. 4 ust. 1 pkt 36 dyrektywy 2014/65/UE, art. 3 ust. 1 pkt 7 dyrektywy 2013/36/UE, art. 2 ust. 1 lit. s) dyrektywy 2009/65/WE, art. 2 ust. 1 pkt 45 rozporządzenia (UE) nr 909/2014, art. 3 ust. 1 pkt 20 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/1011, art. 3 ust. 1 lit. u) rozporządzenia Parlamentu Europejskiego i Rady (UE) 20xx/xx [MiCA] lub równorzędne osoby, które faktycznie zarządzają podmiotem lub pełnią kluczowe funkcje zgodnie z odpowiednimi przepisami unijnymi lub krajowymi
instytucja kredytowa oznacza instytucję kredytową w rozumieniu art. 4 ust. 1 pkt 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013
firma inwestycyjna oznacza firmę inwestycyjną w rozumieniu art. 4 ust. 1 pkt 1 dyrektywy 2014/65/UE
instytucja płatnicza oznacza instytucję płatniczą w rozumieniu art. 1 ust. 1 lit. d) dyrektywy (UE) 2015/2366
instytucja pieniądza elektronicznego oznacza instytucję pieniądza elektronicznego w rozumieniu art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady 2009/110/WE47
kontrahent centralny oznacza kontrahenta centralnego w rozumieniu art. 2 pkt 1 rozporządzenia (UE) nr 648/2012
repozytorium transakcji oznacza repozytorium transakcji w rozumieniu art. 2 pkt 2 rozporządzenia (UE) nr 648/2012
centralny depozyt papierów wartościowych oznacza centralny depozyt papierów wartościowych w rozumieniu art. 2 ust. 1 pkt 1 rozporządzenia (UE) nr 909/2014
system obrotu oznacza system obrotu w rozumieniu art. 4 ust. 1 pkt 24 dyrektywy 2014/65/UE
zarządzający alternatywnymi funduszami inwestycyjnymi oznacza zarządzającego alternatywnymi funduszami inwestycyjnymi w rozumieniu art. 4 ust. 1 lit. b) dyrektywy 2011/61/UE
spółka zarządzająca oznacza spółkę zarządzającą w rozumieniu art. 2 ust. 1 lit. b) dyrektywy 2009/65/WE
dostawca usług w zakresie udostępniania informacji oznacza dostawcę usług w zakresie udostępniania informacji w rozumieniu art. 4 ust. 1 pkt 63 dyrektywy 2014/65/UE
zakład ubezpieczeń oznacza zakład ubezpieczeń w rozumieniu art. 13 pkt 1 dyrektywy 2009/138/WE
zakład reasekuracji oznacza zakład reasekuracji w rozumieniu art. 13 pkt 4 dyrektywy 2009/138/WE
pośrednik ubezpieczeniowy oznacza pośrednika ubezpieczeniowego w rozumieniu art. 2 ust. 1 pkt 3 dyrektywy (UE) 2016/97
pośrednik oferujący ubezpieczenia uzupełniające oznacza pośrednika oferującego ubezpieczenia uzupełniające w rozumieniu art. 2 ust. 1 pkt 4 dyrektywy (UE) 2016/97
pośrednik reasekuracyjny oznacza pośrednika reasekuracyjnego w rozumieniu art. 2 ust. 1 pkt 5 dyrektywy (UE) 2016/97
instytucja pracowniczych programów emerytalnych oznacza instytucję pracowniczych programów emerytalnych w rozumieniu art. 1 pkt 6 dyrektywy (UE) 2016/2341
agencja ratingowa oznacza agencję ratingową w rozumieniu art. 3 pkt 1 lit. a) rozporządzenia (WE) nr 1060/2009
biegły rewident oznacza biegłego rewidenta w rozumieniu art. 2 pkt 2 dyrektywy 2006/43/WE
firma audytorska oznacza firmę audytorską w rozumieniu art. 2 pkt 3 dyrektywy 2006/43/WE
dostawca usług w zakresie kryptoaktywów oznacza dostawcę usług w zakresie kryptoaktywów w rozumieniu art. 3 ust. 1 lit. n) rozporządzenia (UE) 202x/xx r.
emitent kryptoaktywów oznacza emitenta kryptoaktywów w rozumieniu art. 3 ust. 1 lit. h)
emitent tokenów powiązanych z aktywami oznacza emitenta tokenów powiązanych z aktywami w rozumieniu art. 3 ust. 1 lit. i)
emitent znaczących tokenów powiązanych z aktywami oznacza emitenta znaczących tokenów powiązanych z aktywami w rozumieniu art. 3 ust. 1 lit. j)
administrator kluczowych wskaźników referencyjnych oznacza administratora kluczowych wskaźników referencyjnych w rozumieniu art. x pkt x rozporządzenia xx/202x r.
dostawca usług finansowania społecznościowego oznacza dostawcę usług finansowania społecznościowego w rozumieniu art. x pkt x rozporządzenia (UE) 202x/xx r.
repozytorium sekurytyzacji oznacza repozytorium sekurytyzacji w rozumieniu art. 2 pkt 23 rozporządzenia (UE) 2017/2402
mikroprzedsiębiorstwo oznacza mikroprzedsiębiorstwo w rozumieniu art. 2 ust. 3 załącznika do zalecenia 2003/361/WE.
