Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych, niezbędne do osiągnięcia wysokiego wspólnego poziomu
operacyjnej odporności cyfrowej:
- wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do:
- zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT);
- zgłaszania poważnych incydentów związanych z ICT właściwym organom;
- testowania operacyjnej odporności cyfrowej;
- wymiany informacji i danych wywiadowczych w związku z cyberzagrożeniami i lukami w tym obszarze;
- środków na rzecz należytego zarządzania przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT;
- wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
- ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
- zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych niniejszym rozporządzeniem.
Kiedy?
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) weszło w życie 16 stycznia 2023 roku. Podmioty finansowe mają dwa lata na wdrożenie nowych wymogów.
Kogo obejmuje?
Rozporządzenie ma zastosowanie do następujących podmiotów:
- instytucji kredytowych;
- instytucji płatniczych;
- instytucji pieniądza elektronicznego;
- firm inwestycyjnych;
- dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami;
- centralnych depozytów papierów wartościowych;
- kontrahentów centralnych;
- systemów obrotu;
- repozytoriów transakcji;
- zarządzających alternatywnymi funduszami inwestycyjnymi;
- spółek zarządzających;
- dostawców usług w zakresie udostępniania informacji;
- zakładów ubezpieczeń i zakładów reasekuracji;
- pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające;
- instytucji pracowniczych programów emerytalnych;
- agencji ratingowych;
- biegłych rewidentów i firm audytorskich;
- administratorów kluczowych wskaźników referencyjnych;
- dostawców usług finansowania społecznościowego;
- repozytoriów sekurytyzacji;
- zewnętrznych dostawców usług ICT.
Zakres
Rozporządzenie reguluje następujące obszary:
- Zarządzanie ryzykiem związanym z ICT
- Zarządzanie i organizacja
- Ramy zarządzania ryzykiem związanym z ICT
- Systemy, protokoły i narzędzia ICT
- Identyfikowanie
- Ochrona i zapobieganie
- Wykrywanie
- Reagowanie i przywracanie gotowości do pracy
- Zasady tworzenia kopii zapasowych i metody odzyskiwania danych
- Uczenie się i rozwój
- Komunikacja
- Dalsza harmonizacja narzędzi, metod, procesów i polityk zarządzania ryzykiem związanym z ICT
- Incydenty związane z ICT
- Proces zarządzania incydentami związanymi z ICT
- Klasyfikacja incydentów związanych z ICT
- Zgłaszanie poważnych incydentów związanych z ICT
- Harmonizacja treści i wzorów zgłoszeń
- Centralizacja zgłaszania poważnych incydentów związanych z ICT
- Informacje zwrotne od organów nadzoru
- Testowanie operacyjnej odporności cyfrowej
- Ogólne wymogi dotyczące przeprowadzania testów operacyjnej odporności cyfrowej
- Testowanie narzędzi i systemów ICT
- Zaawansowane testowanie narzędzi, systemów i procesów ICT z wykorzystaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń
- Wymogi dotyczące testerów
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
- Główne zasady należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT
- Zasady ogólne
- Wstępna ocena ryzyka koncentracji w obszarze ICT i uzgodnień dotyczących dalszego podoutsourcingu
- Kluczowe postanowienia umowne
- Ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT
- Wyznaczenie kluczowych zewnętrznych dostawców usług ICT
- Struktura ram nadzoru
- Zadania wiodącego organu nadzorczego
- Uprawnienia wiodącego organu nadzorczego
- Wniosek o informacje
- Dochodzenia ogólne
- Kontrole na miejscu
- Bieżący nadzór
- Harmonizacja warunków umożliwiających prowadzenie nadzoru
- Działania następcze podejmowane przez właściwe organy
- Opłaty nadzorcze
- Współpraca międzynarodowa
- Główne zasady należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT
- Ustalenia dotyczące wymiany informacji odnoszące się do informacji o cyberzagrożeniu i wyników analiz takiego cyberzagrożenia
