Rozporządzenie DORA już obowiązuje: wzmocnienie cyberbezpieczeństwa instytucji finansowych
Unia Europejska konsekwentnie wzmacnia ramy prawne cyberbezpieczeństwa, tworząc kompleksowy system regulacji. W dniu 17 stycznia 2025 r. minął termin wdrożenia przepisów rozporządzenia DORA (Digital Operational Resilience Act)[i]. Rozporządzenie te weszło w życie 16 stycznia 2023 roku z obowiązującym 24-miesięcznym okresem przejściowym (vacatio legis).
Rozporządzenie DORA to przełomowy unijny akt prawny, który całkowicie zmieni podejście instytucji finansowych do cyberbezpieczeństwa.
Głównymi odbiorcami w/w rozporządzenia są takie instytucje jak m.in.:
- banki;
- firmy inwestycyjne;
- zakłady ubezpieczeń;
- instytucje płatnicze;
- dostawcy usług ICT.
Do najważniejszych celów, na których opiera się wprowadzenie DORA, zaliczyć należy:
- wzmocnienie odporności cyfrowej sektora finansowego;
- ujednolicenie standardów cyberbezpieczeństwa w UE;
- ochrona przed zagrożeniami cybernetycznymi.
Regulacje DORA dotyczą pięciu kluczowych obszarów:
- Zarządzanie ryzykiem ICT:
- Kompleksowe ramy zarządzania ryzykiem;
- Identyfikacja kluczowych funkcji biznesowych;
- Dokumentacja zagrożeń cyfrowych.
- Zarządzanie incydentami ICT:
- Procedury zgłaszania naruszeń;
- Analiza przyczyn incydentów.
- Testowanie odporności cyfrowej:
- Regularne testy penetracyjne;
- Aktywne poszukiwanie luk w systemach;
- Zarządzanie ryzykiem dostawców:
- Weryfikacja standardów bezpieczeństwa dostawców;
- Kontrola współpracy z podmiotami zewnętrznymi.
- Wymiana informacji o zagrożeniach:
- Budowanie wspólnej świadomości zagrożeń;
- Współpraca między instytucjami.
Komisja Nadzoru Finansowego będzie monitorowała wypełnianie wymogów DORA przez podmioty nadzorowane w następujący sposób:
- Sprawowanie kompleksowego nadzoru nad wykonaniem obowiązków nałożonych przez DORA;
- Kontrola operacyjnej odporności cyfrowej podmiotów finansowych.
Kto nie wdroży odpowiednich procedur, może spodziewać się dotkliwych kar finansowych dla firm do prawie 21 mln zł lub 10% przychodów netto.
Pełna treść rozporządzenia DORA dostępna jest TUTAJ.
[i] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011.
Materiał prasowy: radca prawny Damian Lipiński.