Instytucje finansowe mierzą się obecnie z bezprecedensowymi zagrożeniami operacyjnymi wynikającymi z rosnącego uzależnienia od technologii. RrozporządzenieUstawa o cyfrowej odporności operacyjnej (DORA) stanowi kluczową odpowiedź na te wyzwania. To przełomowe prawodawstwo ma na celu transformację praktyk w zakresie cyberbezpieczeństwa i cyfrowej odporności w sektorze usług finansowych Unii Europejskiej. Zrozumienie skutków DORA jest niezbędne dla podmiotów finansowych przygotowujących się do funkcjonowania w nowym otoczeniu regulacyjnym.
Czym jest DORA?
Rozporządzenie o cyfrowej odporności operacyjnej (DORA) to kompleksowe ramy regulacyjne wprowadzone przez Unię Europejską. Jej głównym celem jest wzmocnienie cyfrowej odporności operacyjnej sektora finansowego. Uchwalona 16 stycznia 2023 roku, DORA ma wyposażyć podmioty finansowe w narzędzia umożliwiające wytrzymanie, reagowanie i powrót do normalnego funkcjonowania po zakłóceniach i zagrożeniach związanych z ICT. To perspektywiczne prawodawstwo odpowiada na rosnące ryzyka w obszarze technologii informacyjno-komunikacyjnych (ICT) i cyberbezpieczeństwa, dążąc do ochrony stabilności finansowej i konsumentów.
DORA ustanawia jednolite wymagania dotyczące bezpieczeństwa sieci i systemów informacyjnych w sektorze finansowym. Harmonizuje standardy cyfrowej odporności operacyjnej w krajach UE, upraszczając zgodność dla firm działających w wielu państwach członkowskich.
Zakres ustawy wykracza poza tradycyjne regulacje finansowe, obejmując firmy zwykle znajdujące się poza nadzorem finansowym. Dotyczy to zewnętrznych dostawców usług ICT, takich jak usługi chmurowe, dostawcy oprogramowania i firmy zajmujące się analizą danych, kluczowych dla działalności podmiotów finansowych.
Wdrożenie DORA oznacza fundamentalną zmianę w podejściu do zarządzania ryzykiem cyfrowym. Kładzie nacisk na ciągłe działania w zakresie bezpieczeństwa, zamiast polegać na jednorazowych rozwiązaniach lub reaktywnych środkach.
Główne elementy DORA
Ramy DORA składają się z kilku istotnych elementów mających na celu stworzenie solidnego systemu cyfrowej odporności operacyjnej w sektorze finansowym UE. Regulacja określa jasne wytyczne dotyczące wewnętrznego zarządzania i zarządzania ryzykiem ICT, zobowiązując podmioty finansowe do tworzenia struktur skutecznie ograniczających ryzyka ICT.
Kluczowym aspektem DORA jest koncentracja na zarządzaniu ryzykiem związanym z podmiotami trzecimi. Rozporządzenie wymaga ścisłego nadzoru nad zewnętrznymi dostawcami usług ICT, w tym określonych postanowień umownych i krytycznych procesów monitorowania. To podkreśla rosnące uzależnienie instytucji finansowych od zewnętrznych dostawców technologii i związane z tym ryzyka.
DORA nakazuje również kompleksowe testowanie cyfrowej odporności operacyjnej. Podmioty finansowe muszą regularnie oceniać swoje systemy i procesy ICT, aby zapewnić ich odporność na potencjalne zagrożenia cybernetyczne i zakłócenia operacyjne. To proaktywne podejście ma na celu wykrycie słabych punktów, zanim zostaną one wykorzystane.
Rozporządzenie wprowadza standardowe mechanizmy raportowania incydentów. Podmioty finansowe muszą zgłaszać poważne incydenty związane z ICT odpowiednim organom, co zwiększa przejrzystość i umożliwia bardziej skoordynowaną reakcję na zagrożenia cybernetyczne w całym sektorze.
DORA zachęca również do dzielenia się informacjami między podmiotami finansowymi. Poprzez promowanie wymiany informacji o zagrożeniach cybernetycznych, ma na celu wzmocnienie zbiorowej odporności sektora finansowego UE na zmieniające się zagrożenia cyfrowe.
Zobacz także: DORA - jak wypada w porównaniu z NIS 2?
Kogo dotyczy DORA?
DORA obejmuje różnorodne podmioty finansowe działające w Unii Europejskiej. Regulacja dotyczy tradycyjnych instytucji finansowych, takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne. Jednak jej zakres sięga znacznie dalej.
Firmy fintech, w tym dostawcy usług płatniczych, instytucje pieniądza elektronicznego i platformy finansowania społecznościowego, również podlegają przepisom DORA. Rozporządzenie uznaje rosnące znaczenie tych cyfrowych usług finansowych i dąży do zapewnienia, że utrzymają one taki sam poziom odporności operacyjnej jak tradycyjne instytucje.
Zasięg DORA obejmuje też dostawców kluczowej infrastruktury rynkowej. Zaliczają się do nich centralne depozyty papierów wartościowych, partnerzy centralni, systemy obrotu i administratorzy wskaźników referencyjnych. Włączając te podmioty, DORA uznaje ich istotną rolę w utrzymaniu stabilności i integralności rynków finansowych.
Co ważne, DORA wpływa na firmy, które tradycyjnie działały poza regulacjami finansowymi. Zewnętrzni dostawcy usług ICT, w tym usługi chmurowe, dostawcy oprogramowania i firmy zajmujące się analizą danych, są pośrednio objęci ze względu na obowiązki nałożone na podmioty finansowe w zakresie zarządzania ryzykiem związanym z podmiotami trzecimi. W niektórych przypadkach dostawcy ci mogą zostać uznani za krytyczne strony trzecie (CTP), podlegając bezpośredniemu nadzorowi w ramach DORA.
Warto zauważyć, że stosowanie DORA nie ogranicza się do podmiotów mających siedzibę w UE. Firmy finansowe świadczące usługi na rzecz podmiotów z siedzibą w UE mogą również być zobowiązane do przestrzegania wymogów DORA, co podkreśla jej ponadgraniczny wpływ.
Pięć filarów DORA
Ramy DORA opierają się na pięciu podstawowych filarach, z których każdy dotyczy kluczowego aspektu cyfrowej odporności operacyjnej. Te filary stanowią podstawę regulacji i zapewniają kompleksowe podejście do zarządzania ryzykiem ICT i cyberbezpieczeństwem w sektorze finansowym.
Pierwszy filar koncentruje się na zarządzaniu ryzykiem ICT. Wymaga on od podmiotów finansowych wdrożenia solidnych struktur zarządzania i ram zarządzania ryzykiem dostosowanych do zagrożeń związanych z ICT. Ten filar podkreśla potrzebę całościowego podejścia do zarządzania ryzykiem, włączając ryzyka ICT do ogólnej strategii zarządzania ryzykiem organizacji.
Drugi filar dotyczy raportowania incydentów związanych z ICT. DORA ustanawia jasne wytyczne dotyczące zgłaszania poważnych incydentów ICT odpowiednim organom. Ten filar ma na celu zwiększenie przejrzystości i umożliwienie szybkiego reagowania na potencjalne ryzyka systemowe wynikające z incydentów ICT.
Testowanie cyfrowej odporności operacyjnej stanowi trzeci filar DORA. Podmioty finansowe muszą regularnie testować swoje systemy i procesy ICT, aby zapewnić ich zdolność do wytrzymania i powrotu do normalnego funkcjonowania po różnego rodzaju zakłóceniach. Ten filar promuje aktywne podejście do identyfikacji i rozwiązywania słabych punktów w infrastrukturze cyfrowej.
Czwarty filar skupia się na zarządzaniu ryzykiem związanym z podmiotami trzecimi w zakresie ICT. Uznając rosnące uzależnienie od zewnętrznych dostawców usług, DORA określa szczegółowe wymagania dotyczące zarządzania ryzykiem związanym z usługami ICT świadczonymi przez podmioty trzecie. Obejmuje to rygorystyczne procesy due diligence, zabezpieczenia umowne i ciągłe monitorowanie relacji z podmiotami trzecimi.
Wymiana informacji stanowi piąty filar DORA. Regulacja zachęca podmioty finansowe do dzielenia się informacjami o zagrożeniach i podatnościach cybernetycznych. Poprzez wspieranie współpracy i wymiany wiedzy, ten filar ma na celu wzmocnienie zbiorowej odporności sektora finansowego UE na zmieniające się zagrożenia cyfrowe.
Zarządzanie łańcuchem dostaw w kontekście DORA i rola SOC 2
Rrozporządzenie o cyfrowej odporności operacyjnej (DORA) podkreśla znaczenie solidnego zarządzania łańcuchem dostaw, zwłaszcza w zakresie zarządzania ryzykiem związanym z podmiotami trzecimi w obszarze ICT. W miarę jak instytucje finansowe coraz bardziej polegają na zewnętrznych dostawcach usług do realizacji kluczowych operacji, DORA wymaga ścisłego nadzoru i mechanizmów kontroli, aby zminimalizować ryzyka wynikające z tych zależności. Skuteczne zarządzanie łańcuchem dostaw to nie tylko najlepsza praktyka; zgodnie z DORA staje się ono wymogiem regulacyjnym.
Raporty SOC 2 (System and Organization Controls) mogą odegrać kluczową rolę w spełnianiu wymagań DORA dotyczących łańcucha dostaw. SOC 2 zapewnia uporządkowane ramy do oceny kontroli, jakie mają wdrożone dostawcy usług, szczególnie w zakresie bezpieczeństwa, dostępności, integralności przetwarzania, poufności i prywatności. Uzyskując i przeglądając raporty SOC 2, instytucje finansowe mogą upewnić się, że ich dostawcy zewnętrzni spełniają wymagane standardy, co pozwala dostosować się do rygorystycznych wymogów DORA.
Raporty SOC 2 pomagają organizacjom w weryfikacji, czy ich dostawcy usług utrzymują silne kontrole wewnętrzne, co zmniejsza ryzyko zakłóceń związanych z ICT. To nie tylko wspiera zgodność z DORA, ale także wzmacnia ogólną odporność operacyjną sektora finansowego, zapewniając, że wszystkie ogniwa w łańcuchu dostaw są bezpieczne i odporne
Podsumowanie
DORA stanowi znaczący postęp w regulowaniu cyfrowej odporności operacyjnej w sektorze finansowym UE. Wraz ze zbliżającym się terminem wdrożenia w styczniu 2025 roku, podmioty finansowe muszą aktywnie przygotowywać się do spełnienia jej wymogów. DORA nie powinna być jednak postrzegana jedynie jako obciążenie regulacyjne. Stanowi ona szansę dla instytucji finansowych na zwiększenie ich zdolności zarządzania ryzykiem cyfrowym, poprawę ogólnego poziomu bezpieczeństwa i ostatecznie zdobycie przewagi konkurencyjnej w coraz bardziej cyfrowym środowisku finansowym. Przyjmując zasady DORA, podmioty finansowe mogą przyczynić się do budowy bardziej odpornego, bezpiecznego i godnego zaufania cyfrowego systemu finansowego na przyszłość.
Comments