Operacyjna odporność cyfrowa sektora finansowego (DORA)

Operacyjna odporność cyfrowa sektora finansowego (DORA)

Od 17 stycznia 2025 roku będzie stosowane Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora  finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Rozporządzenie DORA), którego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym.

Reformy, które zostały przeprowadzone po kryzysie finansowym z 2008 roku, przede wszystkim wzmocniły stabilność finansową sektora. Zagrożenia związane z technologiami informacyjno-komunikacyjnymi zostały uwzględnione jedynie pośrednio w niektórych obszarach i nadal stanowiły wyzwanie dla odporności operacyjnej, wydajności i stabilności systemu finansowego UE.

Rozporządzenie, określane skrótem DORA, jest częścią większego pakietu przepisów dotyczących finansów cyfrowych, mającego na celu wspieranie rozwoju technologicznego oraz zapewnienie stabilności finansowej i ochrony konsumentów. Jego pozostałe elementy obejmują strategię finansów cyfrowych, rynki kryptoaktywów i technologię rozproszonego rejestru.

JAKIE SĄ CELE ROZPORZĄDZENIA?

Ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych takich jak banki, towarzystwo ubezpieczeniowe oraz spółki inwestycyjne.

Obejmuje szeroki zakres podmiotów finansowych podlegających regulacjom Unii Europejskiej (UE), wymagając od nich odporności, reagowania i odzyskiwania sprawności w przypadku wystąpienia wszelkich zakłóceń lub zagrożeń związanych z technologiami informacyjno-komunikacyjnymi (ICT).
KLUCZOWE ZAGADNIENIA

Zakres

Rozporządzenie obejmuje:

-instytucje kredytowe, płatnicze, pieniądza elektronicznego i pracownicze instytucje emerytalne;
-dostawców usług w zakresie informacji o rachunkach, kryptoaktywów, udostępniania informacji, finansowania społecznościowego i podmiotów świadczących usługi ICT;
-firm inwestycyjnych, alternatywnych funduszy inwestycyjnych, spółek zarządzających, agencji ratingowych i administratorów kluczowych wskaźników referencyjnych;
-repozytoria transakcji i sekurytyzacji, centralne depozyty papierów wartościowych, centralnych kontrahentów i systemy obrotu;
-towarzystwa ubezpieczeniowe, pośredników ubezpieczeniowych i reasekuracji.

Zarządzanie ryzykiem związanym z technologią informacyjną

Podmioty finansowe inne niż mikroprzedsiębiorstwa:

-posiadają wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT;
-zapewniają, że ich organy zarządzające określają, zatwierdzają i nadzorujeą wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT;
-posiadają rzetelne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi wraz z niezbędnymi strategiami, politykami, procedurami, protokołami i narzędziami umożliwiającymi szybkie i skuteczne reagowanie;
-wykorzystują i utrzymują zaktualizowane systemy, protokoły i narzędzia ICT, które są odpowiednie do skali operacji wspierających prowadzenie ich działalności, są wiarygodne, mają wystarczającą zdolność do dokładnego przetwarzania danych i są odporne pod względem technologicznym;
-identyfikują, klasyfikują i odpowiednio dokumentują wszystkie funkcje biznesowe, role i obowiązki wspierane przez ICT oraz dokonują przeglądu scenariuszy ryzyka;
-stale monitorują bezpieczeństwo i działanie systemów i narzędzi ICT, aby zminimalizować wpływ wszelkich zagrożeń związanych z ICT;
-niezwłocznie wykrywają anomalie i identyfikują potencjalne punkty awarii;
-wdrażają kompleksowe zasady ciągłości działania technologii informacyjno-komunikacyjnych wraz z odpowiednimi planami, procedurami i mechanizmami;
-opracowują i dokumentują zasady tworzenia kopii zapasowych oraz procedury przywracania i odzyskiwania danych;
-wykorzystują zasoby i personel do oceny podatności i cyberzagrożeń, incydentów związanych z technologiami informacyjno-komunikacyjnymi, szczególnie cyberataków, oraz analizują ich potencjalny wpływ na cyfrową odporność operacyjną podmiotu;
-opracowują plany komunikacji kryzysowej w celu informowania klientów, kontrahentów i opinii publicznej o co najmniej poważnych incydentach lub podatnościach związanych z technologiami informacyjno-komunikacyjnymi.

Zarządzanie, klasyfikacja i sprawozdawczość związane z ICT

Podmioty finansowe:

- określają, ustanawiają i wdrażają środki służące do wykrywania, zarządzania, rejestrowania i powiadamiania o incydentach związanych z ICT;
- klasyfikują incydenty i określają ich wpływ przy użyciu kryteriów, takich jak liczba narażonych klientów i kontrahentów, czas trwania, zasięg geograficzny i utrata danych;
- zgłaszają poważne incydenty związane z ICT wyznaczonemu właściwemu organowi, który przekazuje je organowi wyższego szczebla, takiemu jak Europejski Bank Centralny lub Europejski Urząd Nadzoru Bankowego.

Testowanie operacyjnej odporności cyfrowej

Podmioty finansowe inne niż mikroprzedsiębiorstwa:

- ustanawiają, utrzymują i weryfikują rzetelny i kompleksowy program operacyjnego testowania cyfrowego, obejmujący niezbędne oceny, testy, metodologie, praktyki i narzędzia;
- przeprowadzają co najmniej raz na 3 lata testy penetracyjne na poziomie zagrożenia w oparciu o ich profil ryzyka i biorąc pod uwagę okoliczności operacyjne, korzystając wyłącznie z usług certyfikowanych testerów, posiadających niezbędną wiedzę specjalistyczną i odpowiednie kwalifikacje oraz ubezpieczenie od odpowiedzialności zawodowej.

Zarządzanie ryzykiem ICT podmiotów zewnętrznych

Podmioty finansowe:

- zarządzają ryzykiem podmiotów zewnętrznych jako integralnym elementem ich ogólnego ryzyka ICT;
- posiadają ustalenia umowne na świadczenie usług ICT zapewniające pełną zgodność prowadzonych działań z obowiązującymi przepisami prawa;
- uwzględniają charakter, skalę, złożoność i znaczenie zależności związanych z ICT oraz wszelkie potencjalne zagrożenia;
- rozważają korzyści i koszty alternatywnych rozwiązań podczas identyfikacji i oceny wszelkich związanych z nimi zagrożeń;
- uwzględniają w treści umowy prawa i obowiązki każdej ze stron oraz warunki świadczenia usług.

Ramy nadzoru nad zewnętrznymi dostawcami krytycznych usług ICT

Zasady ramowe:

- powierzają trzem europejskim organom nadzorczym obowiązki:
* wskazania na podstawie jasnych kryteriów, zewnętrznych dostawców usług ICT uznawanych za kluczowych dla podmiotów finansowych;
* wyznaczenie organu odpowiedzialnego za dany podmiot finansowy jako głównego podmiotu sprawującego nadzór nad każdym zewnętrznym dostawcą usług o znaczeniu krytycznym;
    ustanawiają Forum Nadzoru, które:
* omawia istotne zmiany w zakresie ryzyka związanego z ICT i podatności na zagrożenia oraz promuje spójne podejście UE do monitorowania;
* dokonuje dorocznej oceny działań nadzorczych, wspiera działania mające na celu zwiększenie cyfrowej odporności operacyjnej i promuje najlepsze praktyki;
* przedstawia kompleksowe wskaźniki odniesienia dla dostawców krytycznych usług ICT;
- zobowiązują główny podmiot sprawujący nadzór do:
* pełnienia roli głównego punktu kontaktowego dla dostawców krytycznych usług ICT;
* oceny, czy każdy krytyczny dostawca wdrożył kompleksowe, rzetelne i skuteczne zasady, procedury, mechanizmy i działania;
* występowania o udzielenie wszelkich istotnych informacji i udostępnienie dokumentacji, przeprowadzania dochodzeń i kontroli (w tym w państwach trzecich), określanie działań naprawczych i wydawania zaleceń;
* umożliwiają Europejskiemu Urzędowi Nadzoru Bankowego, Europejskiemu Urzędowi Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych współpracę z organami regulacyjnymi i nadzorczymi spoza UE w zakresie ryzyka ICT podmiotów zewnętrznych;
* nakładają na europejskie urzędy nadzoru obowiązek przedkładania co 5 lat Parlamentowi Europejskiemu, Radzie Unii Europejskiej i Komisji Europejskiej poufnego sprawozdania na temat ich kontaktów z organami spoza UE.

Umowy dotyczące udostępniania informacji

Podmioty finansowe mogą wymieniać między sobą informacje i dane analityczne dotyczące cyberzagrożeń, pod warunkiem że:

- ma to na celu zwiększenie ich operacyjnej odporności cyfrowej;
- odbywa się to w ramach zaufanych społeczności;
- zapewnia ochronę poufności informacji biznesowych i danych osobowych oraz przestrzeganie zasad polityki konkurencji.

Kary i środki naprawcze

Właściwe organy:

- posiadają wszelkie uprawnienia nadzorcze, dochodzeniowe i sankcyjne niezbędne do wykonywania swoich obowiązków;
- nakładają i publikują na swoich stronach internetowych kary administracyjne i środki zaradcze określone w prawie krajowym.

Europejskie urzędy nadzoru opracowują projekty regulacyjnych standardów technicznych dotyczących narzędzi zarządzania ryzykiem w zakresie ICT, klasyfikacji i zgłaszania incydentów związanych z ICT oraz prowadzenia działań nadzorczych.

Komisja:

- jest uprawniona do przyjmowania aktów delegowanych;
- przedłoży Parlamentowi i Radzie, do dnia 17 stycznia 2028 roku, przegląd rozporządzenia, po konsultacji z Europejskimi Urzędami Nadzoru oraz Europejską Radą ds. Ryzyka Systemowego.

Rozporządzenie zmienia rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 909/2014, (UE) nr 600/2014 i (UE) 2016/1011.

Rozporządzenie ma zastosowanie od 17 stycznia 2025 r.


4.02.2025
źródło: Eur-LEX, KNF

DORA, rozporządzenia o odporności cyfrowej instytucji finansowych, ustawa o operacyjnej odporności cyfrowej, zarządzanie ryzykiem, zgodność  przepisami, zagrożenia cyfrowe, cyberprzestępca, profilowanie hakerów, Red Team, Purple Team, Blue Teams, regulations on digital resilience of financial institutions, act on operational digital resilience, risk management, regulatory compliance, digital threats, cybercriminal, hacker profiling, Vorschriften zur digitalen Belastbarkeit von Finanzinstituten, Gesetz zur operativen digitalen Belastbarkeit, Risikomanagement, Einhaltung gesetzlicher Vorschriften, digitale Bedrohungen, Cyberkriminalität, Hacker-Profiling,