Komisja Europejska wydała ustawę o cyfrowej odporności operacyjnej (DORA), której celem jest zwiększenie odporności operacyjnej sektora finansowego Unii Europejskiej. DORA opiera się na trzech podstawowych zasadach:

1. Zarządzanie Ryzykiem Informatycznym i Cyberbezpieczeństwem: Instytucje finansowe zostałyby zobowiązane do identyfikowania, oceniania i zarządzania ryzykiem IT i cyberbezpieczeństwa. Rozporządzenie wymagałoby od instytucji ustanowienia zasad i procedur chroniących ich systemy i dane przed zagrożeniami cybernetycznymi.
   

2. Zarządzanie Ciągłością Działania: Instytucje finansowe będą zobowiązane do opracowania kompleksowych planów ciągłości działania, zapewniających ich zdolność do świadczenia usług klientom w czasie zakłóceń operacyjnych. Obejmuje to wdrożenie systemów kopii zapasowych, alternatywnych kanałów komunikacji i planów odtwarzania po awarii.
   

3. Nadzór i Kontrola: Rozporządzenie wprowadziłoby ramy dla organów nadzoru i nadzoru umożliwiające monitorowanie i ocenę odporności operacyjnej instytucji finansowych. Obejmuje to przyznanie organom nadzorczym uprawnień do przeprowadzania inspekcji, żądania informacji i, w razie potrzeby, nakładania sankcji.

Celem DORA jest wzmocnienie sektora finansowego UE poprzez zagwarantowanie, że instytucje finansowe posiadają niezbędne procesy, systemy i mechanizmy kontrolne, aby skutecznie przeciwstawiać się zakłóceniom operacyjnym i reagować na nie.

Rozporządzenie DORA ma wejść w życie 17 stycznia 2025. Data ta stanowi kluczowy kamień milowy dla instytucji finansowych, ponieważ będą one musiały dostosować się do nowych wymogów określonych w przepisach.

W miarę jak zbliżamy się do terminu wdrożenia, dla instytucji finansowych niezbędne jest zapoznanie się z rozporządzeniem DORA i podjęcie niezbędnych kroków w celu zapewnienia jego zgodności. Ponieważ rozporządzenie wchodzi w życie 17 stycznia 2025, nadszedł czas, aby instytucje finansowe przygotowały się i dostosowały do nowych wymogów.

Rozporządzenie Digital Operational Resilience Act będzie miało zastosowanie do wszystkich instytucji finansowych działających w Unii Europejskiej (UE), w tym banków, firm inwestycyjnych, platform obrotu, partnerów centralnych i innej infrastruktury rynku finansowego. Norma szczegółowo wymienia następujące kwestie:

„…Rozporządzenie obejmuje szereg podmiotów finansowych regulowanych na poziomie Unii, a mianowicie instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług w zakresie kryptowalut, centralne depozyty papierów wartościowych, kontrahenci centralni, systemy obrotu, repozytoria transakcji, zarządzający alternatywnymi fundusze inwestycyjne i spółki zarządzające, dostawcy usług w zakresie udostępniania informacji, zakłady ubezpieczeń i zakłady reasekuracji, pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy w zakresie ubezpieczeń uzupełniających, instytucje pracowniczych programów emerytalnych, agencje ratingowe, biegli rewidenci i firmy audytorskie, administratorzy kluczowych wskaźników referencyjnych i dostawcy usług finansowania społecznościowego ”.

Rozporządzenie wyraźnie stanowi, że ma zastosowanie do wszystkich instytucji finansowych, niezależnie od ich wielkości i złożoności.

Podsumowując, rozporządzenie DORA będzie miało wpływ na wszystkie instytucje finansowe działające w UE.

Główne cele regulacji (DORA) to 4:

1. Zwiększanie odporności operacyjnej sektora finansowego UE: rozporządzenie ma na celu zagwarantowanie, że instytucje finansowe posiadają solidne procesy i systemy, aby wytrzymać zakłócenia operacyjne, takie jak cyberataki, awarie IT i inne zagrożenia, i reagować na nie.
   

2. Zwiększenie ochrony danych klientów: Rozporządzenie nakłada na instytucje finansowe obowiązek wdrożenia skutecznych środków cyberbezpieczeństwa w celu ochrony danych klientów i zapobiegania naruszeniom danych.
   

3. Zapewnienie równych warunków działania w całej UE: Rozporządzenie wprowadza jednolity zestaw standardów i wymogów dotyczących odporności operacyjnej, zapewniając przestrzeganie tych samych standardów przez wszystkie instytucje finansowe działające w UE.
   

4. Wzmocnienie roli organów nadzorczych: Rozporządzenie nadaje organom nadzoru zwiększone uprawnienia w zakresie monitorowania i oceny odporności operacyjnej instytucji finansowych oraz podejmowania niezbędnych działań w celu usunięcia wszelkich słabych punktów lub niepowodzeń.

Wydane przez Komisję Europejską rozporządzenie określa kilka kluczowych wymogów, jakie muszą spełniać instytucje finansowe działające na terenie UE. Wymagania te obejmują:

• Mapowanie i testowanie: Instytucje finansowe muszą mapować i testować swoje krytyczne usługi biznesowe, procesy i systemy informatyczne, aby identyfikować ryzyko operacyjne i zarządzać nim.

• Outsourcing: Instytucje finansowe muszą wdrożyć odpowiednie środki w celu zarządzania ryzykiem związanym z outsourcingiem krytycznych funkcji lub usług.

• Zgłaszanie incydentów: Instytucje finansowe mają obowiązek zgłaszać incydenty, które znacząco wpływają na ciągłość ich usług lub stwarzają zagrożenie dla systemu finansowego.

• Cyberbezpieczeństwo: Instytucje finansowe muszą przyjąć odpowiednie i skuteczne środki cyberbezpieczeństwa, aby zapobiegać zagrożeniom cybernetycznym i naruszeniom danych.

• Zarządzanie ryzykiem: Instytucje finansowe muszą ustanowić solidne ramy zarządzania ryzykiem, w pełni zintegrowane z ich ogólną strategią biznesową.

• Zarządzanie i nadzór: Instytucje finansowe muszą utrzymywać jasne granice odpowiedzialności i odpowiedzialności za odporność operacyjną, a zarząd jest odpowiedzialny za nadzorowanie odporności operacyjnej instytucji.

• Planowanie ciągłości działania: Instytucje finansowe muszą opracować kompleksowe i skuteczne plany ciągłości działania, aby zapewnić ciągłość kluczowych usług biznesowych w przypadku zakłóceń.

• Testowanie i szkolenia: Instytucje finansowe muszą regularnie testować i aktualizować swoje plany odporności operacyjnej oraz zapewniać pracownikom szkolenia, zapewniając gotowość do reagowania na zakłócenia operacyjne.

Oczekuje się, że DORA będzie miała znaczący wpływ na instytucje finansowe działające na terenie Unii Europejskiej (UE). Oto kilka sposobów, w jakie rozporządzenie może wpłynąć na te instytucje:

• Zwiększone koszty przestrzegania przepisów: Instytucje finansowe będą musiały inwestować w dodatkowe zasoby, procesy i systemy, aby spełnić nowe wymogi określone w rozporządzeniu, co może prowadzić do zwiększonych kosztów przestrzegania przepisów.

• Zwiększony nadzór regulacyjny: Rozporządzenie przyznaje organom nadzorczym zwiększone uprawnienia w zakresie monitorowania i oceny odporności operacyjnej instytucji finansowych, co skutkuje zwiększonym nadzorem regulacyjnym i potencjalnie częstszymi i bardziej rygorystycznymi badaniami regulacyjnymi.

• Zmiany w praktykach biznesowych: Instytucje finansowe mogą być zmuszone do zmodyfikowania swoich praktyk biznesowych, aby dostosować się do nowych wymogów określonych w rozporządzeniu. Na przykład może zaistnieć potrzeba przeglądu i aktualizacji ustaleń dotyczących outsourcingu, ulepszenia środków cyberbezpieczeństwa i ulepszenia planów ciągłości działania.

• Większy nacisk na zarządzanie ryzykiem: Rozporządzenie kładzie nacisk na zarządzanie ryzykiem i nakłada na instytucje finansowe obowiązek ustanowienia solidnych ram zarządzania ryzykiem, wymagając opracowania i wdrożenia bardziej rygorystycznych procesów i procedur zarządzania ryzykiem.

• Większa odporność operacyjna: Docelowo rozporządzenie ma na celu poprawę odporności operacyjnej instytucji finansowych. Spełniając wymagania, instytucje finansowe będą lepiej przygotowane do przeciwstawienia się zakłóceniom operacyjnym, takim jak cyberataki, awarie IT i inne zagrożenia, oraz do reagowania na nie.

Chociaż rozporządzenie DORA może stanowić wyzwanie dla instytucji finansowych, oczekuje się, że doprowadzi ono również do poprawy odporności operacyjnej, co ostatecznie przyniesie korzyści zarówno instytucjom, jak i ich klientom.

Instytucje finansowe mogą ponieść różne konsekwencje niestosowania się do regulacji, m.in.:

• Kary administracyjne: Instytucje finansowe mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 5% ich całkowitego rocznego obrotu, w zależności od tego, która wartość jest wyższa, za poważne naruszenia przepisów.

• Środki zaradcze: Organy nadzorcze mogą wymagać od instytucji finansowych podjęcia środków zaradczych w celu usunięcia wszelkich słabych punktów lub uchybień w zakresie ich odporności operacyjnej.

• Nagany publiczne: Organy nadzorcze mogą publicznie upominać instytucje finansowe, które nie spełniają wymogów rozporządzenia.

• Cofnięcie zezwolenia: Organy nadzorcze mogą cofnąć zezwolenie instytucjom finansowym, które wielokrotnie nie spełniają wymogów rozporządzenia.

• Odszkodowanie: Instytucje finansowe mogą być zobowiązane do zrekompensowania klientom lub osobom trzecim wszelkich szkód wynikających z nieprzestrzegania wymogów rozporządzenia.

Należy zauważyć, że dokładne kary za nieprzestrzeganie przepisów mogą się różnić w zależności od konkretnych okoliczności i wagi naruszenia.

Organy nadzorcze odgrywają kluczową rolę w egzekwowaniu przepisów DORA. Rozporządzenie sugeruje, że organy te, w tym właściwe organy krajowe i Europejski Urząd Nadzoru Bankowego (EUNB), będą nadzorować i zapewniać przestrzeganie wymogów rozporządzenia.

Do kluczowych obowiązków organów nadzorczych należy:

• Ocena odporności operacyjnej: Władze dokonają oceny odporności operacyjnej instytucji finansowych w swojej jurysdykcji, co obejmuje zbadanie planów odporności operacyjnej, mapowanie i testowanie kluczowych usług biznesowych, systemów informatycznych, procesów oraz przegląd ustaleń dotyczących outsourcingu.

• Przeprowadzanie kontroli na miejscu: Władze mogą przeprowadzać kontrole na miejscu w instytucjach finansowych w celu potwierdzenia zgodności z wymogami rozporządzenia. Inspekcje mogą dotyczyć konkretnych obszarów ryzyka lub obejmować całą organizację.

• Egzekwowanie kar: Władze mają prawo nakładać kary na instytucje finansowe, które nie spełniają wymogów rozporządzenia. Kary mogą obejmować grzywny administracyjne, działania zaradcze, nagany publiczne, a nawet cofnięcie zezwolenia.

• Zapewnianie wskazówek: Władze mogą oferować wytyczne i najlepsze praktyki, aby wesprzeć instytucje finansowe w przestrzeganiu wymogów rozporządzenia. Niniejsze wytyczne mogą obejmować zarządzanie ryzykiem, cyberbezpieczeństwo, planowanie ciągłości działania i inne aspekty odporności operacyjnej.

• Wspieranie koordynacji: rozporządzenie DORA podkreśla znaczenie koordynacji i współpracy między organami nadzorczymi na poziomie krajowym i europejskim. Władze będą odpowiedzialne za promowanie tej koordynacji i zapewnienie, że instytucje finansowe będą przestrzegać spójnych i zharmonizowanych praktyk nadzorczych w całej UE.

Rozporządzenie Digital Operational Resilience Act (DORA) i ogólne rozporządzenie o ochronie danych (RODO) to odrębne regulacje dotyczące różnych aspektów ochrony danych i cyberbezpieczeństwa w Unii Europejskiej. Niemniej jednak istnieją istotne sposoby, w jakie te dwa rozporządzenia się krzyżują.

Po pierwsze, zarówno DORA, jak i RODO kładą nacisk na ochronę danych osobowych i zapewnienie ich poufności, integralności i dostępności. Chociaż DORA skupia się przede wszystkim na odporności operacyjnej instytucji finansowych, nakłada na te instytucje również obowiązek ochrony danych klientów i przestrzegania przepisów o ochronie danych.

Po drugie, DORA i RODO nakładają na instytucje finansowe obowiązek przeprowadzania ocen ryzyka i wdrażania odpowiednich środków zarządzania ryzykiem w celu ochrony przed zagrożeniami cybernetycznymi i naruszeniami danych. DORA stawia instytucjom finansowym szczegółowe wymagania w zakresie identyfikacji i minimalizacji ryzyk operacyjnych, natomiast RODO nakłada na organizacje obowiązek oceny ryzyka dla danych osobowych i zastosowania odpowiednich środków technicznych i organizacyjnych w celu ich ochrony.

Wreszcie DORA i RODO nakładają znaczne kary za nieprzestrzeganie przepisów. Instytucjom finansowym, które nie spełnią wymogów DORA, grozi kara do 10 mln euro lub 5% ich całkowitego rocznego obrotu. Tymczasem RODO może nałożyć kary do 20 milionów euro lub 4% całkowitego rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa.

Instytucje finansowe podlegające obu rozporządzeniom muszą dokładnie sprawdzić swoje obowiązki wynikające z każdego rozporządzenia i zapewnić wdrożenie odpowiednich środków w celu zapewnienia zgodności z obydwoma rozporządzeniami.

Rozporządzenie DORA to kluczowe ustawodawstwo mające wpływ na zarządzanie ryzykiem operacyjnym, w tym zagrożeniami cybernetycznymi i naruszeniami danych, w organizacjach.

Oto podsumowanie najważniejszych punktów, które należy zrozumieć na temat DORA:

• Zakres: DORA ma zastosowanie do wszystkich instytucji finansowych w Unii Europejskiej, takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne.

• Cele: Rozporządzenie ma na celu zagwarantowanie odporności operacyjnej instytucji finansowych poprzez nałożenie na nie obowiązku identyfikowania ryzyka operacyjnego i zarządzania nim oraz przyjmowania środków mających na celu zapobieganie zagrożeniom cybernetycznym i naruszeniom danych oraz łagodzenie ich.

• Wymagania: DORA zobowiązuje instytucje finansowe do przeprowadzania regularnych ocen ryzyka, opracowywania planów ciągłości działania oraz testowania swoich systemów i procesów informatycznych w celu zapewnienia odporności na zagrożenia cybernetyczne i inne ryzyka operacyjne. Ponadto instytucje muszą chronić dane klientów i przestrzegać przepisów o ochronie danych.

• Nadzór: Właściwe organy krajowe i Europejski Urząd Nadzoru Bankowego (EUNB) będą nadzorować i egzekwować przestrzeganie rozporządzenia, co może obejmować kontrole na miejscu, wydawanie wytycznych i nakładanie kar za nieprzestrzeganie.

• Kary: Instytucje finansowe nieprzestrzegające przepisów mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 5% ich całkowitego rocznego obrotu.

Jako CISO lub CIO niezwykle ważne jest, aby Twoja organizacja wdrożyła odpowiednie środki w celu zapewnienia zgodności z DORA. Może to obejmować przegląd i aktualizację ram zarządzania ryzykiem, regularne testowanie i ocenę systemów i procesów IT oraz zapewnienie zgodności z przepisami o ochronie danych. Bycie na bieżąco z wytycznymi i najlepszymi praktykami wydanymi przez organy nadzorcze jest również niezbędne, aby mieć pewność, że Twoja organizacja wywiązuje się ze swoich obowiązków wynikających z rozporządzenia.

Oto lista kontrolna najważniejszych obszarów, które należy wziąć pod uwagę w celu zapewnienia zgodności z DORA:

• Zarządzanie ryzykiem: Przeprowadzaj regularne oceny ryzyka w celu identyfikacji ryzyka operacyjnego i zarządzania nim. Ustanów ramy zarządzania ryzykiem obejmujące zasady, procedury i kontrole mające na celu ograniczenie zidentyfikowanego ryzyka.

• Planowanie ciągłości działania: utwórz i utrzymuj kompleksowy plan ciągłości działania, szczegółowo określający reakcję organizacji na zakłócenia operacyjne, w tym zagrożenia cybernetyczne i naruszenia bezpieczeństwa danych.

• Testowanie IT i bezpieczeństwa: regularnie testuj swoje systemy IT i mechanizmy bezpieczeństwa, aby zapewnić odporność na zagrożenia cybernetyczne i inne ryzyka operacyjne. Może to obejmować testy penetracyjne, oceny podatności i audyty systemów informatycznych.

• Zarządzanie incydentami: Opracuj i utrzymuj plan zarządzania incydentami określający reakcję organizacji na incydenty operacyjne, w tym zagrożenia cybernetyczne i naruszenia bezpieczeństwa danych. Regularnie testuj i aktualizuj procedury reagowania na incydenty.

• Ochrona danych: Chroń dane klientów i przestrzegaj przepisów o ochronie danych, takich jak Ogólne rozporządzenie o ochronie danych (RODO). Wdrażaj odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych oraz przeprowadzaj regularne audyty w celu zapewnienia zgodności.

• Outsourcing: Poddawanie zewnętrznych dostawców usług i dostawców odpowiedniemu procesowi nadzoru i należytej staranności. Rozważ włączenie postanowień umownych wymagających od stron trzecich przestrzegania wymogów przepisów DORA.

• Raportowanie: Ustanów i utrzymuj odpowiednie mechanizmy raportowania w celu informowania władz zarządzających i nadzorczych Twojej organizacji o znaczących incydentach operacyjnych i ryzykach.

• Monitorowanie zgodności: Regularnie monitoruj zgodność z wymogami DORA, w tym poprzez samoocenę, audyty wewnętrzne i oceny ryzyka.

Zajmując się tymi kluczowymi obszarami, Twoja organizacja może podjąć kroki w celu zapewnienia zgodności z DORA i promowania odporności operacyjnej.

Rozporządzenie DORA kładzie nacisk na zarządzanie i ochronę danych, uznając kluczową rolę, jaką dane odgrywają w odporności operacyjnej sektora finansowego.

Rozporządzenie zawiera kilka kluczowych punktów związanych z danymi, a mianowicie:

• Zarządzanie danymi: Instytucje finansowe muszą ustanowić solidne ramy zarządzania danymi, aby zapewnić dokładność, kompletność i integralność swoich danych. Obejmuje to tworzenie struktur zarządzania danymi, procesów zapewniania jakości danych i dokumentacji pochodzenia danych.

• Udostępnianie danych: Instytucje finansowe potrzebują odpowiednich mechanizmów udostępniania danych właściwym organom, w tym Europejskiemu Urzędowi Nadzoru Bankowego (EUNB), krajowym organom nadzorczym i innym niezbędnym stronom trzecim.

• Outsourcing działań związanych z danymi: Instytucje finansowe muszą zapewnić, że ich ustalenia dotyczące outsourcingu działań związanych z danymi nie zagrażają odporności operacyjnej instytucji. Obejmuje to zagwarantowanie, że ustalenia dotyczące outsourcingu nie spowodują utraty kontroli nad danymi oraz że zostaną wprowadzone odpowiednie mechanizmy nadzoru.

• Cyberbezpieczeństwo: Instytucje finansowe mają obowiązek wdrożyć skuteczne środki cyberbezpieczeństwa w celu ochrony swoich danych przed zagrożeniami cybernetycznymi. Obejmuje to przyjęcie środków, takich jak kontrola dostępu, szyfrowanie i plany reagowania na incydenty.

• Wymogi w zakresie sprawozdawczości: Instytucje finansowe mają obowiązek zgłaszać właściwym organom, w tym EUNB, istotne incydenty mające wpływ na ich dane i systemy informatyczne, w ściśle określonych ramach czasowych.

Narzędzie do zarządzania prawami do informacji (IRM) może pomóc Twojej firmie zachować zgodność z kilkoma sekcjami rozporządzenia Digital Operational Resilience Act (DORA), w tym:

• Zarządzanie ryzykiem: Narzędzie IRM może pomóc Twojej organizacji w identyfikowaniu i zarządzaniu ryzykiem operacyjnym związanym z ochroną poufnych informacji. Narzędzie może zapewnić wgląd w to, kto ma dostęp do danych wrażliwych, w jaki sposób są one wykorzystywane oraz czy istnieją luki w stosowanych środkach ochrony danych.

• Ochrona danych: narzędzie może pomóc w klasyfikowaniu i oznaczaniu wrażliwych danych, egzekwowaniu kontroli dostępu i śledzeniu wykorzystania danych w celu zapewnienia zgodności z wymogami regulacyjnymi.

• Zarządzanie incydentami: narzędzie IRM może pomóc Twojej organizacji reagować na incydenty operacyjne, w tym naruszenia bezpieczeństwa danych. Narzędzie może wysyłać alerty w czasie rzeczywistym w przypadku prób nieautoryzowanego dostępu, co pozwala na podjęcie natychmiastowych działań minimalizujących ryzyko naruszenia bezpieczeństwa danych.

• Outsourcing: Narzędzie IRM może pomóc Twojej organizacji zapewnić, że zewnętrzni usługodawcy i dostawcy podlegają odpowiedniemu procesowi nadzoru i należytej staranności. Narzędzie może pomóc w egzekwowaniu wymogów ochrony danych i zapewnić, że osoby trzecie przestrzegają wymogów rozporządzenia DORA.

• Raportowanie: narzędzie IRM może dostarczyć szczegółowe raporty na temat wykorzystania danych, kontroli dostępu i zgodności z wymogami regulacyjnymi. Może to pomóc w spełnieniu obowiązków sprawozdawczych wynikających z rozporządzenia DORA i zapewnić organom nadzorczym informacje potrzebne do monitorowania zgodności.