Współczesny sektor finansowy jest nierozerwalnie związany z technologiami informacyjno-komunikacyjnymi. Dynamiczny rozwój cyfryzacji sprawia, że firmy finansowe coraz częściej muszą mierzyć się z zagrożeniami cybernetycznymi, które mogą zakłócać ich działalność. Rozporządzenie DORA, czyli Digital Operational Resilience Act, to odpowiedź Unii Europejskiej na te wyzwania. Celem regulacji jest wzmocnienie cyfrowej odporności operacyjnej instytucji finansowych oraz ujednolicenie zasad zarządzania ryzykiem ICT w całej UE. Przepisy te mają kluczowe znaczenie, ponieważ wprowadzają kompleksowe wymogi dotyczące zarządzania ryzykiem, testowania odporności oraz współpracy z dostawcami technologii. Kogo dokładnie dotyczą te regulacje i jakie obowiązki nakładają na sektor finansowy?
Czym jest rozporządzenie DORA i dlaczego jest tak ważne?
Rozporządzenie DORA to nowy akt prawny Unii Europejskiej, który ma na celu zwiększenie odporności operacyjnej podmiotów finansowych na incydenty związane z technologiami ICT. Regulacja ta została wprowadzona w ramach unijnych działań na rzecz cyberbezpieczeństwa i stabilności sektora finansowego.
W ostatnich latach liczba cyberataków na instytucje finansowe znacząco wzrosła. Ataki hakerskie, awarie systemów informatycznych czy błędy ludzkie mogą prowadzić do ogromnych strat finansowych i reputacyjnych. DORA wprowadza jednolite przepisy, które mają zapobiegać takim sytuacjom i zapewnić spójne podejście do zarządzania ryzykiem ICT.
Rozporządzenie nie tylko określa obowiązki w zakresie ochrony systemów teleinformatycznych, ale także ustanawia wspólne standardy dla wszystkich instytucji finansowych działających na terenie Unii Europejskiej. Dzięki temu przedsiębiorstwa finansowe będą musiały spełniać te same wymagania, niezależnie od kraju, w którym prowadzą działalność.
Warto podkreślić, że DORA nie ogranicza się wyłącznie do banków i instytucji kredytowych. Obejmuje także szeroki wachlarz innych podmiotów, takich jak dostawcy usług płatniczych, ubezpieczyciele, giełdy, firmy inwestycyjne czy dostawcy usług związanych z kryptoaktywami. To sprawia, że jest to jedna z najbardziej kompleksowych regulacji w zakresie odporności cyfrowej w historii Unii Europejskiej.
Zakres regulacji – kto podlega wymogom rozporządzenia DORA?
Rozporządzenie DORA ma szeroki zakres stosowania i obejmuje niemal wszystkie podmioty działające w sektorze finansowym oraz ich zewnętrznych dostawców usług ICT. Regulacja precyzyjnie wskazuje, które instytucje muszą dostosować swoje systemy i procedury do nowych wymogów.
Do podmiotów objętych DORA należą m.in.:
- Instytucje kredytowe – banki, firmy pożyczkowe oraz inne podmioty udzielające kredytów.
- Instytucje płatnicze – podmioty świadczące usługi płatnicze, w tym dostawcy portfeli elektronicznych i platform płatniczych.
- Dostawcy usług w zakresie kryptoaktywów – giełdy kryptowalutowe, dostawcy portfeli kryptowalutowych oraz emitenci tokenów powiązanych z aktywami.
- Firmy inwestycyjne i fundusze – zarządzający alternatywnymi funduszami inwestycyjnymi, spółki zarządzające funduszami inwestycyjnymi oraz depozytariusze.
- Zakłady ubezpieczeń i reasekuracji – w tym pośrednicy ubezpieczeniowi oraz dostawcy produktów ubezpieczeniowych.
- Agencje ratingowe oraz administratorzy kluczowych wskaźników referencyjnych – podmioty odpowiedzialne za ocenę zdolności kredytowej i analizy rynkowe.
- Zewnętrzni dostawcy usług ICT – firmy świadczące usługi chmurowe, przetwarzania danych, cyberbezpieczeństwa i infrastruktury IT dla sektora finansowego.
Rozporządzenie nie obejmuje jednak niektórych podmiotów, takich jak mikroprzedsiębiorstwa zajmujące się pośrednictwem ubezpieczeniowym oraz niektóre instytucje emerytalne. W przypadku mniejszych firm stosowana jest zasada proporcjonalności, co oznacza, że mogą one realizować uproszczone procedury zarządzania ryzykiem ICT.
Zakres regulacji sprawia, że DORA nie tylko zmienia sposób funkcjonowania banków i instytucji finansowych, ale także wpływa na cały ekosystem technologiczny, w tym na firmy dostarczające rozwiązania ICT. W praktyce oznacza to, że każdy podmiot korzystający z usług IT w sektorze finansowym powinien dokładnie przeanalizować swoje obowiązki wynikające z rozporządzenia i podjąć odpowiednie działania dostosowawcze.
Podstawowe wymogi i obowiązki wynikające z rozporządzenia DORA
Rozporządzenie DORA wprowadza szereg kluczowych wymagań, które mają na celu zwiększenie odporności cyfrowej sektora finansowego. Firmy i instytucje objęte regulacjami muszą wdrożyć nowe procedury i mechanizmy zarządzania ryzykiem związanym z technologiami ICT.
Do głównych wymogów wynikających z DORA należą:
- Zarządzanie ryzykiem ICT – każda instytucja finansowa musi wdrożyć ramy zarządzania ryzykiem ICT, które obejmują identyfikację, ocenę, kontrolę i raportowanie zagrożeń związanych z systemami informatycznymi. Organizacje są zobowiązane do regularnego monitorowania swoich systemów pod kątem luk bezpieczeństwa i wdrażania środków zapobiegawczych.
- Reagowanie na incydenty związane z ICT – rozporządzenie nakłada obowiązek prowadzenia rejestru incydentów cybernetycznych i stosowania procedur ich zgłaszania do właściwych organów nadzorczych. Wprowadza również wymóg szybkiego reagowania na cyberataki i inne zagrożenia IT.
- Testowanie odporności cyfrowej – instytucje finansowe muszą przeprowadzać regularne testy odporności operacyjnej, w tym testy penetracyjne, które pomogą wykryć potencjalne słabe punkty w ich systemach ICT. Niektóre organizacje, szczególnie te o dużym znaczeniu systemowym, będą zobowiązane do przeprowadzania zaawansowanych testów bezpieczeństwa co najmniej raz na trzy lata.
- Zarządzanie ryzykiem współpracy z dostawcami ICT – DORA wprowadza szczegółowe regulacje dotyczące umów z zewnętrznymi dostawcami usług ICT. Instytucje finansowe muszą dokonywać oceny ryzyka związanego z outsourcingiem oraz mieć strategię wyjścia na wypadek zakończenia współpracy z danym dostawcą. Wprowadzone zostają także mechanizmy nadzoru nad kluczowymi dostawcami infrastruktury teleinformatycznej.
- Wymiana informacji o zagrożeniach – instytucje finansowe oraz dostawcy ICT będą zobowiązani do dzielenia się informacjami o cyberzagrożeniach, co ma zwiększyć poziom bezpieczeństwa w całym ekosystemie finansowym.
Dodatkowo, DORA wymaga, aby zarządy podmiotów finansowych były aktywnie zaangażowane w procesy zarządzania ryzykiem ICT.
Jakie konsekwencje grożą za nieprzestrzeganie DORA?
Niedostosowanie się do wymogów rozporządzenia DORA może skutkować poważnymi sankcjami finansowymi oraz konsekwencjami operacyjnymi dla instytucji finansowych i dostawców usług ICT. Organy nadzoru finansowego zyskają nowe uprawnienia do monitorowania zgodności firm z przepisami i nakładania kar na podmioty, które nie spełniają wymagań regulacyjnych.
Możliwe sankcje obejmują:
- Kary finansowe – w przypadku poważnych naruszeń DORA, instytucje finansowe mogą zostać obciążone karami sięgającymi nawet 10% ich rocznego obrotu. Kary te mają na celu zmotywowanie firm do wdrożenia odpowiednich procedur w zakresie zarządzania ryzykiem ICT.
- Odpowiedzialność menedżerska – osoby zarządzające organizacjami mogą ponosić osobistą odpowiedzialność za naruszenie przepisów i brak wdrożenia adekwatnych mechanizmów bezpieczeństwa ICT. W skrajnych przypadkach mogą być one pociągnięte do odpowiedzialności dyscyplinarnej.
- Zawieszenie działalności lub ograniczenie operacji – organy nadzoru będą miały prawo do zawieszenia niektórych usług instytucji finansowych, jeśli uznają, że ich infrastruktura ICT stanowi zagrożenie dla stabilności finansowej.
- Dodatkowe kontrole i audyty – firmy, które nie spełniają wymogów DORA, mogą zostać objęte szczegółowymi audytami nadzorczymi, co wiąże się z dodatkowymi kosztami i koniecznością wdrażania działań naprawczych.
Dodatkowo, rozporządzenie przewiduje surowe konsekwencje dla kluczowych dostawców ICT współpracujących z sektorem finansowym. W przypadku naruszenia przepisów, dostawcy ci mogą zostać objęci karami w wysokości do 1% ich dziennego obrotu za każdy dzień niezgodności.
