Ustawa DORA – jak przygotować firmę na nowe regulacje?

Czym jest ustawa DORA i dlaczego jest ważna dla przedsiębiorstw?

DORA, czyli Digital Operational Resilience Act, to ustawa o cyfrowej odporności operacyjnej, której zadaniem jest ustanowienie ram w obszarach efektywnego zarządzania ryzykiem, możliwości operacyjnych ICT, cyberbezpieczeństwa i zarządzania zewnętrznymi dostawcami usług. Ustawa ma na celu zapewnienie stabilności oraz integralności unijnego systemu finansowego, przy uwzględnieniu całego łańcucha wartości.

DORA będzie wymagać od przedsiębiorców zwiększenia bezpieczeństwa cyfrowego, lepszego zarządzania ryzykiem ICT oraz relacjami z dostawcami, zapewnienia ciągłości operacyjnej i dostosowania do przyszłych wyzwań i zagrożeń, które wynikają z dynamicznie zmieniającego się środowiska cyfrowego.

Kogo dotyczy DORA?

Ustawa DORA ma zastosowanie do szerokiego spektrum podmiotów, w tym banków, firm inwestycyjnych, ubezpieczycieli, dostawców usług płatniczych oraz operatorów infrastruktury rynkowej.

Co istotne, DORA rozszerza swój zakres o innych interesariuszy z sektora finansowego, którzy dotychczas nie podlegali tak rozbudowanym regulacjom z zakresu bezpieczeństwa ICT. Mowa m.in. o dostawcach usług kryptoaktywów, pośrednikach zarządzających alternatywnymi funduszami inwestycyjnymi, dostawcach usług chmury obliczeniowej, a także dostawcach zewnętrznych usług ICT.

Najważniejsze daty DORA

• 16 stycznia 2023 roku – DORA została oficjalnie uchwalona i ustanowiona, jako akt prawny UE.
• 17 lipca 2024 roku – do tego dnia powinny zostać ostatecznie potwierdzone wymagania rozporządzenia DORA.
• 17 stycznia 2025 roku – do tego dnia wszystkie podmioty muszą być dostosowane do rozporządzenia DORA.

Najważniejsze wymagania ustawy DORA – co musisz wiedzieć?

DORA wprowadza wymogi:

• Zarządzania ryzykiem ICT – dla podmiotów finansowych, konfiguracji i utrzymywania odpornych systemów ICT, identyfikowania, klasyfikowanie i dokumentowania krytycznych funkcji i zasobów, monitorowanie ryzyka ICT i tworzenia środków ochrony, szybkiego wykrywania nietypowych działań, wdrażania strategii ciągłości działania i planów przywracania gotowości, przy corocznym ich testowaniu oraz ustanawianiu mechanizmów uczenia się, na podstawie wewnętrznych i zewnętrznych incydentów ICT.
• Zgłaszania incydentów ICT – dla podmiotów finansowych, opracowywania procesów rejestrowania i klasyfikowania incydentów ICT oraz identyfikowania poważnych incydentów, zgodnie z kryteriami i rozporządzeniami Europejskich Urzędów Nadzoru (EBA, EIOPA i ESMA), przedkładania wstępnych, śródokresowych i końcowych sprawozdań, dotyczących incydentów ICT oraz harmonizowania procesów zgłaszania incydentów za pomocą standardowych szablonów, opracowanych przez Europejskie Urzędy Nadzoru.
• Testów operacyjnej odporności cyfrowej – dla wszystkich podmiotów, corocznego przeprowadzania testów ICT w zakresie wykorzystywanych narzędzi i systemów, identyfikacji, mitygacji i niezwłocznego eliminowania słabych punktów oraz wdrażania środków zaradczych, okresowego przeprowadzania zaawansowanych testów penetracyjnych (TLPT) dla usług ICT, wpływających na funkcje krytyczne, przy czym zewnętrzni dostawcy usług ICT są zobowiązani do pełnej współpracy w działaniach testowych.
• Zarządzania ryzykiem ICT zewnętrznych dostawców usług – dla podmiotów finansowych, zapewniania monitoringu ryzyk, związanych z poleganiem na zewnętrznych dostawcach usług ICT, raportowania pełnego rejestru czynności zlecanych podmiotom zewnętrznym, w tym usług wewnątrzgrupowych i zmian w outsourcingu usług krytycznych, uwzględniania ryzyka koncentracji IT oraz ryzyk wynikających z podoutsourcingu, uspójnienia kluczowych elementów usług i relacji z zewnętrznymi dostawcami usług ICT dla pełnego monitoringu, zapewniania, aby umowy z zewnętrznymi dostawcami usług ICT zawierały szczegóły dotyczące monitoringu i dostępności oraz uwzględniania zaleceń Unijnych Urzędów Nadzoru, dotyczących mitygacji zidentyfikowanych ryzyk ICT związanych z dostawcami, którzy nie stosują się do określonych zaleceń.
• Udostępniania informacji – dla podmiotów finansowych, zawierania porozumień w celu wymiany informacji o zagrożeniach cybernetycznych. Organ nadzoru będzie dostarczał podmiotom finansowym zanonimizowane dane o cyberzagrożeniach. Podmioty powinny wdrożyć mechanizmy przeglądu i podejmowania działań na podstawie tych informacji.

Jakie są konsekwencje nieprzestrzegania ustawy DORA?

Nieprzestrzeganie przepisów ustawy DORA może nieść za sobą poważne konsekwencje dla instytucji finansowych i innych podmiotów objętych regulacją.

Kary finansowe – takie jak, grzywny za naruszenie przepisów przez Europejskie Urzędy Nadzoru (EBA, EIOPA, ESMA), które mają uprawnienia do nakładania kar finansowych, w przypadku stwierdzenia niezgodności z regulacjami. Oprócz grzywien, możliwe są również inne formy sankcji finansowych, które mogą znacząco obciążyć budżet podmiotu.

Kary administracyjne – takie jak, nakazy natychmiastowego wdrożenia środków naprawczych w celu usunięcia stwierdzonych niezgodności, wydane przez właściwe organy lub w skrajnych przypadkach, gdy naruszenie przepisów stanowi poważne zagrożenie dla stabilności finansowej, organy nadzoru będą mogły zawiesić działalność podmiotu do czasu spełnienia wymogów DORA.

Konsekwencje reputacyjne – nieprzestrzeganie DORA, może prowadzić do utraty zaufania klientów, inwestorów i partnerów biznesowych, co przełoży się na długoterminowy wpływ na reputację podmiotu.

Konsekwencje operacyjne – brak zgodności z przepisami DORA może prowadzić do poważnych zakłóceń w działalności operacyjnej, zwłaszcza w przypadku cyberataków, na które podmioty nie będą odpowiednio przygotowane. Ponadto, podmioty, które muszą nagle dostosować się do przepisów DORA, będą ponosić znacznie wyższe koszty operacyjne, wynikające z wdrożenia odpowiednich środków zaradczych.

Konsekwencje prawne – w przypadku poważnych naruszeń, podmioty mogą być objęte postępowaniami sądowymi, co może prowadzić do dodatkowych kar i zobowiązań prawnych, a członkowie zarządu i inne osoby, odpowiedzialne za zgodność z przepisami, mogą ponieść odpowiedzialność prawną za naruszenia przepisów DORA.

Jak przygotować firmę do wdrożenia przepisów ustawy DORA?

Wdrożenie przepisów ustawy DORA wymaga skrupulatnego planowania i strategii. Aby zapewnić zgodność z nowymi regulacjami, firmy muszą pokonać szereg wyzwań, takich jak interpretacja przepisów, integracja systemów, zarządzanie ryzykiem oraz szkolenie personelu.

Prezentujemy przykładowy działania, który pomoże firmom przygotować się do wdrożenia przepisów DORA:

• Interpretacja przepisów – zrozumienie zakresu i szczegółów technicznych DORA stanowi najważniejszy krok. Firmy powinny przeprowadzić seminaria i szkolenia, aby zapoznać pracowników z przepisami DORA, podjąć współpracę z ekspertami prawnymi, specjalizującymi się w regulacjach finansowych i technologicznych oraz powołać wewnętrzne zespoły odpowiedzialne za analizę i wdrożenie przepisów.
• Integracja systemu – integracja wymagań DORA z istniejącą infrastrukturą IT może być skomplikowana. Firmy powinny przeprowadzić audyt IT, aby ocenić obecne systemy i zidentyfikować luki w zgodności z DORA, wdrożyć rozwiązania technologiczne – zmodernizować systemy IT, aby spełniały wymagania DORA bez zakłócania bieżących operacji oraz regularnie testować nowe systemy, aby zapewnić ich zgodność z przepisami.
• Konsekwencje finansowe – koszty zapewnienia zgodności mogą być znaczące, szczególnie dla mniejszych firm, dlatego przedsiębiorstwa powinny przygotować budżet, uwzględniający koszty modernizacji systemów i bieżące wydatki na monitorowanie oraz rozważyć możliwości uzyskania dotacji lub wsparcia finansowego na dostosowanie do przepisów DORA.
• Zarządzanie ryzykiem stron trzecich – zapewnienie zgodności wśród dostawców usług ICT wymaga rygorystycznej oceny. Przedsiębiorcy powinni regularnie oceniać dostawców usług ICT pod kątem zgodności z DORA oraz wprowadzać zmiany w umowach z dostawcami, aby zapewnić zgodność z przepisami.
• Regularne testowanie i raportowanie – zgodnie z wymogami DORA, firmy muszą ustanowić solidne procesy testowania odporności i raportowania incydentów. W tym celu przyda się harmonogram regularnych testów penetracyjnych i oceny odporności systemów ICT oraz wdrożenie systemów do monitorowania i raportowania incydentów, zgodnie z wymaganiami DORA.
• Dostosowanie do zagrożeń cybernetycznych – firmy muszą dynamicznie dostosowywać środki bezpieczeństwa do zmieniających się zagrożeń, dlatego należy korzystać z narzędzi do monitorowania zagrożeń cybernetycznych w czasie rzeczywistym i regularnie aktualizować strategie bezpieczeństwa w odpowiedzi na nowe zagrożenia.

Jak DORA wpłynie na zewnętrznych dostawców usług?

Dostawcy zewnętrzni, oferujący usługi ICT instytucjom finansowym będą podlegać wzmożonej kontroli i nadzorowi regulacyjnemu w ramach DORA. Muszą zapewnić zgodność swoich usług ze standardami DORA, ponieważ instytucje finansowe odpowiadają za przestrzeganie przepisów przez zewnętrznych dostawców.

Nieprzestrzeganie przepisów przez dostawców wykluczy współpracę z instytucjami finansowymi. Wzrosną oczekiwania dotyczące silniejszych protokołów bezpieczeństwa, uwierzytelniania i reagowania na incydenty.

Istniejące umowy mogą wymagać zmian, aby uwzględnić klauzule zgodności DORA. Instytucje finansowe będą musiały zweryfikować zgodność dostawców, co może obejmować audyty i certyfikaty.

Proaktywne spełnianie wymogów DORA może otworzyć nowe możliwości biznesowe dla dostawców, ze względu na to, iż podmioty finansowe będą szukać bezpiecznych i zgodnych z DORA usług ICT.

DORA w systemie V-Desk

Wśród użytkowników systemu V-Desk nie brakuje instytucji finansowych, które muszą być gotowe na nowy obowiązek wynikający z regulacji DORA. Dzięki bieżącym rozmowom z takimi kontrahentami jak SGB Bank, VELO Bank, Warta czy Uniqa, system V-Desk jest przygotowany na jego nadejście.

Wystarczy skontaktować się z naszymi ekspertami, którzy pomogą w uporządkowaniu wszelkich informacji na temat ustawy DORA. Warto nie zwlekać z rozpoczęciem kontaktu, bo nowy obowiązek wchodzi w życie 17 stycznia 2025. A pół roku to naprawdę niewiele czasu.