Nowe wyzwania dla instytucji finansowych: DORA wchodzi w życie w 2025 roku

Czy instytucje finansowe są gotowe na styczniowe zmiany związane z rozporządzeniem DORA? Wraz z nadejściem nowego roku, branża będzie musiała dostosować swoje struktury do skomplikowanych przepisów UE dotyczących odporności operacyjnej. Oto, co to oznacza i dlaczego każda organizacja powinna zacząć przygotowania już teraz.

Czym jest DORA?

DORA (Digital Operational Resilience Act) to regulacja unijna, której celem jest wzmocnienie odporności operacyjnej instytucji finansowych oraz dostawców ICT na zagrożenia cybernetyczne. Na mocy tego rozporządzenia, wszystkie podmioty objęte przepisami będą zobowiązane do zarządzania ryzykiem operacyjnym i cybernetycznym w bardziej ustrukturyzowany sposób. Wejdzie ono w życie w styczniu 2025 roku, co oznacza, że czas na dostosowanie się jest ograniczony.

DORA dotyczy nie tylko banków, ubezpieczycieli i innych instytucji finansowych, ale także firm dostarczających im usługi ICT. Każda z tych organizacji będzie musiała wprowadzić odpowiednie strategie, polityki oraz procedury dotyczące ryzyka, w tym także w odniesieniu do współpracy z zewnętrznymi dostawcami technologii.

Dlaczego to takie ważne?

Wdrożenie DORA ma na celu zwiększenie odporności sektora finansowego na zagrożenia związane z cyberatakami. Coraz więcej instytucji pada ofiarą takich incydentów, a ich skutki mogą być dotkliwe zarówno dla klientów, jak i całego systemu finansowego. DORA stawia na prewencję, wymagając od firm wdrożenia bardziej zaawansowanych mechanizmów monitorowania, audytów oraz zarządzania umowami z dostawcami ICT.

Warto podkreślić, że regulacja obejmuje również zarządzanie ryzykiem związanym z pracą podwykonawców, co oznacza, że organizacje będą musiały śledzić nie tylko własne procesy, ale również te realizowane przez swoich dostawców. Kluczowym elementem jest także automatyzacja procesów, co może przyczynić się do oszczędności – według szacunków, wdrożenie odpowiednich narzędzi może zmniejszyć koszty o 59% i skrócić czas realizacji o 66%.

Wytyczne dla instytucji

Jak wynika z informacji prasowej, organizacje muszą dostosować swoje ramy zarządzania ryzykiem do stycznia 2025 roku. Zmiana obejmuje:

• Rejestr umów z dostawcami ICT: obowiązek jego prowadzenia, zawierający informacje dotyczące każdego kontraktu.
• Umowy zgodne z DORA: każdy kontrakt z dostawcą technologii musi spełniać konkretne wymogi dotyczące świadczenia usług, monitorowania i audytów, a także współpracy z organami regulacyjnymi.
• Automatyzacja procesów: wdrożenie odpowiednich narzędzi może znacząco obniżyć koszty i czas potrzebny na zarządzanie ryzykiem.

Problemy i wyzwania

Wdrażanie rozporządzenia to nie tylko wyzwanie technologiczne, ale także zmiana mentalności w zarządzaniu ryzykiem. Organizacje będą musiały inwestować w zaawansowane narzędzia ICT, co może być problematyczne, zwłaszcza dla mniejszych graczy. Co więcej, brak odpowiednich źródeł wiedzy na temat DORA stanowi dodatkową trudność. Jak podkreśla Mikołaj Otmianowski, wiceprezes DAPR, „DORA jest jedną z najbardziej złożonych regulacji, jakie w ostatnich latach powstały w UE. Na rynku brakuje rzetelnych informacji na temat jej wdrożenia w praktyce.”

Eksperci z DAPR stworzyli więc obszerne kompendium wiedzy, które ma pomóc firmom w skutecznym wdrożeniu nowych przepisów. Na blogu redintogreen.pl można znaleźć m.in. poradniki dotyczące umów z dostawcami ICT, a także wskazówki, jak prowadzić rejestr zgodny z DORA i jak efektywnie zarządzać budżetem na wdrażanie mechanizmów zarządzania ryzykiem.

Porady dotyczące wdrażania DORA

DORA to regulacja, która zrewolucjonizuje sposób, w jaki instytucje finansowe zarządzają ryzykiem, dlatego odpowiednie przygotowanie już teraz może pomóc w uniknięciu problemów w przyszłości. Dla instytucji finansowych i dostawców technologii czas na dostosowanie się do nowych przepisów powoli się kurczy, dlatego eksperci zalecają rozpoczęcie prac nad wdrożeniem DORA już teraz, aby uniknąć problemów i opóźnień.

Kluczowe kroki, które warto podjąć:

• Przeprowadzenie analizy ryzyka: Zidentyfikuj największe zagrożenia dla operacyjnej działalności firmy i obszary wymagające poprawy.

• Wdrożenie narzędzi ICT: Zainstaluj odpowiednie systemy oraz zintegruj je z procesami biznesowymi, aby zwiększyć efektywność zarządzania ryzykiem.

• Prowadzenie rejestru umów z dostawcami ICT: Upewnij się, że dokumenty spełniają wymogi DORA i są zgodne z regulacjami.

• Wdrożenie automatyzacji: Użyj narzędzi do śledzenia i monitorowania procesów w czasie rzeczywistym.

• Zarządzanie umowami z dostawcami: Sprawdź, czy wszystkie kontrakty są zgodne z wymaganiami DORA.

• Edukacja pracowników: Przeszkol zespół w zakresie nowych regulacji, aby byli świadomi wpływu zmian na codzienną pracę.

Foto: Freepik