Czym jest DORA?

DORA to akt prawny przyjęty przez Unię Europejską, który tworzy jednolite ramy dotyczące zarządzania ryzykiem ICT w sektorze finansowym. Rozporządzenie to obejmuje zarówno tradycyjne instytucje finansowe, jak banki, firmy ubezpieczeniowe czy giełdy, jak i dostawców usług ICT, takich jak chmury obliczeniowe czy dostawcy oprogramowania.

Główne cele DORA to:

• Zwiększenie odporności operacyjnej sektora finansowego na cyberzagrożenia.
• Wprowadzenie jednolitych standardów w zarządzaniu ryzykiem ICT.
• Wzmocnienie nadzoru nad dostawcami usług ICT, którzy współpracują z instytucjami finansowymi.

Zakres stosowania DORA

DORA dotyczy szerokiego spektrum podmiotów działających w sektorze finansowym, w tym:

• Banków,
• Firm inwestycyjnych,
• Ubezpieczycieli,
• Funduszy inwestycyjnych,
• Giełd papierów wartościowych,
• Dostawców usług płatniczych,
• Dostawców usług ICT (np. chmur obliczeniowych, oprogramowania, analizy danych).

Kluczowe wymagania Rozporządzenia DORA

1. Zarządzanie ryzykiem ICT Instytucje finansowe muszą wdrożyć systemy i procedury identyfikacji, monitorowania i zarządzania ryzykiem ICT. Wymaga się również regularnych ocen ryzyka oraz tworzenia planów zapobiegania awariom i cyberatakom.

2. Monitoring incydentów i raportowanie Organizacje muszą na bieżąco monitorować incydenty związane z ICT i zgłaszać je do odpowiednich organów nadzoru. Celem jest zwiększenie przejrzystości i szybsze reagowanie na zagrożenia.

3. Testowanie odporności Instytucje są zobowiązane do regularnego testowania swojej infrastruktury cyfrowej, w tym przeprowadzania testów penetracyjnych, aby ocenić jej odporność na cyberataki.

4. Zarządzanie relacjami z dostawcami ICT DORA wprowadza zasady dotyczące współpracy z zewnętrznymi dostawcami usług ICT. Organizacje muszą monitorować i kontrolować ryzyko wynikające z outsourcingu technologii.

5. Wzmocnienie nadzoru Organy nadzoru sektora finansowego uzyskują większe uprawnienia w monitorowaniu zgodności instytucji z wymaganiami DORA, w tym nadzorowaniu dostawców ICT.

Korzyści wynikające z DORA

1. Zwiększenie bezpieczeństwa DORA zmniejsza ryzyko wystąpienia incydentów związanych z ICT, co zwiększa stabilność sektora finansowego.

2. Harmonizacja przepisów Rozporządzenie wprowadza jednolite standardy na terenie całej UE, co ułatwia współpracę między instytucjami i dostawcami.

3. Zaufanie klientów Wdrożenie wysokich standardów bezpieczeństwa zwiększa zaufanie klientów do instytucji finansowych.

Kiedy DORA wchodzi w życie?

Rozporządzenie DORA zostało przyjęte w 2022 roku i przewiduje okres przejściowy na wdrożenie przepisów. Od stycznia 2025 roku wszystkie podmioty objęte regulacją muszą być w pełni zgodne z wymaganiami DORA.

Rozporządzenie DORA to ważny krok w kierunku zwiększenia odporności cyfrowej sektora finansowego w Europie. Dzięki jednolitym zasadom zarządzania ryzykiem ICT, instytucje finansowe będą lepiej przygotowane na wyzwania związane z cyberbezpieczeństwem, a klienci mogą liczyć na większe bezpieczeństwo swoich środków i danych. DORA stanowi fundament budowy nowoczesnego, stabilnego i bezpiecznego ekosystemu finansowego w erze cyfrowej.

Foto: Pexels, treść: materiał partnera