DORA

Przegląd

Rozporządzenie o cyfrowej odporności operacyjnej (DORA) ustanawia jednolite wymagania dotyczące bezpieczeństwa i odporności systemów sieciowych i informatycznych wspierających procesy biznesowe podmiotów finansowych. Tworzy również ramy nadzoru nad krytycznymi dostawcami usług ICT zewnętrznych.^[1]

DORA jest rozporządzeniem, co oznacza, że obowiązuje bezpośrednio we wszystkich państwach członkowskich UE bez konieczności transpozycji.

Podmioty objęte zakresem

Podmioty finansowe^[2]

• Instytucje kredytowe (banki)
• Instytucje płatnicze
• Instytucje pieniądza elektronicznego
• Firmy inwestycyjne
• Zakłady ubezpieczeń i reasekuracji
• Centralne depozyty papierów wartościowych
• Rejestry transakcji
• Agencje ratingowe
• Dostawcy usług związanych z aktywami kryptograficznymi
• Dostawcy usług crowdfundingowych
• Dostawcy usług raportowania danych

Krytyczni dostawcy ICT zewnętrzni

Europejskie organy nadzoru wyznaczają krytycznych dostawców usług ICT na podstawie:

• Systemowego wpływu w przypadku awarii dostawcy
• Stopnia zastępowalności
• Liczby podmiotów finansowych korzystających z usług dostawcy

Wyznaczeni dostawcy podlegają ramom nadzoru UE.

Pięć filarów DORA

1. Zarządzanie ryzykiem ICT (Rozdział II)

Podmioty finansowe muszą ustanowić i utrzymywać:

• Ład korporacyjny: Odpowiedzialność zarządu za strategię ryzyka ICT
• Ramę ryzyka: Identyfikacja, ochrona, wykrywanie, reagowanie, odzyskiwanie
• Dokumentację: Polityki, procedury i protokoły dotyczące bezpieczeństwa ICT
• Testowanie: Regularna ocena systemów i narzędzi ICT

2. Raportowanie incydentów ICT (Rozdział III)^[3]

Poważne incydenty związane z ICT muszą być zgłaszane za pomocą ustandaryzowanych szablonów.

3. Testowanie cyfrowej odporności operacyjnej (Rozdział IV)

Testowanie musi obejmować: oceny podatności, oceny bezpieczeństwa sieci, przeglądy bezpieczeństwa oprogramowania, przeglądy kodu źródłowego (jeśli możliwe), testy scenariuszowe oraz testy kompatybilności.

4. Zarządzanie ryzykiem stron trzecich (Rozdział V)^[4]

Podmioty finansowe muszą:

• Utrzymywać rejestr wszystkich umów ICT z podmiotami trzecimi
• Przeprowadzać due diligence przed zawarciem umowy
• Ocenić ryzyko koncentracji
• Uwzględniać obowiązkowe postanowienia umowne
• Definiować strategie wyjścia
• Raportować umowy do właściwych organów

Obowiązkowe warunki umowne obejmują opisy poziomu usług, obowiązki ochrony danych, prawa dostępu i audytu, wymogi raportowania incydentów oraz prawa do rozwiązania umowy z zapewnieniem wsparcia w przejściu.

5. Wymiana informacji (Rozdział VI)

Podmioty finansowe mogą wymieniać się informacjami o zagrożeniach cybernetycznych w ramach zaufanych społeczności, z zachowaniem zasad poufności, w celu wzmocnienia wspólnej obrony.

Proporcjonalność

DORA stosuje zasadę proporcjonalności w oparciu o wielkość i profil ryzyka podmiotu, charakter, skalę i złożoność usług oraz znaczenie systemowe.

Uproszczone wymagania dotyczą małych i niepowiązanych firm inwestycyjnych, instytucji płatniczych i pieniądza elektronicznego poniżej określonych progów oraz niektórych pośredników ubezpieczeniowych.

Kary

Właściwe organy mogą nakładać:^[5]

• Grzywny administracyjne
• Okresowe kary pieniężne
• Oświadczenia publiczne
• Wycofanie zezwolenia
• Tymczasowe zakazy pełnienia funkcji zarządczych

Konkretnie kwoty określane są przez prawo państw członkowskich.

Implikacje dla deweloperów i dostawców ICT

Jeśli świadczysz usługi ICT dla sektora finansowego:

1. Przegląd umów: Upewnij się, że umowy spełniają wymagania DORA
2. Raportowanie incydentów: Ustanów kanały raportowania dla klientów
3. Wsparcie testów: Ułatw klientom przeprowadzanie testów penetracyjnych
4. Planowanie wyjścia: Zapewnij możliwość uporządkowanego przejścia w przypadku zakończenia umów
5. Świadomość koncentracji: Monitoruj zależności od twoich usług
6. Wyznaczenie krytyczne: Przygotuj się na potencjalny nadzór UE