Capitole 10 În vigoare: 17 ianuarie 2025

DORA

Legea privind Reziliența Operațională Digitală

Prezentare generală

Legea privind Reziliența Operațională Digitală (DORA) stabilește cerințe uniforme pentru securitatea și reziliența sistemelor de rețea și informații care susțin procesele de afaceri ale entităților financiare. De asemenea, creează un cadru pentru supravegherea furnizorilor critici terți de servicii TIC.[1]

DORA este un regulament, ceea ce înseamnă că se aplică direct în toate statele membre ale UE fără transpunere.

Entități vizate

Entități financiare[2]

  • Instituții de credit (bănci)
  • Instituții de plată
  • Instituții de monedă electronică
  • Societăți de investiții
  • Societăți de asigurare și reasigurare
  • Depozitari centrali de valori mobiliare
  • Depozitare de tranzacții
  • Agenții de rating de credit
  • Furnizori de servicii pentru cripto-active
  • Furnizori de servicii de crowdfunding
  • Furnizori de servicii de raportare a datelor

Furnizori critici terți de servicii TIC

Autoritățile europene de supraveghere desemnează furnizorii critici de servicii TIC pe baza:

  • Impactului sistemic în cazul eșecului furnizorului
  • Gradului de substituibilitate
  • Numărului de entități financiare care depind de furnizor

Furnizorii desemnați sunt supuși cadrului de supraveghere al UE.

Cinci piloni ai DORA

1. Gestionarea riscurilor TIC (Capitolul II)

Entitățile financiare trebuie să stabilească și să mențină:

  • Guvernanță: Responsabilitatea consiliului pentru strategia de risc TIC
  • Cadrul de risc: Identificare, protecție, detectare, răspuns, recuperare
  • Documentație: Politici, proceduri și protocoale pentru securitatea TIC
  • Testare: Evaluare regulată a sistemelor și instrumentelor TIC

2. Raportarea incidentelor TIC (Capitolul III)[3]

CerințăDetalii
ClasificareCriterii armonizate pentru severitatea incidentului
Notificare inițialăCătre autoritatea competentă în termen de 4 ore de la clasificare
Raport intermediarÎn termen de 72 de ore cu actualizări
Raport finalÎn termen de 1 lună de la rezolvare
Raportare voluntarăAmenințările cibernetice semnificative pot fi raportate

Incidentele majore legate de TIC trebuie raportate folosind șabloane standardizate.

3. Testarea rezilienței operaționale digitale (Capitolul IV)

Tip entitateCerință de testare
Toate entitățileProgram anual de testare TIC
Entități semnificativeTestare de penetrare condusă de amenințări (TLPT) la fiecare 3 ani
Furnizori critici TICPot participa la TLPT în comun

Testarea trebuie să acopere: evaluări de vulnerabilitate, evaluări de securitate a rețelei, revizuiri de securitate software, revizuiri de cod sursă (acolo unde este fezabil), testare bazată pe scenarii și testare de compatibilitate.

4. Gestionarea riscurilor terților (Capitolul V)[4]

Entitățile financiare trebuie să:

  • Mențină un registru al tuturor aranjamentelor terțe TIC
  • Efectueze diligența necesară înainte de contractare
  • Evalueze riscurile de concentrare
  • Include prevederi contractuale obligatorii
  • Defină strategii de ieșire
  • Raporteze aranjamentele autorităților competente

Termenii contractuali obligatorii includ descrieri ale nivelului serviciilor, obligații privind protecția datelor, drepturi de acces și audit, cerințe de raportare a incidentelor și drepturi de reziliere cu suport pentru tranziție.

5. Schimbul de informații (Capitolul VI)

Entitățile financiare pot face schimb de informații despre amenințările cibernetice în cadrul comunităților de încredere, sub rezerva regulilor de confidențialitate, pentru a spori apărarea colectivă.

Proporționalitate

DORA aplică proporționalitatea în funcție de dimensiunea și profilul de risc al entității, natura, amploarea și complexitatea serviciilor și importanța sistemică.

Cerințe simplificate se aplică firmelor mici și neinterconectate de investiții, instituțiilor de plată și monedă electronică sub anumite praguri și anumitor intermediari de asigurări.

Sancțiuni

Autoritățile competente pot impune:[5]

  • Amenzi administrative
  • Plăți periodice de penalizare
  • Declarații publice
  • Retragerea autorizației
  • Interdicții temporare pentru funcții de conducere

Sumele specifice sunt determinate de legislația statului membru.

Implicații pentru dezvoltatori și furnizori TIC

Dacă furnizați servicii TIC sectorului financiar:

  1. Revizuirea contractelor: Asigurați-vă că contractele respectă cerințele DORA
  2. Raportarea incidentelor: Stabiliți canale de raportare către clienți
  3. Sprijin pentru testare: Facilitați testarea de penetrare a clienților
  4. Planificarea ieșirii: Permiteți o tranziție ordonată în cazul încetării contractelor
  5. Conștientizarea concentrării: Monitorizați dependențele de serviciile dvs.
  6. Desemnare critică: Pregătiți-vă pentru supravegherea potențială a UE

Surse și referințe

[1]
Regulamentul (UE) 2022/2554 privind reziliența operațională digitală pentru sectorul financiar. EUR-Lex: Textul oficial DORA
[2]
Articolul 2 din DORA: Domeniu de aplicare. Portal DORA: Articolul 2
[3]
Articolele 17-23 din DORA: Raportarea incidentelor legate de TIC. Portal DORA: Raportarea incidentelor
[4]
Articolele 28-44 din DORA: Gestionarea riscurilor terților. Portal DORA: Riscul terților
[5]
Articolul 50 din DORA: Sancțiuni administrative și măsuri remediale. Portal DORA: Sancțiuni