Rozporządzenie DORA, czyli Digital Operational Resilience Act, stanowi ważny krok w kierunku zwiększenia cyberbezpieczeństwa w sektorze finansowym Unii Europejskiej.
Jest to regulacja, która weszła w życie 16 stycznia 2023 roku i będzie stosowana od 17 stycznia 2025 roku.
DORA – co to jest?
Celem DORA jest wzmocnienie bezpieczeństwa IT podmiotów finansowych, takich jak banki, firmy ubezpieczeniowe i firmy inwestycyjne, oraz zapewnienie, że sektor finansowy w Europie pozostanie odporny w przypadku poważnych zakłóceń operacyjnych.
DORA wprowadza harmonizację przepisów dotyczących odporności operacyjnej dla sektora finansowego, obejmując 20 różnych typów podmiotów finansowych i dostawców usług ICT trzeciej strony.
Rrozporządzenie DORA
Rozporządzenie wprowadza bardzo konkretne i szczegółowe wymagania, które będą jednolite we wszystkich państwach członkowskich UE. Obejmuje one zarządzanie ryzykiem ICT i cybernetycznym, przeprowadzanie testów odporności, raportowanie i reagowanie na incydenty cybernetyczne oraz rozwijanie procesów wymiany informacji o zagrożeniach cybernetycznych.
Podstawowe aspekty DORA obejmują:
- Zarządzanie ryzykiem ICT: Wymaga od zarządu opracowania i zatwierdzenia strategii cyfrowej odporności operacyjnej (Digital Operational Resilience Strategy – DORS), a także wprowadzenia polityk ochrony poufności, integralności i dostępności danych.
- Raportowanie incydentów ICT: Instytucje finansowe będą musiały zgłaszać jedynie poważne incydenty ICT, a także przygotowywać się do przedstawienia raportu z przeglądu ram zarządzania ryzykiem ICT.
- Testowanie cyfrowej odporności operacyjnej: Wymaga od podmiotów finansowych przeprowadzania testów penetracyjnych opartych na zagrożeniach co najmniej co trzy lata.
- Zarządzanie ryzykiem związanym z dostawcami usług ICT trzeciej strony: DORA wprowadza ramy nadzoru dla krytycznych dostawców usług ICT trzeciej strony.
Ponad 22 000 instytucji finansowych i dostawców usług ICT z siedzibą w UE będzie podlegać DORA, w tym banki, firmy inwestycyjne, firmy ubezpieczeniowe i pośrednicy, dostawcy usług raportowania danych, dostawcy usług chmurowych i inne.
DORA stanowi odpowiedź na rosnącą zależność sektora finansowego od technologii i firm technologicznych w dostarczaniu usług finansowych, co czyni podmioty finansowe podatnymi na ataki cybernetyczne i incydenty. Nieodpowiednie zarządzanie ryzykiem ICT może prowadzić do zakłóceń w świadczeniu usług finansowych na poziomie transgranicznym, co może mieć wpływ na inne firmy, sektory, a nawet na całą gospodarkę
