bg
Chcę wiedzieć o...
Strona główna
Artykuły
Rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego (DORA)

Rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego (DORA)

Dodano: 2022-06-30

Prezydencja Rady Unii Europejskiej i Parlamentu Europejskiego osiągnęły wstępne porozumienie w sprawie treści DORA (Digital Operational Resilience Act – Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego).

DORA ma na celu stworzenie wspólnych wymogów dotyczących bezpieczeństwa wykorzystania technologii informatycznej (ICT) przez podmioty finansowe (m.in. banki i ubezpieczycieli). Obecne obowiązki z tym związane są rozproszone w różnych aktach prawnych, niewystarczające i wymagają harmonizacji. Komisja przedstawiła wniosek zawierający projekt DORA we wrześniu 2020 r. W grudniu ubiegłego roku rozpoczęło się pierwsze czytanie projektu w Parlamencie Europejskim.

DORA przewiduje obowiązki w zakresie stworzenia wewnętrznych procedur i polityk, celem efektywnego wewnętrznego (tzn. przez sam podmiot finansowy) zarządzania ryzykiem, w tym przeprowadzania audytów ICT, odzyskiwania danych oraz raportowania o incydentach ICT. Rozporządzenie przewiduje też obowiązek corocznego przeprowadzania szeregu testów cyfrowej odporności. Jednocześnie podmioty otrzymują nowe narzędzie do realizacji obowiązków – możliwość współdzielenia ze sobą informacji o incydentach.

Oprócz zarządzania ryzykiem wewnętrznym, DORA kładzie nacisk na zarządzanie ryzykiem zewnętrznym, dotyczącym dostawców usług IT – ma przewidywać wymogi co do kształtu zobowiązań umownych stron, standardów ochrony, które mają zapewniać dostawcy, jak również prowadzenie rejestru zawartych umów i raportowanie o nich do organu nadzoru. Podmioty będą musiały też klasyfikować czy czynności objęte outsourcingiem IT mają dla nich charakter kluczowy. Oczywiście DORA obejmować ma więc także outsourcing chmurowy. DORA stworzy również nowe ramy organizacyjne dla krajowych i unijnych organów nadzoru.

DORA obejmuje bardzo szeroki zakres działalności podmiotów finansowych, bo związany z IT, który częściowo już jest regulowany przez różnego rodzaju rekomendacje unijnych i krajowych organów nadzoru (m.in. dotyczący outosurcingu chmurowego), dlatego interesująca pozostaje relacja między wszystkimi wydanymi dokumentami. Można jednak zakładać, że w im większym stopniu dany podmiot spełnia już obecne wymagania, tym mniej zmian będzie on musiał czynić celem dostosowania się do DORA, które jednak bazuje na istniejących już rozwiązaniach. Tymczasem europejskie organy nadzoru pracują nad stworzeniem konkretnych standardów technicznych w zakresie bezpieczeństwa. Dopiero wówczas możliwa i konieczna będzie weryfikacja zgodności z nimi stosowanych już przez podmioty finansowe rozwiązań.

Materiał Partnera beinsured.pl:

Artykuły powiązane

Kierowca odpowiada za wypadek, mimo że pieszy był pijany – decyzja Sądu Najwyższego

Sąd Najwyższy wydał niedawno wyrok (sygn. II CSKP 2286/22), w którym potwierdził odpowiedzialność kierowcy za potrąc...

Rosnące zainteresowanie prywatnymi ubezpieczeniami zdrowotnymi – podsumowanie roku 2024

W 2024 roku Polacy wydali na prywatne ubezpieczenia zdrowotne aż 2,3 miliarda złotych, co oznacza wzrost o 35,3% w p...

939 miliardów złotych w ubezpieczeniach – przedsiębiorcy szukają ochrony przed ryzykiem

W 2024 roku polskie firmy ubezpieczyły swoje obroty handlowe na kwotę przekraczającą 939 miliardów złotych. Choć przych...