Prezydencja Rady Unii Europejskiej i Parlamentu Europejskiego osiągnęły wstępne porozumienie w sprawie treści DORA (Digital Operational Resilience Act – Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego).
DORA ma na celu stworzenie wspólnych wymogów dotyczących bezpieczeństwa wykorzystania technologii informatycznej (ICT) przez podmioty finansowe (m.in. banki i ubezpieczycieli). Obecne obowiązki z tym związane są rozproszone w różnych aktach prawnych, niewystarczające i wymagają harmonizacji. Komisja przedstawiła wniosek zawierający projekt DORA we wrześniu 2020 r. W grudniu ubiegłego roku rozpoczęło się pierwsze czytanie projektu w Parlamencie Europejskim.
DORA przewiduje obowiązki w zakresie stworzenia wewnętrznych procedur i polityk, celem efektywnego wewnętrznego (tzn. przez sam podmiot finansowy) zarządzania ryzykiem, w tym przeprowadzania audytów ICT, odzyskiwania danych oraz raportowania o incydentach ICT. Rozporządzenie przewiduje też obowiązek corocznego przeprowadzania szeregu testów cyfrowej odporności. Jednocześnie podmioty otrzymują nowe narzędzie do realizacji obowiązków – możliwość współdzielenia ze sobą informacji o incydentach.
Oprócz zarządzania ryzykiem wewnętrznym, DORA kładzie nacisk na zarządzanie ryzykiem zewnętrznym, dotyczącym dostawców usług IT – ma przewidywać wymogi co do kształtu zobowiązań umownych stron, standardów ochrony, które mają zapewniać dostawcy, jak również prowadzenie rejestru zawartych umów i raportowanie o nich do organu nadzoru. Podmioty będą musiały też klasyfikować czy czynności objęte outsourcingiem IT mają dla nich charakter kluczowy. Oczywiście DORA obejmować ma więc także outsourcing chmurowy. DORA stworzy również nowe ramy organizacyjne dla krajowych i unijnych organów nadzoru.
DORA obejmuje bardzo szeroki zakres działalności podmiotów finansowych, bo związany z IT, który częściowo już jest regulowany przez różnego rodzaju rekomendacje unijnych i krajowych organów nadzoru (m.in. dotyczący outosurcingu chmurowego), dlatego interesująca pozostaje relacja między wszystkimi wydanymi dokumentami. Można jednak zakładać, że w im większym stopniu dany podmiot spełnia już obecne wymagania, tym mniej zmian będzie on musiał czynić celem dostosowania się do DORA, które jednak bazuje na istniejących już rozwiązaniach. Tymczasem europejskie organy nadzoru pracują nad stworzeniem konkretnych standardów technicznych w zakresie bezpieczeństwa. Dopiero wówczas możliwa i konieczna będzie weryfikacja zgodności z nimi stosowanych już przez podmioty finansowe rozwiązań.
Materiał Partnera beinsured.pl:
