{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
Nowe przepisy nakładają na wszystkie firmy działające w sektorze finansowym oraz ich kluczowych dostawców usług IT szereg obowiązków, które mają na celu zapewnienie odporności operacyjnej w przypadku wystąpienia poważnych zakłóceń związanych z cyberbezpieczeństwem oraz ICT (technologiami informacyjno-komunikacyjnymi).
Wprowadzając jednolite, spójne podejście nadzorcze we wszystkich branżach sektora, DORA zapewnia harmonizację praktyk w zakresie cyberbezpieczeństwa i odporności na cyberzagrożenia w całej Unii Europejskiej.
DORA weszła w życie na początku 2023 roku. Po dwuletnim okresie przeznaczonym na przygotowanie się do nowych wymogów, instytucje finansowe będą musiały realizować je najpóźniej od początku 2025 roku.
Biorąc pod uwagę szeroki zakres DORA, można uznać, że wiele z obszarów, do których się odnosi, zostało już uwzględnione w ramach innych obowiązujących w Polsce regulacji.
Nadal jednak niektóre tematy, takie jak np. analiza zagrożeń oraz wynikające z niej okresowe testy środowiska ICT, a także testy penetracyjne wymagają zwiększonej uwagi i wypracowania odpowiedniego podejścia. Co więcej, innym istotnym wyzwaniem jest zdolność do spojrzenia na realizowane procesy z szerszej perspektywy i pełnego zrozumienia wszystkich kluczowych zależności pomiędzy spółką a krytycznymi dostawcami usług ICT.
Naszą rekomendacją dla wszystkich podmiotów podlegających rozporządzeniu jest, aby nowe rozporządzenie DORA potraktować jako impuls do przeprowadzenia rzeczywistej oceny swojej odporności, a następnie odpowiednie jej wzmocnienie. Doskonałym punktem wyjścia do tego będzie przeprowadzenie wstępnej analizy luki oraz poziomu dojrzałości organizacji.
Podsumowując, można przyjąć, że firmy stosujące się do obecnych wymogów regulacyjnych powinny być w lepszej pozycji do wdrożenia większości wymogów DORA. Jednakże, bazując na naszym doświadczeniu, zdobytym podczas wspierania wielu klientów w ich wysiłkach na rzecz poprawy cyberbezpieczeństwa i odporności, możemy stwierdzić, że nie istnieje organizacja, która byłaby zbyt dobrze zabezpieczona lub zbyt odporna, a wysiłki włożone w rozwój tych obszarów zawsze mają sens. Ostatecznie, im większa odporność spółki w porównaniu do konkurencji, tym większa przewaga konkurencyjna.
Postrzegamy DORA jednocześnie jako wyzwanie i szansę dla podmiotów finansowych.
Ogólnounijne jednolite wymagania wynikające z DORA oznaczają, że podmioty finansowe muszą zapewnić zdolność do spójnego zarządzania poziomem dojrzałości cyberbezpieczeństwa i odporności operacyjnej we wszystkich swoich operacjach w UE.
Jest wiele spraw, które muszą zostać rozważone, wdrożone i zademonstrowane w dwuletnim okresie przeznaczonym na przygotowanie.
Już teraz instytucje finansowe powinny przeprowadzić kompleksową analizę luki, aby ocenić ich dojrzałość w odniesieniu do DORA i terminowo zidentyfikować obszary, które wymagają dalszych inwestycji i ustalenia priorytetów.
Dzięki temu firma będzie w lepszej pozycji do tego, aby zaadresować bardziej złożone wymagania, takie jak zarządzanie łańcuchem dostaw, analiza zagrożeń, czy zaawansowane testy bezpieczeństwa, co zapewni przewagę konkurencyjną na rynku.
Postrzegamy DORA jako znaczącą zmianę dla podmiotów podlegających nadzorowi ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) czy EIOPA (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), ale również dla banków, które już wcześniej musiały dostosować się do obowiązujących wytycznych EBA (Europejski Urząd Nadzoru Bankowego) oraz KNF (Komisja Nadzoru Finansowego) dotyczących nadzoru bankowego.
DORA rozszerza swój zakres również o innych interesariuszy z sektora finansowego, którzy do tej pory nie podlegali rozbudowanym regulacjom z zakresu bezpieczeństwa ICT takich jak m. in. dostawcy usług w zakresie kryptoaktywów, pośrednicy zarządzający alternatywnymi funduszami inwestycyjnymi, dostawcy usług chmury obliczeniowej, czy dostawcy zewnętrzni usług ICT.
W związku z tym, że rozporządzanie zwraca szczególną uwagę na istotność kwestii zarządzania ryzykiem związanym z dostawcami zewnętrznymi usług ICT, oczekuje się, że podmioty będą w stanie poświadczyć również odporność stron trzecich, co będzie wymagało bliskiej i efektywnej współpracy z kluczowymi dostawcami usług ICT, zwłaszcza gdy wspierają oni świadczenie ważnej usługi biznesowej.
Podmioty finansowe są zobowiązane do ustanowienia kompleksowych ram zarządzania ryzykiem ICT, w tym:
Podmioty finansowe zobowiązane są do:
Rozporządzenie zobowiązuje wszystkie podmioty do
Podmioty finansowe są zobowiązane do:
Partner, Cybersecurity & Privacy CEE Leader, PwC Central and Eastern Europe
Tel.: +48 502 184 157