Site Search

Loading Results

Czym jest DORA?

Rozporządzenie w sprawie operacyjnej odporności cyfrowej (DORA) określa nowe europejskie ramy efektywnego i kompleksowego zarządzania ryzykiem cyfrowym na rynkach finansowych.

Nowe przepisy nakładają na wszystkie firmy działające w sektorze finansowym oraz ich kluczowych dostawców usług IT szereg obowiązków, które mają na celu zapewnienie odporności operacyjnej w przypadku wystąpienia poważnych zakłóceń związanych z cyberbezpieczeństwem oraz ICT (technologiami informacyjno-komunikacyjnymi).

Wprowadzając jednolite, spójne podejście nadzorcze we wszystkich branżach sektora, DORA zapewnia harmonizację praktyk w zakresie cyberbezpieczeństwa i odporności  na cyberzagrożenia w całej Unii Europejskiej.

Najważniejsze w 30 sekund

Dlaczego DORA jest istotna?

  • DORA znajdzie zastosowanie do ponad 22 000 podmiotów finansowych oraz dostawców usług ICT działających na terenie UE.
  • Rozporządzenie wprowadza nowe szczegółowe wymogi dla wszystkich podmiotów rynku finansowego, takich jak np. banki, firmy inwestycyjne, zakłady ubezpieczeń i pośrednicy ubezpieczeń, dostawcy kryptoaktywów, dostawcy usług raportowania, dostawcy usług chmury obliczeniowej.
  • DORA ustanawia kompleksowe ramy w obszarach takich jak efektywne zarządzanie ryzykiem, możliwości operacyjne w obszarach ICT i cyberbezpieczeństwa, czy zarządzanie zewnętrznymi dostawcami usług w celu zapewnienia stabilności i integralności unijnego systemu finansowego biorąc pod uwagę cały łańcuch wartości.
  • Rozporządzenie jest wyjątkowe pod względem wprowadzenia ogólnounijnych ram nadzoru nad kluczowymi dostawcami zewnętrznymi usług ICT wyznaczonymi przez Europejskie Urzędy Nadzoru (ESA).

Kiedy DORA wejdzie w życie?

DORA weszła w życie na początku 2023 roku. Po dwuletnim okresie przeznaczonym na przygotowanie się do nowych wymogów, instytucje finansowe będą musiały realizować je najpóźniej od początku 2025 roku.

24 września 2020 r. Komisja Europejska opublikowała wersję roboczą Rozporządzenia w sprawie operacyjnej odporności cyfrowej (DORA) jako część Pakietu dot. Finansów Cyfrowych (DFP).

 

Po opublikowaniu propozycji Parlamentu Europejskiego oraz Rady Europy dot. DORA, w pierwszej połowie 2022 roku prowadzone były polityczne i techniczne konsultacje trójstronne. Po tym jak 10 listopada 2022 roku Parlament Europejski przegłosował rozporządzenie, Rada Europy przyjęła DORA 28 listopada 2022 roku.

DORA weszła w życie w pierwszym kwartale 2023 roku. Zgodnie z założeniami pierwsze standardy regulacyjne i techniczne (RTS i ITS) będą w tym czasie opracowywane przez Europejskie Urzędy Nadzoru.

Zakładana jest publikacja standardów regulacyjnych i technicznych przez Europejskie Urzędy Nadzoru. Standardy dostarczą podmiotom informacji na temat specyfikacji, a także wskazówek jak wdrożyć wymogi DORA.

Wymogi DORA zaczną być egzekwowane po 24 miesiącach od wejścia rozporządzenia w życie. W związku z tym oczekiwane jest, że podmioty finansowe będą spełniać wymogi DORA najpóźniej na początku 2025 roku.

Kontakt z naszym ekspertem

Szymon Grabski
Starszy Menadżer, PwC Polska
Tel: +48 519 507 996
E-Mail

Nasze spojrzenie na DORA

Biorąc pod uwagę szeroki zakres DORA, można uznać, że wiele z obszarów, do których się odnosi, zostało już uwzględnione w ramach innych obowiązujących w Polsce regulacji.

Nadal jednak niektóre tematy, takie jak np. analiza zagrożeń oraz wynikające z niej okresowe testy środowiska ICT, a także testy penetracyjne wymagają zwiększonej uwagi i wypracowania odpowiedniego podejścia. Co więcej, innym istotnym wyzwaniem jest zdolność do spojrzenia na realizowane procesy z szerszej perspektywy i pełnego zrozumienia wszystkich kluczowych zależności pomiędzy spółką a krytycznymi dostawcami usług ICT.

Naszą rekomendacją dla wszystkich podmiotów podlegających rozporządzeniu jest, aby nowe rozporządzenie DORA potraktować jako impuls do przeprowadzenia rzeczywistej oceny swojej odporności, a następnie odpowiednie jej wzmocnienie. Doskonałym punktem wyjścia do tego będzie przeprowadzenie wstępnej analizy luki oraz poziomu dojrzałości organizacji.

Podsumowując, można przyjąć, że firmy stosujące się do obecnych wymogów regulacyjnych powinny być w lepszej pozycji do wdrożenia większości wymogów DORA. Jednakże, bazując na naszym doświadczeniu, zdobytym podczas wspierania wielu klientów w ich wysiłkach na rzecz poprawy cyberbezpieczeństwa i odporności, możemy stwierdzić, że nie istnieje organizacja, która byłaby zbyt dobrze zabezpieczona lub zbyt odporna, a wysiłki włożone w rozwój tych obszarów zawsze mają sens. Ostatecznie, im większa odporność spółki w porównaniu do konkurencji, tym większa przewaga konkurencyjna.

DORA - I co teraz?

Postrzegamy DORA jednocześnie jako wyzwanie i szansę dla podmiotów finansowych.

Ogólnounijne jednolite wymagania wynikające z DORA oznaczają, że podmioty finansowe muszą zapewnić zdolność do spójnego zarządzania poziomem dojrzałości cyberbezpieczeństwa i odporności operacyjnej we wszystkich swoich operacjach w UE.

Jest wiele spraw, które muszą zostać rozważone, wdrożone i zademonstrowane w dwuletnim okresie przeznaczonym na przygotowanie.

Już teraz instytucje finansowe powinny przeprowadzić kompleksową analizę luki, aby ocenić ich dojrzałość w odniesieniu do DORA i terminowo zidentyfikować obszary, które wymagają dalszych inwestycji i ustalenia priorytetów.

Dzięki temu firma będzie w lepszej pozycji do tego, aby zaadresować bardziej złożone wymagania, takie jak zarządzanie łańcuchem dostaw, analiza zagrożeń, czy zaawansowane testy bezpieczeństwa, co zapewni przewagę konkurencyjną na rynku.

Postrzegamy DORA jako znaczącą zmianę dla podmiotów podlegających nadzorowi ESMA (Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) czy EIOPA (Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), ale również dla banków, które już wcześniej musiały dostosować się do obowiązujących wytycznych EBA (Europejski Urząd Nadzoru Bankowego) oraz KNF (Komisja Nadzoru Finansowego) dotyczących nadzoru bankowego.

DORA rozszerza swój zakres również o innych interesariuszy z sektora finansowego, którzy do tej pory nie podlegali rozbudowanym regulacjom z zakresu bezpieczeństwa ICT takich jak m. in. dostawcy usług w zakresie kryptoaktywów, pośrednicy zarządzający alternatywnymi funduszami inwestycyjnymi, dostawcy usług chmury obliczeniowej, czy dostawcy zewnętrzni usług ICT.

W związku z tym, że rozporządzanie zwraca szczególną uwagę na istotność kwestii zarządzania ryzykiem związanym z dostawcami zewnętrznymi usług ICT, oczekuje się, że podmioty będą w stanie poświadczyć również odporność stron trzecich, co będzie wymagało bliskiej i efektywnej współpracy z kluczowymi dostawcami usług ICT, zwłaszcza gdy wspierają oni świadczenie ważnej usługi biznesowej.

 

DORA kładzie nacisk na 5 kluczowych filarów:

Zarządzanie ryzykiem ICT

Podmioty finansowe są zobowiązane do ustanowienia kompleksowych ram zarządzania ryzykiem ICT, w tym:

  • Konfiguracja i utrzymanie odpornych systemów i narzędzi w celu zminimalizowania skutków ryzyka związanego z ICT.
  • Identyfikacja, klasyfikacja i dokumentacja krytycznych funkcji i zasobów.
  • Ciągły monitoring wszystkich źródeł ryzyka ICT w celu utworzenia środków ochrony i zapobiegania.
  • Ustanowienie procesu szybkiego wykrywania nietypowych działań.
  • Wdrożenie specjalnych  i kompleksowych strategii dotyczących ciągłości działania oraz planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, w tym coroczne testy tychże strategii i planów obejmujące wszystkie funkcje wspierające.
  • Ustanowienie mechanizmów uczenia się i rozwoju zarówno na podstawie wydarzeń zewnętrznych jak i wewnętrznych incydentów ICT podmiotu.

Zgłaszanie incydentów ICT

Podmioty finansowe zobowiązane są do:

  • opracowania procesu rejestrowania/klasyfikowania incydentów ICT i identyfikacji poważnych incydentów zgodnie z kryteriami wyszczególnionymi w rozporządzeniu i doprecyzowanymi przez Europejskie Urzędy Nadzoru (EBA, EIOPA i ESMA)
  • przedkładania wstępnych, śródokresowych i końcowych sprawozdań dotyczącego incydentów ICT
  • harmonizację procesu zgłaszania incydentów ICT za pomocą standardowych szablonów opracowanych przez Europejskie Urzędy Nadzoru

Testy operacyjnej odporności cyfrowej

Rozporządzenie zobowiązuje wszystkie podmioty do

  • corocznego przeprowadzania testów ICT w zakresie wykorzystywanych narzędzi i systemów ICT
  • identyfikacji, mitygacji i niezwłocznego eliminowania wszelkich słabych punktów, braków lub niedociągnięć poprzez wdrażanie środków zaradczych,
  • okresowego przeprowadzanie zaawansowanych testów penetracyjnych pod kątem wyszukiwania zagrożeń (TLPT) dla usług ICT, które mają wpływ na funkcje krytyczne. Zewnętrzni dostawcy usług ICT są zobowiązani do udziału i pełnej współpracy w działaniach testowych.

Zarządzenie ryzykiem ICT zewnętrznych dostawców usług

Podmioty finansowe są zobowiązane do:

  • zapewniania należytego monitoringu ryzyk wynikających z polegania na zewnętrznych dostawcach usług ICT
  • raportowania pełnego rejestru czynności zlecanych podmiotom zewnętrznym, w tym m.in. usług wewnątrzgrupowych i wszelkich zmian w outsourcingu usług krytycznych do zewnętrznych dostawców usług ICT
  • uwzględnienia ryzyka koncentracji IT oraz ryzyk wynikających z podoutsourcingu
  • uspójnienia kluczowych elementów usług i relacji z zewnętrznymi dostawcami usług ICT, aby umożliwić pełny monitoring
  • zapewnienia, aby umowy z zewnętrznymi dostawcami usług ICT zawierały wszystkie niezbędne szczegóły dotyczące monitoringu i dostępności, takie jak np. pełen opis poziomu świadczonych usług, wskazanie miejsc przetwarzania danych itp.
  • Zewnętrzni dostawcy usług ICT o krytycznym znaczeniu będą podlegać Unijnym Urzędom Nadzoru, które mogą wydawać zalecenia dotyczące mitygacji zidentyfikowanych ryzyk ICT. Podmioty finansowe muszą wziąć pod uwagę ryzyka ICT związane z zewnętrznymi dostawcami usług ICT, którzy nie będą stosować się do określonych zaleceń.

Udostępnianie informacji

  • Rozporządzenie zezwala podmiotom finansowym na zawieranie między sobą porozumień w celu wymiany informacji na temat zagrożeń cybernetycznych.
  • Organ nadzoru będzie dostarczał podmiotom finansowym istotne z ich punktu widzenia, zanonimizowane dane dotyczące cyberzagrożeń. W związku z tym podmioty powinny wdrożyć mechanizmy przeglądu i podejmowania działań na podstawie informacji udostępnionych przez organy.

Sprawdź, jak możemy pomóc Twojej organizacji

Poznaj nasze usługi w zakresie DORA

{{filterContent.facetedTitle}}

Skontaktuj się z nami

Marcin Makusak

Marcin Makusak

Partner, PwC Polska

Tel.: +48 502 184 718

Linkedin Follow Email
Piotr Urban

Piotr Urban

Partner, Cybersecurity & Privacy CEE Leader, PwC Central and Eastern Europe

Tel.: +48 502 184 157

Linkedin Follow Email
Aleksandra Bańkowska

Aleksandra Bańkowska

Partner, Adwokat, PwC Polska

Linkedin Follow Email
Szymon Grabski

Szymon Grabski

Starszy Menedżer, PwC Polska

Tel.: +48 519 507 996

Linkedin Follow Email
Obserwuj nas