Od 17 stycznia 2025 r. banki, firmy inwestycyjne, pośrednicy ubezpieczeniowi, dostawcy usług z zakresu kryptowalut, zakłady ubezpieczeń, instytucje płatnicze oraz tzw. kluczowi dostawców usług ICT (International Trade Compliance, tzw. kontrola obrotu) mają obowiązek stosować unijne rozporządzenie DORA, czyli o cyfrowej odporności operacyjnej. Wciąż jednak brakuje polskich przepisów. Prace nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego toczą się wolno. Obecnie znajdują się na etapie rządowego Komitetu do Spraw Europejskich. Choć przepisy rozporządzenia stosuje się wprost, to jednak w kilku przypadkach wymagają one uszczegółowienia ustawą, m.in. w zakresie kar za nieprzestrzeganie DORA

Czytaj też: Zmiany w Krajowym Systemie Cyberbezpieczeństwa

 

Checklista z DORA

Rozporządzenie określa jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych oraz wskazuje obowiązki podmiotów rynku finansowego w tym zakresie.

DORA zawiera kilka grup wymogów z zakresu cyberbezpieczeństwa, obejmujących następujące zasady:

  • zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT),
  • zgłaszania poważnych incydentów związanych z ICT właściwym organom oraz dobrowolnego informowania ich o znaczących cyberzagrożeniach;
  • zgłaszania właściwym organom przez podmioty finansowe poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami,
  • sposoby testowania operacyjnej odporności cyfrowej,
  • metody wymiany informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze,
  • środki na rzecz należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT oraz wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi.

Rozporządzenie DORA przewiduje różne sankcje i kary, które są uzależnione od charakteru naruszenia oraz krajowych przepisów wdrażających.

- Komisja Nadzoru Finansowego będzie w ramach pełnienia funkcji właściwego organu na gruncie tego rozporządzenia monitorowała wypełnianie przez podmioty nadzorowane omawianych wymogów, a w razie potrzeby będzie podejmowała niezbędne działania nadzorcze. Urząd KNF planuje także kontynuować w 2025 roku udzielanie wsparcia podmiotom nadzorowanym, w prawidłowej realizacji przez nie wymogów rozporządzenia DORA - wyjaśnia Jacek Barszczewski, dyrektor Departamentu Komunikacji Społecznej w UKNF.

Zobacz w LEX: Operacyjna odporność cyfrowa sektora finansowego (DORA) > >

Nowość
Cyberbezpieczeństwo. Zarys wykładu
-10%

Cena promocyjna: 80.09 zł

|

Cena regularna: 89 zł

|

Najniższa cena w ostatnich 30 dniach: 66.75 zł


Nie tylko banki, ale i firmy informatyczne 

DORA stosuje się w sposób bezpośredni do podmiotów finansowych, takich jak: banki, firmy inwestycyjne, pośrednicy ubezpieczeniowi, dostawcy usług z zakresu kryptowalut, zakłady ubezpieczeń, instytucje płatnicze oraz tzw. kluczowi dostawcy usług ICT, wyznaczonych jako takie zgodnie z DORA, a w sposób pośredni do wszystkich podmiotów świadczących na rzecz podmiotów finansowych usługi, które mogą wpływać na odporność cyfrową podmiotów finansowych. 

Sprawdź: Jak w praktyce wdrożyć DORA, czyli co wynika z regulacyjnych standardów technicznych (RTS)?

- Wdrożenie DORA powinno rozpocząć się od analizy istniejących w organizacji zabezpieczeń i procesów z zakresu cyberbezpieczeństwa i sprawdzeniu, w jakim zakresie zgodne są one z wymogami wynikającymi z DORA. W praktyce jest to zadanie skomplikowane, a specjaliści IT pracujący w podmiotach finansowych nie są specjalistami z zakresu cyberbezpieczeństwa i nie są w stanie zapewnić wymaganej do tego zadania wiedzy. Powszechną praktyką, szczególnie w przypadku podmiotów mniejszych, jest korzystanie z pomocy zewnętrznych doradców z zakresu cyberbezpieczeństwa, którzy często współpracują także z kancelariami prawnymi – należy bowiem pamiętać, że w przypadku kontroli organ nadzorczy będzie oceniał istniejącą w podmiocie finansowych dokumentację wskazującą na wdrożenie DORA, a nie będzie dokonywał audytu narzędzi informatycznych jako takich. Istotne jest też zrozumienie, że wdrożenie zgodności z DORA to proces długotrwały i angażujący dla personelu zewnętrznego, nawet w przypadku podjęcia współpracy z doradcą zewnętrznym - tłumaczy Katarzyna Szczudlik, adwokatka, partner w kancelarii prawnej Schoenherr.

Sprawdź: DORA – nowe obowiązki w sektorze bankowym

 

Unijna standaryzacja, bez polskich przepisów  

Związek Przedsiębiorstw Finansowych w Polsce wyjaśnia, że rynek od dawna się przygotowuje, w szczególności w zakresie nowych obowiązków sprawozdawczych.

- Wszyscy mają świadomość, że unijne przepisy wchodzą w życie już 17 stycznia, niezależnie od tego, że termin wdrożenia projektu ustawy wykonującego rozporządzenie DORA na poziomie krajowym będzie przesunięty. Rynek finansowy liczy na to, że nowe regulacje i standaryzacja reguł cyberbezpieczeństwa oraz wymiany informacji na poziomie europejskim przyczynią się do jeszcze lepszej ochrony instytucji finansowych i ich klientów - mówi Marcin Czugan, prezes Związku Przedsiębiorstw Finansowych w Polsce.

I dodaje, że w tegorocznym badaniu ZPF i EY „Nadużycia na rynku finansowym” podmioty rynku finansowego wskazały, że kanał online jest najbardziej narażony na nadużycia, stąd tak ważnym jest efektywne wdrożenie narzędzi wspierających walkę z przestępstwami w cyberprzestrzeni. - Wprowadzone przez DORA narzędzia powinny stać się dla podmiotów z rynku finansowego rodzajem systemu wczesnego ostrzegania. W połączeniu z coraz większą profesjonalizacją zabezpieczeń i ciągłym monitoringiem systemów informatycznych daje to instytucjom finansowym szansę na zminimalizowanie ryzyka cyberataków - podkreśla.

Sprawdź: Polskie podejście do DORA, czyli co warto wiedzieć na ostatniej prostej

Zobacz również w LEX: Prawny obowiązek integralności umów między instytucjami finansowymi i dostawcami usług ICT > >

 

Problemy z DORĄ

Wdrażanie rozporządzenia nie zawsze przebiega jednak gładko. 

- Podmioty finansowe i dostawcy IT częstokroć nie rozumieją, w jaki sposób wymogi wynikające z DORA powinny być zaaplikowane w danej organizacji i które z wymogów DORA mają do nich zastosowanie. Częstym problemem jest wyjaśnienie relacji pomiędzy DORA a innymi przepisami prawa oraz stanowiskami i rekomendacjami KNF - wyjaśnia mec. Katarzyna Szczudlik.

Według niej wdrożenie zgodności z DORA najwięcej problemów sprawia tym podmiotom, które do tej pory nie miały wdrożonych żadnych rozwiązań z zakresu cyberbezpieczeństwa. - Niewątpliwie DORA jest krokiem w dobrym kierunku, biorąc pod uwagę, jak istotne stały się cyberzagrożenia w ostatnim czasie i jak kluczową rolę będą one odgrywać w kolejnych latach. Wydaje się także, że sposób legislacji przyjęty przez DORA jest optymalny – jest oparty o zasady proporcjonalności, wskazując ogólne ramy prawne, które na poziomie stosowanych rozwiązań i narzędzi muszą być określone przez konkretne podmioty finansowe objęte zakresem stosowania DORA. Dalsze doprecyzowywanie tych przepisów nieuchronnie prowadziłoby do zbyt daleko posuniętej kazuistyki - podkreśla. 

Sprawdź: Nie tylko DORA, czyli stosowanie NIS2 w sektorze finansowym

Zdaniem mec. Katarzyną Szczudlik w dalszym ciągu nie mamy polskich przepisów zapewniających stosowanie DORA. Co prawda nie będą one w sposób merytoryczny zmieniać obowiązków wynikających z DORA, jednak w kilku przypadkach będą je uszczegóławiać, np. w zakresie stosowanych kar za nieprzestrzeganie DORA