||

Rozporządzenie DORA

Przez

Wstęp

Rozporządzenie o cyfrowej odporności operacyjnej, znane również jako DORA (Digital Operational Resilience Act), to kluczowy akt prawny Unii Europejskiej, który został przyjęty w 2022 roku. Jego głównym celem jest wzmocnienie cyfrowej odporności operacyjnej podmiotów finansowych oraz dostawców rozwiązań ICT (technologii informacyjnych i komunikacyjnych) w sektorze finansowym. W obliczu rosnących zagrożeń cybernetycznych, DORA stara się ustanowić jednolite ramy regulacyjne na poziomie całej Unii Europejskiej, co ma na celu ograniczenie ryzyka i zwiększenie bezpieczeństwa operacji finansowych. W artykule tym zostaną omówione kluczowe aspekty rozporządzenia, jego zakres oraz zasady zarządzania ryzykiem.

Cele rozporządzenia DORA

Głównym celem rozporządzenia DORA jest poprawa odporności operacyjnej podmiotów finansowych w Unii Europejskiej. W szczególności rozporządzenie dąży do:

  • wzmocnienia ochrony przed zagrożeniami cybernetycznymi,
  • stworzenia spójnych ram regulacyjnych dla sektora finansowego,
  • minimalizacji podatności na incydenty związane z technologiami informatycznymi.

Dzięki tym działaniom DORA ma na celu nie tylko ochronę poszczególnych instytucji, ale także wzmocnienie całego rynku finansowego w Europie. Ujednolicenie przepisów dotyczących bezpieczeństwa systemów informatycznych ma przyczynić się do stworzenia bardziej stabilnego i odpornego środowiska operacyjnego.

Zakres stosowania rozporządzenia

Rozporządzenie DORA dotyczy szerokiego kręgu podmiotów finansowych oraz zewnętrznych dostawców usług ICT. W jego zakresie znajdują się między innymi:

  • instytucje kredytowe,
  • instytucje płatnicze,
  • dostawcy usługi dostępu do informacji o rachunku,
  • firmy inwestycyjne oraz dostawcy usług związanych z kryptoaktywami.

Osobnym przypadkiem są podmioty, które nie są objęte regulacjami DORA. Należą do nich m.in. instytucje pracowniczych programów emerytalnych obsługujące niewielką liczbę uczestników oraz mikroprzedsiębiorstwa w sektorze ubezpieczeń. Wyłączenia te mają na celu zastosowanie zasady proporcjonalności, która umożliwia dostosowanie wymogów do specyfiki danego przedsiębiorstwa.

Zasada proporcjonalności

W rozporządzeniu DORA wprowadzono zasadę proporcjonalności, która pozwala na elastyczne podejście do wymagań stawianych podmiotom finansowym. Artykuł 4 precyzuje, że mniejsze przedsiębiorstwa mogą korzystać z uproszczonych procedur realizacji niektórych wymagań, co ma na celu zmniejszenie obciążeń administracyjnych i finansowych związanych z implementacją przepisów.

Dzięki tej zasadzie mniejsze instytucje mogą dostosować swoje struktury zarządzania ryzykiem ICT do swojego ogólnego profilu ryzyka. Przykładem może być uproszczona struktura zarządzania ryzykiem ICT opisana w artykule 16 rozporządzenia, co pozwala na bardziej elastyczne podejście do wymogów regulacyjnych.

Struktura rozporządzenia DORA

Rozporządzenie DORA składa się z 64 artykułów, które zostały podzielone na dziewięć rozdziałów. Oto ich krótki przegląd:

  • Postanowienia ogólne (art. 1–4): Definiują cel i zakres zastosowania rozporządzenia.
  • Zarządzanie ryzykiem ICT (art. 5–16): Określa zasady dotyczące zarządzania ryzykiem związanym z technologiami informatycznymi.
  • Zarządzanie incydentami związanymi z ICT (art. 17–23): Reguluje klasyfikację i zgłaszanie incydentów związanych z technologiami informatycznymi.
  • Testowanie operacyjnej odporności cyfrowej (art. 24–27): Określa wymagania dotyczące testowania odporności operacyjnej instytucji.
  • Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (art. 28–44): Reguluje relacje z dostawcami usług ICT.
  • Ustalenia dotyczące wymiany informacji (art. 45): Dotyczy współpracy między instytucjami a właściwymi organami nadzoru.
  • Właściwe organy (art. 46–56): Określa kompetencje organów odpowiedzialnych za nadzór nad wdrażaniem rozporządzenia.
  • Akty delegowane (art. 57): Przewiduje możliwość wydawania aktów prawnych przez Komisję Europejską.
  • Przepisy przejściowe i końcowe (art. 58–64): Ustala zasady przejścia do nowych regulacji.

Zadania Europejskich Urzędów Nadzoru

Dzięki DORA, Europejskie Urzędy Nadzoru mają za zadanie opracowywać regulacyjne standardy techniczne (RTS) oraz wykonawcze standardy techniczne (ITS), które po publikacji w Dzienniku Urzędowym Unii Europejskiej stają się prawnie wiążące. Standardy te dotyczyć będą m.in.:

  • wymagań dotyczących ram zarządzania ryzykiem ICT,
  • klasyfikacji incydentów związanych z technologiami informatycznymi,
  • wymogów dotyczących testowania penetracyjnego opartego na zagrożeniach.

Dzięki tym standardom możliwe będzie efektywne wdrażanie przepisów oraz zapewnienie wysokiego poziomu bezpieczeństwa i odporności cyfrowej w całym sektorze finansowym

Artykuł sporządzony na podstawie: Wikipedia (PL).

Podobne wpisy