Rozporządzenie DORA

15 czerwca 2021

Pod koniec ubiegłego roku Komisja Europejska opublikowała projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Projekt ten ma być odpowiedzią na problem cyberbezpieczeństwa i ochrony technologii informacyjno-komunikacyjnych (ICT) przed cyberatakami dla sektora finansowego.

 

Projekt zakłada nałożenie szeregu obowiązków dla większości sektora finansowego, w tym banków, domów maklerskich, firm audytorskich, zakładów ubezpieczeń społecznych czy też spółek zajmujących się handlem kryptowalutami. Obowiązki nałożone przez rozporządzenie DORA, mają umożliwiać zarządzanie ryzykiem związanym z ICT. Podmioty obowiązane będą zmuszone wdrożyć liczne strategie i procedury ochrony przed cyberatakami, ochronę zasobów firmy przed nieupoważnionymi osobami, czy wdrażanie rozwiązań natychmiastowego przywrócenia do pracy po incydencie cyberbezpieczeństwa. Stan i jakość opracowanych rozwiązań będą co roku kontrolować niezależni audytorzy.

 

Podmiotem odpowiedzialnym za wdrożenie i przestrzeganie przepisów rozporządzenia DORA będzie odpowiedzialny organ zarządzający tj. najczęściej zarząd spółki. Jego odpowiedzialność będzie ostateczna, co oznacza, że nie będzie mógł on się żaden sposób tłumaczyć z błędnego wdrożenia przepisów DORA. Zarząd będzie także odpowiedzialny za każdorazowe zgłaszanie incydentów związanych z ICT do właściwego organu nadzorczego, a także opracowanie raportu z incydentu.

 

Kolejnym ważnym wymogiem stawianym dla firm z sektora finansowego będzie obowiązek posiadania programu odporności cyfrowej, który będzie badał podatność zasobów informatycznych na cyberataki. Rozporządzenie DORA stawia szereg wymagań jakie takie oprogramowanie będzie musiało spełniać. Prawdomównie każdy z podmiotów obowiązanych będzie musiał zlecić zewnętrznym podmiotom przygotowanie dedykowanego oprogramowania dla potrzeby rozporządzenia.

 

Należy także nadmienić, iż obecna treść przepisów jest jedynie propozycją przedstawioną przez Komisję Europejską, stąd ich brzmienie może się jeszcze zmienić, przy czym główny zarys przepisów nie powinien się zmienić w sposób drastyczny.