Dowiedz się więcej na temat naszych produktów. Zobacz nasz blog
  • EN
  • PL
    • Wizards
    Umów się na rozmowę
    Umów się na rozmowę

    Rozporządzenie DORA

    DORA Wizards

    W dzisiejszych czasach technologia informacyjna jest nieodłącznym elementem funkcjonowania sektora finansowego. W odpowiedzi na rosnące zagrożenia cybernetyczne, Unia Europejska wprowadza Rozporządzenie DORA, które ma na celu zapewnienie wyższego poziomu bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym.

    Dlaczego DORA? Kogo dotyczy rozporządzenie?

    Wprowadzenie DORA (Digital Operational Resilience Act) jest konieczne, aby sprostać dynamicznie rosnącym wyzwaniom w dziedzinie cyberbezpieczeństwa.

    Sektor finansowy, będący sercem gospodarki każdego kraju, musi być wyjątkowo odporny na ataki i zagrożenia. DORA jest próbą zharmonizowania i zwiększenia standardów bezpieczeństwa ICT w sektorze finansowym Unii Europejskiej.

    Podstawowym celem DORA jest objęcie regulacjami nie tylko bezpośrednich podmiotów finansowych, ale także dostawców kluczowych usług ICT. Współczesne instytucje finansowe polegają na zewnętrznych dostawcach technologii, którzy często mają dostęp do wrażliwych danych i systemów. Z tego powodu jest kluczowe, aby dostawcy ci byli odpowiednio monitorowani i regulowani, aby zapewnić integralność i bezpieczeństwo całego ekosystemu finansowego.

    Główne założenia DORA

    Rozporządzenie koncentruje się na czterech filarach, które mają kluczowe znaczenie dla zwiększenia odporności sektora finansowego:

    • Zgłaszanie incydentów: DORA wprowadza precyzyjne wymogi dotyczące rejestrowania i zgłaszania incydentów związanych z ICT. Kluczową cechą jest tu obowiązek składania trzech różnych rodzajów raportów w przypadku krytycznych incydentów.
    • Testy odporności operacyjnej: Regularne testy mają na celu identyfikację słabych punktów w systemach ICT. DORA wymaga, aby podmioty przeprowadzały podstawowe testy co najmniej raz w roku.
    • Zarządzanie ryzykiem związanym z dostawcami zewnętrznymi: DORA kładzie nacisk na zarządzanie ryzykiem związanym z dostawcami technologii, wymagając od instytucji finansowych uwzględnienia specyficznych klauzul w umowach z dostawcami oraz mapowania swoich zależności od dostawców ICT.
    • Wymiana informacji: Chociaż wymiana informacji jest kluczowa dla identyfikacji i reagowania na zagrożenia, musi być przeprowadzana w sposób, który nie narusza innych przepisów, takich jak ochrona danych osobowych.
    Rozporządzenie DORA
    Photo by Priscilla Du Preez 🇨🇦 on Unsplash

    Proces wyznaczania dostawców kluczowych usług ICT

    DORA daje Europejskim Urzędom Nadzoru (EBA, ESMA, EIOPA) uprawnienia do wyznaczania dostawców kluczowych usług ICT. Ta innowacyjna procedura ma na celu identyfikację tych dostawców, którzy mają największy wpływ na stabilność sektora finansowego.

    Kary i opłaty nadzorcze

    Jak każdy mechanizm regulacyjny, DORA przewiduje system kar dla tych, którzy nie przestrzegają jego postanowień. Kary finansowe są istotnym narzędziem, które zachęca do przestrzegania przepisów i podnosi poziom bezpieczeństwa w sektorze.

    Czy DORA jest odpowiedzią na współczesne wyzwania?

    Chociaż DORA jest ważnym krokiem naprzód w dziedzinie cyberbezpieczeństwa, kluczem do jego skuteczności będzie jego adaptacyjność. Technologia i zagrożenia cybernetyczne rozwijają się w błyskawicznym tempie, a regulacje muszą nadążać za tymi zmianami.

    DORA reprezentuje ważne przesunięcie w podejściu do bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym w UE. Jednak prawdziwy test dla DORA będzie polegał na jego zdolności do adaptacji i reagowania na nowe wyzwania w środowisku, które jest z natury dynamiczne.