Od 17 stycznia 2025 roku, Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 (Digital Operational Resilience Act – DORA) zaczyna obowiązywać w całej Unii Europejskiej, wprowadzając jednolite zasady zarządzania ryzykiem ICT (technologii informacyjno-komunikacyjnych) w sektorze finansowym. Celem tej regulacji jest zwiększenie odporności cyfrowej instytucji finansowych na cyberzagrożenia i zakłócenia operacyjne.
Co regulacje DORA oznaczają w praktyce?
- Zarządzanie ryzykiem ICT
Instytucje finansowe muszą:- stworzyć i wdrożyć spójne ramy zarządzania ryzykiem ICT, obejmujące polityki, procedury i strategie identyfikacji oraz minimalizacji ryzyk technologicznych;
- regularnie testować swoją infrastrukturę ICT, w tym przeprowadzać tzw. stres-testy cyberbezpieczeństwa;
- zgłaszać poważne incydenty związane z ICT.
- Nadzór nad dostawcami usług ICT
Instytucje muszą wprowadzić bardziej rygorystyczne zasady selekcji, monitorowania i audytu dostawców technologicznych.
Szczególna uwaga poświęcona będzie kluczowym zewnętrznym dostawcom ICT, którzy mają krytyczne znaczenie dla działania sektora finansowego. - Testowanie odporności operacyjnej
Organizacje są zobowiązane do przeprowadzania regularnych testów odporności cyfrowej, w tym symulacji ataków cybernetycznych. Testy te mają na celu ocenę skuteczności środków bezpieczeństwa i gotowości operacyjnej. - Wzmocnienie współpracy międzynarodowej
DORA promuje współpracę między organami nadzoru i instytucjami finansowymi w całej UE, co ma na celu efektywniejsze reagowanie na zagrożenia cybernetyczne.
Dlaczego to ważne?
Regulacje DORA stanowią odpowiedź na rosnącą liczbę cyberzagrożeń oraz zależność sektora finansowego od technologii. Wprowadzenie jednolitych standardów zwiększy bezpieczeństwo, przejrzystość i zaufanie do usług finansowych w erze cyfrowej.
Autor: adwokat Grzegorz Półtorak
