Rozporządzenie DORA weszło w życie w styczniu 2025. Wprowadza i porządkuje standardy cyberbezpieczeństwa dla sektora finansowego, a także pośrednio dla firm technologicznych. Co to oznacza w praktyce?
DORA stanowi prawdziwą szansę dla organizacji dotychczas pomijających kwestie bezpieczeństwa cyfrowego. Może być to dla nich pierwsza okazja do usystematyzowania podejścia do zarządzania ryzykiem informatycznym i stworzenia spójnych procedur. Jednocześnie dla wielu firm może oznaczać konieczność złożonej i kosztownej rekonfiguracji istniejących rozwiązań, dostosowania ich do rygorystycznych unijnych wytycznych, co niewątpliwie stanowi wyzwanie organizacyjne i techniczne.
Spis treści
Czym jest Rozporządzenie DORA?
Rozporządzenie DORA (Digital Operational Resilience Act) to unijne rozporządzenie dotyczące cyberbezpieczeństwa i odporności cyfrowej, które weszło w życie 16 stycznia 2023 roku, a jego pełne wdrożenie nastąpiło 17 stycznia 2025 roku. Rozporządzenie DORA ma na celu stworzenie zunifikowanych standardów cyberbezpieczeństwa w całej Unii Europejskiej, zwiększenie odporności infrastruktury finansowej na zagrożenia cybernetyczne oraz ochronę klientów i stabilności rynków finansowych.
Cel Rozporządzenia DORA
Rozporządzenie DORA nakłada na instytucje fintech rygorystyczne wymogi w zakresie cyberbezpieczeństwa, zmuszając je do kompleksowego zarządzania ryzykiem technologicznym. Firmy sektora finansowego muszą wdrożyć mechanizmy ochrony przed incydentami cyfrowymi (cyberatakami i innymi przejawami łamania prawa w sieci), w tym analizę łańcuchów dostaw ICT, stworzenie szczegółowych rejestrów umów oraz dostosowanie współpracy z dostawcami usług technologicznych do nowych standardów. Szczególnie firmy FinTech, silnie uzależnione od rozwiązań firm zewnętrznych, staną przed koniecznością gruntownej analizy bezpieczeństwa. Wdrożenie wszystkich wymagań DORA może okazać się bardzo złożone i kosztowne, wymagające znaczących inwestycji w systemy informatyczne, procedury raportowania oraz ciągłe testy odporności technologicznej.
Rozporządzenie DORA – wymagania
Główne wymagania w stosunku do instytucji finansowych, które są wyszczególnione w Rozporządzeniu to:
- przeprowadzanie regularnych testów odporności cybernetycznej,
- zarządzanie ryzykiem ICT – zaplanowanie procesów ochrony, wyszczególnienie sposób działania w przypadku ataków,
- zgłaszanie poważnych incydentów informatycznych,
- kontrola dostawców usług cyfrowych,
- opracowanie kompleksowych strategii ochrony cyberbezpieczeństwa.
Czym są usługi ICT?
Usługi ICT to wszelkie technologie związane z przetwarzaniem, przechowywaniem i przekazywaniem informacji, obejmujące systemy informatyczne, sieci telekomunikacyjne, oprogramowanie, platformy cyfrowe i rozwiązania chmurowe wykorzystywane przez organizacje do prowadzenia działalności.
Kogo dotyczy DORA?
Rozporządzenie DORA dotyczy podmiotów z branży finansowej. Obejmuje głównie:
- podmioty bankowe,
- firmy inwestycyjne,
- towarzystwa ubezpieczeniowe,
- podmioty z sektora płatności,
- giełdy,
- dostawców usług w zakresie kryptoaktywów,
- dostawców usług informatycznych dla sektora finansowego.
DORA – kary za niedostosowanie się do przepisów
Organy nadzoru mają możliwość nałożenia kary na instytucje finansowe, które nie przestrzegają zasad Rozporządzenia lub dokonują naruszeń w tym zakresie. Będą one dostosowane do wielkości firmy oraz do rodzaju naruszenia. Główne rodzaje kar przewidziane w DORA to:
- finansowe – mogą być to okresowe kary pieniężne, a w przypadku poważniejszych uchybień można spodziewać się kary w wysokości nawet do 10% rocznego obrotu,
- nakazy administracyjne – obowiązek podjęcia określonych działań naprawczych,
- ostrzeżenia – publiczne, mające wpływ na reputację organizacji,
- czasowe zawieszenia działalności,
- cofnięcie zezwolenia na prowadzenie działalności
- zakaz pełnienia funkcji przez podmioty kierownicze.
DORA – kto nakłada kary?
Uprawnienia do nakładania kar za naruszenie rozporządzenia DORA zostały rozdzielone między unijne i krajowe organy nadzorcze, co ma zapewnić kompleksowe i wielopoziomowe egzekwowanie przepisów. W Polsce nadzór nad przepisami DORA posiada Komisja Nadzoru Finansowego (KNF), a na poziomie Unii Europejskiej są to Europejskie Urzędy Nadzoru (ESAs):
- Europejski Urząd Nadzoru Bankowego (EBA)
- Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA)
- Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA)
Rozporządzenie DORA w Polsce
Wejście w życie przepisów DORA powoduje obowiązek dostosowania się do nich każdego z krajów członkowskich UE. Polska przygotowuje projekt “Ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego”. Jak dotąd, projekt jest w trakcie realizacji, a jego postępy można śledzić na stronie Rządowego Centrum Legislacji.
