4.02 Operacyjna odporność cyfrowa (DORA)
W tej lekcji dowiesz się więcej na temat Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będącego częścią regulacji związanych z cyfrowymi finansami, ustanawiającego wytyczne dla instytucji finansowych i określa zasady zarządzania incydentami informatycznymi.
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będące częścią regulacji związanych z cyfrowymi finansami, ustanawia wytyczne dla instytucji finansowych w zakresie zarządzania incydentami informatycznymi.
Treść
- Co to jest DORA?
- Jakie są główne cele DORA?
- Które podmioty są objęte regulacjami DORA?
- Jakie definicje są używane w DORA?
- Kluczowe obszary objęte regulacją DORA
- Jakie są spodziewane wyzwania związane z DORA?
- Jakie działania powinny być podjęte przez podmioty finansowe?
Co to jest DORA?
DORA, czyli rozporządzenie Parlamentu Europejskiego i Rady w sprawie cyfrowej odporności operacyjnej sektora finansowego, jest częścią pakietu regulacji Digital Finance.
W skład pakietu wchodzą również:
- rozporządzenie w sprawie rynków kryptowalut (MiCA),
- rozporządzenie w sprawie pilotażowego systemu dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT).
DORA weszła w życie 16 stycznia 2023 roku, a przepisy rozporządzenia będą stosowane od 17 stycznia 2025 roku.
Obecnie ogólne ramy cyberbezpieczeństwa na poziomie UE określa dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (NIS - Network and Information Systems Directive). Jej nowelizacja, tzw. dyrektywa NIS 2, ma wejść w życie już wkrótce.
Oczekuje się, że DORA stanie się głównym punktem odniesienia w zakresie cyberbezpieczeństwa w sektorze finansowym.
Jakie są główne cele DORA?
Ogólnym celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów sektora finansowego UE poprzez uproszczenie i poprawę istniejących regulacji, a także wprowadzenie nowych wymogów w obszarach, w których widoczne są luki.
Rozporządzenie ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka ICT (Information and Communications Technology) zawartych oddzielnie w poszczególnych rozporządzeniach i dyrektywach.
Które podmioty są objęte regulacjami DORA?
Przepisy DORA mają zastosowanie w działalności następujących podmiotów:
- instytucje kredytowe,
- instytucje płatnicze,
- instytucje pieniądza elektronicznego,
- firmy inwestycyjne,
- dostawcy usług w zakresie aktywów kryptograficznych, emitenci aktywów kryptograficznych, emitenci tokenów powiązanych z aktywami oraz emitenci tokenów powiązanych z istotnymi aktywami,
- centralne depozyty papierów wartościowych,
- partnerzy centralni,
- systemy obrotu,
- repozytoria transakcji,
- zarządzający alternatywnymi funduszami inwestycyjnymi,
- spółki zarządzające,
- dostawcy usług w zakresie raportowania danych,
- zakłady ubezpieczeń i zakłady reasekuracji,
- pośrednicy ubezpieczeniowi i reasekuracyjni,
- instytucje zajmujące się pracowniczymi programami emerytalnymi,
- agencje ratingowe,
- biegli rewidenci i firmy audytorskie,
- administratorzy krytycznych wskaźników referencyjnych,
- dostawcy usług crowdfundingowych,
- repozytoria sekurytyzacyjne,
- dostawcy usług dla stron trzecich w zakresie technologii informacyjno-komunikacyjnych.
Jakie definicje są używane w DORA?
- Cyfrowa odporność operacyjna oznacza zdolność podmiotu finansowego do budowania, zapewniania i kontrolowania swojej integralności operacyjnej z technologicznego punktu widzenia poprzez zapewnienie – bezpośrednio lub pośrednio, poprzez korzystanie z usług zewnętrznych dostawców TIK – pełnego zakresu zdolności związanych z TIK niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.
- Incydent związany z ICT oznacza nieprzewidziane zidentyfikowane zdarzenie w sieci i systemach informatycznych, niezależnie od tego, czy jest ono wynikiem złośliwego działania, czy nie, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przekazywanych przez te systemy, lub ma niekorzystny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy.
- Ryzyko związane z technologiami informacyjno-komunikacyjnymi oznacza każdą racjonalnie możliwą do określenia okoliczność związaną z korzystaniem z systemów sieciowych i informatycznych, w tym nieprawidłowe działanie, przekroczenie zdolności, awarię, zakłócenie, uszkodzenie, niewłaściwe użycie, utratę lub inny rodzaj złośliwego lub niezłośliwego zdarzenia, które w przypadku urzeczywistnienia może zagrozić bezpieczeństwu sieci i systemów informatycznych, wszelkich narzędzi lub procesów zależnych od technologii, operacji i przebiegu procesów lub świadczenia usług (...).
- Dostawca usług zewnętrznych ICT oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług przetwarzania w chmurze, oprogramowania, usług analizy danych, centrów danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw upoważnionych na mocy prawa Unii, które świadczą usługi komunikacji elektronicznej.
Kluczowe obszary objęte regulacją DORA
DORA składa się z 5 kluczowych obszarów:
- Zarządzanie ryzykiem ICT – kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem ICT (strategie, polityki, protokoły i narzędzia niezbędne do właściwej i skutecznej ochrony infrastruktury), które podlegają przeglądowi co najmniej raz w roku.
- Identyfikacja, klasyfikacja i dokumentacja funkcji biznesowych związanych z ICT,
- Opracowanie polityki bezpieczeństwa informacji,
- Posiadanie mechanizmów pozwalających na szybkie wykrywanie nieprawidłowych działań,
- Wdrożenie kompleksowej polityki ciągłości działania w zakresie ICT,
- Polityka tworzenia kopii zapasowych,
- Wnioski z testów i incydentów,
- Obowiązkowe szkolenia dla personelu (pracowników i kadry kierowniczej),
- Plany komunikacyjne umożliwiające odpowiedzialne ujawnienie incydentów związanych z ICT lub poważnych podatności klientom i kontrahentom.
- Incydenty związane z ICT – zarządzanie, klasyfikacja i raportowanie – procesy zapewniające monitorowanie incydentów związanych z ICT i działania naprawcze.
- Klasyfikacja incydentów i określenie ich wpływu w oparciu o określone kryteria (w tym czas trwania incydentu, liczba użytkowników, których dotyczy incydent, krytyczność usług, których dotyczy incydent),
- zgłaszanie poważnych incydentów do odpowiedniego właściwego organu (wstępne zgłoszenie, sprawozdanie pośrednie i końcowe).
- Testowanie cyfrowej odporności operacyjnej – sprawdzanie wszystkich kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania obejmuje:
- Analizę open source,
- Oceny bezpieczeństwa sieci,
- Testowanie scenariuszy,
- Testowanie wydajności,
- Testy penetracyjne (podmioty inne niż mikroprzedsiębiorstwa powinny co najmniej raz na trzy lata przeprowadzić zaawansowane testy z wykorzystaniem testów penetracyjnych do wyszukiwania zagrożeń - dokumentacja testów ma być zatwierdzona przez odpowiednie organy).
- Zarządzanie ryzykiem stron trzecich w branży ICT – wszystkie procesy związane ze współpracą z zewnętrznymi dostawcami.
- Ocena dostawcy,
- Wdrożenie strategii wyjścia (możliwość wycofania się z ustaleń umownych z dostawcą usług ICT) oraz opracowanie planu przejścia, który nie spowoduje zakłócenia pracy systemów oraz naruszenia ciągłości i jakości świadczonych usług,
- Umowy z dostawcami usług ICT (w formie pisemnej) zawierające umowy o poziomie usług,
- Określenie kluczowych zewnętrznych dostawców usług teleinformatycznych,
- Okresowe kary pieniężne dla kluczowych zewnętrznych dostawców usług teleinformatycznych.
- Ustalenia dotyczące wymiany informacji – możliwość dzielenia się przez podmioty finansowe informacjami o zagrożeniach cybernetycznych oraz wynikami analizy takiego zagrożenia, w tym:
- Oznaki naruszenia integralności systemu,
- Taktyki,
- Techniki i procedury,
- Ostrzeżenia dotyczące cyberbezpieczeństwa,
- Narzędzia konfiguracyjne.
W ramach każdego z kluczowych obszarów, DORA wymaga od podmiotów finansowych spełnienia szeregu wymogów w odniesieniu do różnych aspektów w ramach ICT i bezpieczeństwa cyfrowego. W ten sposób wytycza kompleksowe* ramy dla cyfrowej odporności podmiotów finansowych.
* Europejskie organy nadzoru mają przygotować i opublikować regulacyjne standardy techniczne dotyczące wytycznych zawartych w rozporządzeniu w celu skonkretyzowania wymogów.
Jakie są spodziewane wyzwania związane z DORA?
- Wyeliminowanie nakładających się na siebie regulacji oraz niespójności i luk prawnych,
- Zwiększenie wymiany informacji i współpracy w zakresie analizy zagrożeń cybernetycznych w celu umożliwienia poszczególnym podmiotom finansowym właściwej oceny, monitorowania, obrony przed zagrożeniami cybernetycznymi i reagowania na nie,
- Standaryzacja wymogów dotyczących zgłaszania incydentów w zakresie technologii informacyjno-komunikacyjnych, tak aby organy nadzoru miały pełny obraz charakteru, częstotliwości, znaczenia i wpływu incydentów,
- Zmniejszenie kosztów przestrzegania przepisów dla podmiotów finansowych, w szczególności dla podmiotów finansowych prowadzących działalność transgraniczną.
Jakie działania powinny być podjęte przez podmioty finansowe?
- Dostosowanie procesów i praktyk do wytycznych rozporządzenia, w tym polityk dotyczących bezpieczeństwa informacji, ciągłości działania, reagowania na incydenty i odzyskiwania danych po awarii,
- Przygotowanie się do przeprowadzania okresowych ocen i sprawozdań,
- Zidentyfikowanie i dokonanie przeglądu wszystkich dostawców usług ICT, powiązanych umów i dokumentacji.
ZASTRZEŻENIE
Niniejszy materiał nie stanowi porady inwestycyjnej, nie jest też ofertą ani zachętą do zakupu jakichkolwiek aktywów kryptowalutowych.
Niniejszy materiał służy wyłącznie ogólnym celom informacyjnym i edukacyjnym,i w tym zakresie BB Trade Estonia OU nie udziela żadnych gwarancji. Niniejszy artykuł powinien być służyć wyłącznie celom informacyjnym, jeżeli chodzi o jego wiarygodność, dokładność, kompletność lub poprawność materiałów lub opinii w nim zawartych.
Pewne stwierdzenia zawarte w niniejszym materiale edukacyjnym mogą odnosić się do przyszłych oczekiwań, które są oparte na naszych obecnych poglądach i założeniach oraz wiążą się z niepewnością, która może spowodować, że rzeczywiste wyniki, rezultaty lub zdarzenia będą się różnić od tych stwierdzeń.
BB Trade Estonia OU i jej przedstawiciele oraz osoby współpracujące bezpośrednio lub pośrednio z BB Trade Estonia OU nie ponoszą żadnej odpowiedzialności wynikającej z niniejszego artykułu.
Należy pamiętać, że inwestowanie w aktywa kryptowalutowe niesie ze sobą ryzyko oprócz możliwości opisanych powyżej.
Zonda zmienia się w zondacrypto!
Cały czas pracujemy nad nowymi produktami i usługami dla naszych użytkowników. Rozwijamy się w kierunku szerszego ekosystemu kryptowalutowego. Naturalnym krokiem, który odzwierciedla tę ambicję, jest zmiana nazwy na nową, która uchwyci naszego ducha innowacji i chęć skupienia się na potrzebach klientów.
Niektóre grafiki czy materiały mogą wyglądać inaczej, ale wciąż jesteśmy tym samym zespołem, który pracuje, aby trading na naszej platformie był przyjemny. Nie zmieniają się również Twoje dane do logowania czy procedury związane z działaniem giełdy.
Dziękujemy za Twoje nieustanne wsparcie i lojalność. Razem wchodzimy w ten nowy, ekscytujący rozdział – i już nie możemy się doczekać tego, co będziemy mogli Wam zaproponować!