4.02 Operacyjna odporność cyfrowa (DORA)

4.02 Operacyjna odporność cyfrowa (DORA)

W tej lekcji dowiesz się więcej na temat Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będącego częścią regulacji związanych z cyfrowymi finansami, ustanawiającego wytyczne dla instytucji finansowych i określa zasady zarządzania incydentami informatycznymi.

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będące częścią regulacji związanych z cyfrowymi finansami, ustanawia wytyczne dla instytucji finansowych w zakresie zarządzania incydentami informatycznymi.

 

Treść

  • Co to jest DORA?
  • Jakie są główne cele DORA?
  • Które podmioty są objęte regulacjami DORA?
  • Jakie definicje są używane w DORA?
  • Kluczowe obszary objęte regulacją DORA
  • Jakie są spodziewane wyzwania związane z DORA?
  • Jakie działania powinny być podjęte przez podmioty finansowe?

 

Co to jest DORA?

DORA, czyli rozporządzenie Parlamentu Europejskiego i Rady w sprawie cyfrowej odporności operacyjnej sektora finansowego, jest częścią pakietu regulacji Digital Finance.

 

W skład pakietu wchodzą również:

  • rozporządzenie w sprawie rynków kryptowalut (MiCA),
  • rozporządzenie w sprawie pilotażowego systemu dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT).

DORA weszła w życie 16 stycznia 2023 roku, a przepisy rozporządzenia będą stosowane od 17 stycznia 2025 roku.

Obecnie ogólne ramy cyberbezpieczeństwa na poziomie UE określa dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (NIS - Network and Information Systems Directive). Jej nowelizacja, tzw. dyrektywa NIS 2, ma wejść w życie już wkrótce.

Oczekuje się, że DORA stanie się głównym punktem odniesienia w zakresie cyberbezpieczeństwa w sektorze finansowym.

 

Jakie są główne cele DORA?

Ogólnym celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów sektora finansowego UE poprzez uproszczenie i poprawę istniejących regulacji, a także wprowadzenie nowych wymogów w obszarach, w których widoczne są luki. 

Rozporządzenie ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka ICT (Information and Communications Technology) zawartych oddzielnie w poszczególnych rozporządzeniach i dyrektywach.

 

Które podmioty są objęte regulacjami DORA?

Przepisy DORA mają zastosowanie w działalności następujących podmiotów:

  • instytucje kredytowe,
  • instytucje płatnicze,
  • instytucje pieniądza elektronicznego,
  • firmy inwestycyjne,
  • dostawcy usług w zakresie aktywów kryptograficznych, emitenci aktywów kryptograficznych, emitenci tokenów powiązanych z aktywami oraz emitenci tokenów powiązanych z istotnymi aktywami,
  • centralne depozyty papierów wartościowych,
  • partnerzy centralni,
  • systemy obrotu,
  • repozytoria transakcji,
  • zarządzający alternatywnymi funduszami inwestycyjnymi,
  • spółki zarządzające,
  • dostawcy usług w zakresie raportowania danych,
  • zakłady ubezpieczeń i zakłady reasekuracji,
  • pośrednicy ubezpieczeniowi i reasekuracyjni,
  • instytucje zajmujące się pracowniczymi programami emerytalnymi,
  • agencje ratingowe,
  • biegli rewidenci i firmy audytorskie,
  • administratorzy krytycznych wskaźników referencyjnych,
  • dostawcy usług crowdfundingowych,
  • repozytoria sekurytyzacyjne,
  • dostawcy usług dla stron trzecich w zakresie technologii informacyjno-komunikacyjnych.

 

Jakie definicje są używane w DORA?

  • Cyfrowa odporność operacyjna oznacza zdolność podmiotu finansowego do budowania, zapewniania i kontrolowania swojej integralności operacyjnej z technologicznego punktu widzenia poprzez zapewnienie – bezpośrednio lub pośrednio, poprzez korzystanie z usług zewnętrznych dostawców TIK – pełnego zakresu zdolności związanych z TIK niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.
  • Incydent związany z ICT oznacza nieprzewidziane zidentyfikowane zdarzenie w sieci i systemach informatycznych, niezależnie od tego, czy jest ono wynikiem złośliwego działania, czy nie, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przekazywanych przez te systemy, lub ma niekorzystny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy.
  • Ryzyko związane z technologiami informacyjno-komunikacyjnymi oznacza każdą racjonalnie możliwą do określenia okoliczność związaną z korzystaniem z systemów sieciowych i informatycznych, w tym nieprawidłowe działanie, przekroczenie zdolności, awarię, zakłócenie, uszkodzenie, niewłaściwe użycie, utratę lub inny rodzaj złośliwego lub niezłośliwego zdarzenia, które w przypadku urzeczywistnienia może zagrozić bezpieczeństwu sieci i systemów informatycznych, wszelkich narzędzi lub procesów zależnych od technologii, operacji i przebiegu procesów lub świadczenia usług (...).
  • Dostawca usług zewnętrznych ICT oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług przetwarzania w chmurze, oprogramowania, usług analizy danych, centrów danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw upoważnionych na mocy prawa Unii, które świadczą usługi komunikacji elektronicznej.

 

Kluczowe obszary objęte regulacją DORA

DORA składa się z 5 kluczowych obszarów:


 

  • Zarządzanie ryzykiem ICT – kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem ICT (strategie, polityki, protokoły i narzędzia niezbędne do właściwej i skutecznej ochrony infrastruktury), które podlegają przeglądowi co najmniej raz w roku.
    • Identyfikacja, klasyfikacja i dokumentacja funkcji biznesowych związanych z ICT,
    • Opracowanie polityki bezpieczeństwa informacji,
    • Posiadanie mechanizmów pozwalających na szybkie wykrywanie nieprawidłowych działań,
    • Wdrożenie kompleksowej polityki ciągłości działania w zakresie ICT,
    • Polityka tworzenia kopii zapasowych,
    • Wnioski z testów i incydentów,
    • Obowiązkowe szkolenia dla personelu (pracowników i kadry kierowniczej),
    • Plany komunikacyjne umożliwiające odpowiedzialne ujawnienie incydentów związanych z ICT lub poważnych podatności klientom i kontrahentom.
  • Incydenty związane z ICT – zarządzanie, klasyfikacja i raportowanie – procesy zapewniające monitorowanie incydentów związanych z ICT i działania naprawcze.
    • Klasyfikacja incydentów i określenie ich wpływu w oparciu o określone kryteria (w tym czas trwania incydentu, liczba użytkowników, których dotyczy incydent, krytyczność usług, których dotyczy incydent),
    • zgłaszanie poważnych incydentów do odpowiedniego właściwego organu (wstępne zgłoszenie, sprawozdanie pośrednie i końcowe).
  • Testowanie cyfrowej odporności operacyjnej – sprawdzanie wszystkich kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania obejmuje:
    • Analizę open source,
    • Oceny bezpieczeństwa sieci,
    • Testowanie scenariuszy,
    • Testowanie wydajności,
    • Testy penetracyjne (podmioty inne niż mikroprzedsiębiorstwa powinny co najmniej raz na trzy lata przeprowadzić zaawansowane testy z wykorzystaniem testów penetracyjnych do wyszukiwania zagrożeń - dokumentacja testów ma być zatwierdzona przez odpowiednie organy).
  • Zarządzanie ryzykiem stron trzecich w branży ICT – wszystkie procesy związane ze współpracą z zewnętrznymi dostawcami.
    • Ocena dostawcy,
    • Wdrożenie strategii wyjścia (możliwość wycofania się z ustaleń umownych z dostawcą usług ICT) oraz opracowanie planu przejścia, który nie spowoduje zakłócenia pracy systemów oraz naruszenia ciągłości i jakości świadczonych usług,
    • Umowy z dostawcami usług ICT (w formie pisemnej) zawierające umowy o poziomie usług,
    • Określenie kluczowych zewnętrznych dostawców usług teleinformatycznych, 
    • Okresowe kary pieniężne dla kluczowych zewnętrznych dostawców usług teleinformatycznych.
  • Ustalenia dotyczące wymiany informacji – możliwość dzielenia się przez podmioty finansowe informacjami o zagrożeniach cybernetycznych oraz wynikami analizy takiego zagrożenia, w tym:
    • Oznaki naruszenia integralności systemu,
    • Taktyki,
    • Techniki i procedury,
    • Ostrzeżenia dotyczące cyberbezpieczeństwa,
    • Narzędzia konfiguracyjne.

 

W ramach każdego z kluczowych obszarów, DORA wymaga od podmiotów finansowych spełnienia szeregu wymogów w odniesieniu do różnych aspektów w ramach ICT i bezpieczeństwa cyfrowego. W ten sposób wytycza kompleksowe* ramy dla cyfrowej odporności podmiotów finansowych.

* Europejskie organy nadzoru mają przygotować i opublikować regulacyjne standardy techniczne dotyczące wytycznych zawartych w rozporządzeniu w celu skonkretyzowania wymogów.

 

Jakie są spodziewane wyzwania związane z DORA?

  • Wyeliminowanie nakładających się na siebie regulacji oraz niespójności i luk prawnych,
  • Zwiększenie wymiany informacji i współpracy w zakresie analizy zagrożeń cybernetycznych w celu umożliwienia poszczególnym podmiotom finansowym właściwej oceny, monitorowania, obrony przed zagrożeniami cybernetycznymi i reagowania na nie,
  • Standaryzacja wymogów dotyczących zgłaszania incydentów w zakresie technologii informacyjno-komunikacyjnych, tak aby organy nadzoru miały pełny obraz charakteru, częstotliwości, znaczenia i wpływu incydentów,
  • Zmniejszenie kosztów przestrzegania przepisów dla podmiotów finansowych, w szczególności dla podmiotów finansowych prowadzących działalność transgraniczną.

 

Jakie działania powinny być podjęte przez podmioty finansowe?

  • Dostosowanie procesów i praktyk do wytycznych rozporządzenia, w tym polityk dotyczących bezpieczeństwa informacji, ciągłości działania, reagowania na incydenty i odzyskiwania danych po awarii,
  • Przygotowanie się do przeprowadzania okresowych ocen i sprawozdań,
  • Zidentyfikowanie i dokonanie przeglądu wszystkich dostawców usług ICT, powiązanych umów i dokumentacji.

 

4.03 System pilotażowy
Następna lekcja

4.03 System pilotażowy

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru umożliwia tymczasowe wyłączenie DLT z niektórych obligacji prawnych obecnego systemu regulacyjnego.

Otwórz lekcję

Wejdź do świata kryptowalut z nową aplikacją zondacrypto!