Dynamiczny rozwój technologii oraz rosnąca liczba cyberzagrożeń sprawiają, że bezpieczeństwo cyfrowe staje się jednym z najważniejszych wyzwań współczesnego sektora finansowego. W odpowiedzi na te potrzeby Unia Europejska wprowadziła Rozporządzenie DORA (Digital Operational Resilience Act). Instytucje finansowe mają czas na dostosowanie się do nowych przepisów do 17 stycznia 2025 roku.
Z tego artykułu dowiesz się:
- Co to jest Rozporządzenie DORA i dlaczego jest ważne?
- Kogo obejmuje Rozporządzenie DORA? Czy dotyczy mojej organizacji?
- Jakie wymagania stawia Rozporządzenie DORA?
- Jak LOG Plus odpowiada na obowiązki nakładane przez DORA?
- Jak spełnić wymagania DORA i uniknąć kar finansowych?
- Jakie kary grożą za brak zgodności z DORA?
Co to jest Rozporządzenie DORA i dlaczego jest ważne?
Rozporządzenie DORA to odpowiedź Unii Europejskiej na potrzebę zwiększenia bezpieczeństwa cyfrowego w sektorze finansowym. Coraz częstsze cyberataki pokazały, jak ważna jest odporność cyfrowa instytucji. Celem DORA jest zapewnienie, że instytucje finansowe, niezależnie od ich wielkości, są odporne na zagrożenia cyfrowe i mają zdolność do szybkiego reagowania na incydenty informatyczne.
DORA ma na celu ujednolicenie zasad zarządzania ryzykiem technologicznym w całej Unii Europejskiej, co oznacza, że każda organizacja objęta regulacją musi wdrożyć odpowiednie środki techniczne i procedury.
Data wejścia w życie: DORA obowiązuje od 16 stycznia 2023 roku. Instytucje finansowe mają czas na pełne dostosowanie się do przepisów do 17 stycznia 2025 roku.
Kogo obejmuje Rozporządzenie DORA? Czy dotyczy mojej organizacji?
Rozporządzenie DORA dotyczy wszystkich instytucji finansowych oraz firm technologicznych współpracujących z tym sektorem. W Polsce, zgodnie z danymi Komisji Nadzoru Finansowego, regulacja obejmie około 2300 podmiotów. Są to m.in.:
- Banki, w tym banki spółdzielcze,
- Firmy ubezpieczeniowe i reasekuracyjne,
- Fundusze inwestycyjne i emerytalne,
- Firmy fintech,
- Operatorzy giełd papierów wartościowych i dostawcy infrastruktury rynkowej,
- Dostawcy usług płatniczych i firm obsługujących płatności online,
- Firmy oferujące usługi chmurowe i technologiczne.
Jeśli Twoja organizacja działa w jednej z tych branż, DORA dotyczy jej bezpośrednio. Nawet jeśli dostarczasz usługi technologiczne na rzecz tych instytucji, również musisz spełniać jej wymagania. Rozporządzenie ma na celu ujednolicenie podejścia do zarządzania ryzykiem cyfrowym na terenie całej Unii Europejskiej.
Jakie wymagania stawia Rozporządzenie DORA?
Rozporządzenie DORA definiuje pięć kluczowych obszarów, które instytucje finansowe muszą spełnić:
- Zarządzanie ryzykiem ICT (technologie informacyjno-komunikacyjne):
Firmy muszą wdrożyć strategię identyfikacji, monitorowania i minimalizacji ryzyka IT. Wymaga to m.in. opracowania planów działania w sytuacjach kryzysowych oraz testowania ich skuteczności.
- Raportowanie incydentów cyfrowych:
Każdy incydent związany z systemami IT, który wpływa na bezpieczeństwo klientów lub stabilność finansową, musi być zgłoszony organowi nadzoru w ciągu 72 godzin od wykrycia.
- Testowanie systemów i procesów:
Instytucje finansowe muszą przeprowadzać regularne testy odporności na zagrożenia, w tym symulacje cyberataków. Testy te muszą być dokumentowane i raportowane do organów nadzoru.
- Zarządzanie ryzykiem dostawców:
Organizacje muszą ocenić ryzyko związane z outsourcingiem usług IT, w szczególności od dostawców chmurowych. Umowy powinny zawierać minimalne standardy bezpieczeństwa.
- Współpraca i wymiana informacji:
W celu zwiększenia odporności cyfrowej firmy muszą dzielić się informacjami na temat cyberzagrożeń z innymi podmiotami z sektora finansowego.
Jak LOG Plus odpowiada na obowiązki nakładane przez DORA?
Zarządzanie ryzykiem ICT (Art. 15 DORA)
Oprogramowanie LOG Plus oferuje wsparcie dla zarządzania ryzykiem ICT, zapewniając:
- Inwentaryzację, przechowywanie i zarządzanie informacjami o zasobach IT (komputery, serwery, sieci, licencje itp.) – spełniając wymóg inwentaryzacji kluczowych zasobów technologicznych w firmie.
- Zarządzanie cyklem życia zasobów – monitorowanie zmian konfiguracji, statusów oraz wpływu zasobów na inne elementy infrastruktury. Te funkcjonalności odpowiadają na potrzebę śledzenia ryzyka i zagrożeń w środowisku ICT.
- Monitorowanie i raportowanie aktywności użytkowników oraz śledzenie incydentów – zgodnie z wymogami dotyczącymi zarządzania ryzykiem ICT i klasyfikacji incydentów.
Zgłaszanie incydentów ICT (Art. 18 DORA)
- LOG Plus umożliwia rejestrowanie i późniejsze monitorowanie incydentów, w tym ICT, takich jak: problemy ze sprzętem, oprogramowaniem czy siecią. Funkcje odpowiadają także na wymogi DORA dotyczące raportowania incydentów w sposób zorganizowany, z możliwością ich późniejszej analizy.
- System obsługuje zgłoszenia incydentów związanych z bezpieczeństwem danych osobowych i innych, wspierając w szybkim zgłaszaniu i analizie incydentów, w tym ICT.
- Automatyzację procedur w przypadku incydentów – system po uruchomieniu Incydentu generuje odpowiedni szereg zadań oraz powiadomień, co umożliwia szybką reakcję na incydenty, minimalizując zakłócenia operacyjne. Zmniejsza ryzyko pomyłki w działaniu operatora oraz pozwala działać zgodnie ze standardami oraz procedurami organizacji oraz wynikającymi z ustaw np. RODO.
Ciągłość operacyjna (Art. 11 i Art. 15 DORA)
Jednym z kluczowych wymagań DORA jest zapewnienie ciągłości operacyjnej, LOG Plus realizuje to poprzez:
- Identyfikację i monitorowanie kluczowych zasobów IT – system daje możliwość oznaczenia zasobów krytycznych oraz monitoruje ich dostępność, umożliwiając błyskawiczną reakcję na zakłócenia.
- System pozwala na odwzorowanie relacji pomiędzy zasobami oraz zasobami a usługami, co ułatwia dotarcie do potencjalnego źródła awarii oraz zidentyfikowanie jej wpływu na pozostałe zasoby/usługi.
- System umożliwia precyzyjne określanie zasobów, usług oraz zależności, które są niezbędne do utrzymania ciągłości operacyjnej w sytuacjach awaryjnych, co odpowiada na wymogi dotyczące minimalizacji przerw operacyjnych.
Testowanie i monitorowanie ciągłości działania (Art. 24 DORA)
- Monitorowanie dostępności zasobów oraz generowanie raportów o stanie infrastruktury – LOG Plus regularnie przesyła raporty o stanie systemów i urządzeń, co ułatwia monitorowanie ich dostępności oraz potencjalnych zagrożeń dla ciągłości działania.
Jak spełnić wymagania DORA i uniknąć kar finansowych?
Przystosowanie organizacji do wymagań DORA wymaga systematycznego podejścia. Kluczowe kroki obejmują:
- Audyt zgodności:
- Przeprowadzenie kompleksowej oceny aktualnego stanu procedur, polityk i systemów IT.
- Identyfikacja luk w zarządzaniu ryzykiem ICT.
- Wdrożenie strategii zarządzania ryzykiem:
- Opracowanie polityki zarządzania ryzykiem ICT zgodnej z wymogami DORA.
- Wdrożenie narzędzi do monitorowania i raportowania incydentów.
- Szkolenia pracowników:
- Podniesienie świadomości pracowników na temat wymagań DORA.
- Szkolenia z zakresu reagowania na incydenty i testów odporności.
- Weryfikacja umów z dostawcami:
- Upewnienie się, że umowy z zewnętrznymi dostawcami zawierają zapisy zgodne z regulacjami DORA.
- Weryfikacja bezpieczeństwa dostawców.
- Testowanie systemów:
- Regularne przeprowadzanie testów odporności na cyberataki i sytuacje kryzysowe.
Jakie kary grożą za brak zgodności z DORA?
Rozporządzenie DORA przewiduje wysokie kary finansowe dla firm, które nie dostosują się do przepisów. Mogą one wynosić nawet 2% rocznego przychodu instytucji. Przykład: w 2022 roku włoski bank Unicredit został ukarany kwotą 4,5 mln euro za niedociągnięcia w procedurach zarządzania ryzykiem IT.
Brak zgodności z DORA może również skutkować:
- Utratą zaufania klientów,
- Sankcjami ze strony organów nadzoru,
- Ograniczeniem działalności operacyjnej.
Podsumowanie
DORA to kluczowy krok w kierunku zwiększenia odporności cyfrowej sektora finansowego w Europie. Dzięki ujednoliceniu standardów zarządzania ryzykiem ICT, instytucje będą lepiej przygotowane na wyzwania współczesnego świata cyfrowego.
Termin wdrożenia DORA upływa 17 stycznia 2025 roku. Organizacje, które już teraz rozpoczną przygotowania, nie tylko unikną kar finansowych, ale także zyskają przewagę konkurencyjną jako organizacje odporne na cyberzagrożenia.