Dziesiątego listopada br. w Parlamencie Europejskim odbyło się głosowanie na którym przyjęto rezolucję ustawodawczą dotyczącą rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego (w skrócie ang. DORA).
Celem nowej regulacji jest usprawnienie i aktualizacja istniejących przepisów dotyczących zarządzania bezpieczeństwem operacyjnym instytucji szeroko rozumianego rynku finansowego. DORA wprowadza nowe regulacje w miejscu istniejących luk w szczególności w odniesieniu do testowania odporności cyfrowej, wymiany informacji i zarządzania ryzykiem operacyjnym związanym z cyberbezpieczeństwem.
Cyfrowa odporność operacyjna to zdolność do utrzymania ciągłości i jakości świadczonych przed podmiot usług w obliczu pojawiających się zakłóceń wpływających na technologie informatyczne. Jest to zdolność do budowania, utrzymania, testowania i ciągłego udoskonalania integralności technologicznej i operacyjnej.
Każdy z podmiotów objętych regulacją DORA musi posiadać program testowania odporności cyfrowej na potencjalne incydenty związane z cyberbezpieczeństwem. Program ma obejmować szereg audytów, testów, metodyk, praktyk i innych narzędzi pomocnych w ocenie odporności na zagrożenia. Regulacja nakłada obowiązek prowadzenia testów bezpieczeństwa wszystkich kluczowych systemów i aplikacji informatycznych w podmiocie jej podlegającym.
Rozporządzenie DORA stanowi uzupełnienie istniejących w UE regulacji z obszaru cyberbezpieczeństwa takich jak NIS, PSD2 oraz RODO. W Polsce, DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego. Mamy tu na myśli wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
