DORA – rozporządzenie o cyfrowej odporności operacyjnej
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), to unijny akt prawny, który jest bezpośrednio stosowany w krajach członkowskich. Celem Rozporządzenia jest aktualizacja wymogów regulacyjnych w obszarze technologii cyfrowych, zapewnienia bezpieczeństwa i standardów odporności cyfrowej w całym sektorze finansowym oraz wśród dostawców usług ICT dla tego sektora.
Regulacje objęte Rozporządzeniem dotyczą między innymi: banków, firm ubezpieczeniowych, firm inwestycyjnych, podmiotów z obszaru cyfrowych finansów (w tym firm FinTech i giełd kryptowalut), instytucji płatniczych oraz instytucji pieniądza elektronicznego, a także podmiotów infrastruktury rynku finansowego (np. giełdy, agencje ratingowe). Osobną grupą objętą Rozporządzeniem są dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i dostawcy usług ICT (technologii informacyjno-komunikacyjnych). Na przygotowanie się do nowych regulacji podmioty objęte DORA mają czas do 17 stycznia 2025 roku.
Rozporządzenie DORA stanowi uzupełnienie istniejących w Unii Europejskiej regulacji z obszaru cyberbezpieczeństwa, takich jak NIS, PSD2 oraz RODO. W Polsce DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego o wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
DORA kładzie duży nacisk na wdrożenie zarządzania ryzykiem stron trzecich w celu poprawy wydajności procesów oraz zapewnienia stabilności i bezpieczeństwa korzystania z usług ICT świadczonych przez podmioty trzecie. Nasi eksperci wspierają podmioty finansowe w przeglądzie istniejących umów z dostawcami ICT oraz w dostosowaniu ich treści do wymogów Rozporządzenia.
Niezwykle istotnym procesem objętym regulacją DORA jest testowanie odporności cyfrowej na potencjalne incydenty związane z cyberbezpieczeństwem. Proces ma obejmować działania audytowe, testy oraz stosowanie innych narzędzi pomocnych w ocenie odporności na zagrożenia. Regulacja nakłada obowiązek przeprowadzania testów bezpieczeństwa wszystkich kluczowych systemów i aplikacji informatycznych. W ramach swojej działalności tworzymy plany oraz przeprowadzamy badanie odporności cyfrowej dla naszych Klientów.
Co zyskujesz?
- Zamówienie audytu zgodności z DORA umożliwi określenie działań i kosztów niezbędnych do poniesienia w celu dostosowania Państwa podmiotu do wymagań Rozporządzenia.
- Zapewnienie zgodności z Rozporządzeniem poprzez ustalenie oraz wdrożenie procesów zarządzania ryzykiem w obszarze bezpieczeństwa dla systemów, protokołów i narzędzi ICT.
- Dostosowanie procesów obsługi incydentów do wymagań Rozporządzenia DORA.
- Dostosowanie lub wdrożenie nowego procesu zarządzania dostawcami w zakresie określonym w Rozporządzeniu.
- Poprawę bezpieczeństwa funkcjonowania organizacji poprzez wdrożenie procesu testowania operacyjnej odporności cyfrowej.
- Zdolność do szybkiego reagowania w przypadku wystąpienia sytuacji kryzysowych.
- Zwiększenie zaufania Klientów i partnerów biznesowych.