DORA – rozporządzenie o cyfrowej odporności operacyjnej

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), to unijny akt prawny, który jest bezpośrednio stosowany w krajach członkowskich. Celem Rozporządzenia jest aktualizacja wymogów regulacyjnych w obszarze technologii cyfrowych, zapewnienia bezpieczeństwa i standardów odporności cyfrowej w całym sektorze finansowym oraz wśród dostawców usług ICT dla tego sektora.

Regulacje objęte Rozporządzeniem dotyczą między innymi: banków, firm ubezpieczeniowych, firm inwestycyjnych, podmiotów z obszaru cyfrowych finansów (w tym firm FinTech i giełd kryptowalut), instytucji płatniczych oraz instytucji pieniądza elektronicznego, a także podmiotów infrastruktury rynku finansowego (np. giełdy, agencje ratingowe). Osobną grupą objętą Rozporządzeniem są dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i dostawcy usług ICT (technologii informacyjno-komunikacyjnych). Na przygotowanie się do nowych regulacji podmioty objęte DORA mają czas do 17 stycznia 2025 roku.

Rozporządzenie DORA stanowi uzupełnienie istniejących w Unii Europejskiej regulacji z obszaru cyberbezpieczeństwa, takich jak NIS, PSD2 oraz RODO. W Polsce DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego o wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

DORA kładzie duży nacisk na wdrożenie zarządzania ryzykiem stron trzecich w celu poprawy wydajności procesów oraz zapewnienia stabilności i bezpieczeństwa korzystania z usług ICT świadczonych przez podmioty trzecie. Nasi eksperci wspierają podmioty finansowe w przeglądzie istniejących umów z dostawcami ICT oraz w dostosowaniu ich treści do wymogów Rozporządzenia.

Niezwykle istotnym procesem objętym regulacją DORA jest testowanie odporności cyfrowej na potencjalne incydenty związane z cyberbezpieczeństwem. Proces ma obejmować działania audytowe, testy oraz stosowanie innych narzędzi pomocnych w ocenie odporności na zagrożenia. Regulacja nakłada obowiązek przeprowadzania testów bezpieczeństwa wszystkich kluczowych systemów i aplikacji informatycznych. W ramach swojej działalności tworzymy plany oraz przeprowadzamy badanie odporności cyfrowej dla naszych Klientów.

Co zyskujesz?

  • Zamówienie audytu zgodności z DORA umożliwi określenie działań i kosztów niezbędnych do poniesienia w celu dostosowania Państwa podmiotu do wymagań Rozporządzenia.
  • Zapewnienie zgodności z Rozporządzeniem poprzez ustalenie oraz wdrożenie procesów zarządzania ryzykiem w obszarze bezpieczeństwa dla systemów, protokołów i narzędzi ICT.
  • Dostosowanie procesów obsługi incydentów do wymagań Rozporządzenia DORA.
  • Dostosowanie lub wdrożenie nowego procesu zarządzania dostawcami w zakresie określonym w Rozporządzeniu.
  • Poprawę bezpieczeństwa funkcjonowania organizacji poprzez wdrożenie procesu testowania operacyjnej odporności cyfrowej.
  • Zdolność do szybkiego reagowania w przypadku wystąpienia sytuacji kryzysowych.
  • Zwiększenie zaufania Klientów i partnerów biznesowych.

Przykładowe realizacje:

Dla jednego z biur maklerskich wykonaliśmy analizę zgodności w obszarze objętym regulacjami KNF oraz DORA. Następnie we współpracy z Klientem opracowaliśmy i wdrożyliśmy dokumentację systemu zarządzania bezpieczeństwem informacji zgodną z wymaganiami i rekomendacjami UKNF, biorąc pod uwagę cały istniejący kontekst organizacji. Wdrożone zostały także procedury i plany testowania zabezpieczeń technicznych oraz organizacyjnych. Wykonaliśmy również testy odporności cyfrowej istniejących zasobów informatycznych.

Audyt bezpieczeństwa IT

Dlaczego audyt bezpieczeństwa jest potrzebny w Twojej firmie?

Zadzwoń lub wypełnij formularz
Wiesław Krawczyński

+48 22 537 50 50

    Administratorem danych osobowych jest Audytel S.A., ul. ks. I. Skorupki 5, 00-546 Warszawa, tel. +48 22 5375050, e-mail info@audytel.pl. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pod adresem iod@audytel.pl.
    Dane będą przetwarzane w celach udzielenia odpowiedzi na zapytanie (podstawa prawna: prawnie uzasadniony interes administratora) oraz marketingu produktów własnych (podstawa prawna: prawnie uzasadniony interes administratora). Podanie danych jest warunkiem udzielenia odpowiedzi, a ich niepodanie uniemożliwi udzielenie odpowiedzi na pytanie. Dane będą przechowywane do czasu udzielenia odpowiedzi na przesłane zapytanie.
    Każdej osobie przysługuje prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz ich przenoszenia. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego oraz cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych na podstawie prawnie uzasadnionego interesu administratora, a także sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu.