Rozporządzenie DORA a zmiany w obszarze cyberbezpieczeństwa

Wyślij link znajomemu

Dziesiątego listopada br. w Parlamencie Europejskim odbyło się głosowanie na którym przyjęto rezolucję ustawodawczą dotyczącą rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego (w skrócie ang. DORA).

Celem nowej regulacji jest usprawnienie i aktualizacja istniejących przepisów dotyczących zarządzania bezpieczeństwem operacyjnym instytucji szeroko rozumianego rynku finansowego. DORA wprowadza nowe regulacje w miejscu istniejących luk w szczególności w odniesieniu do testowania odporności cyfrowej, wymiany informacji i zarządzania ryzykiem operacyjnym związanym z cyberbezpieczeństwem.

Cyfrowa odporność operacyjna to zdolność do utrzymania ciągłości i jakości świadczonych przed podmiot usług w obliczu pojawiających się zakłóceń wpływających na  technologie informatyczne.  Jest to zdolność do budowania, utrzymania, testowania i ciągłego udoskonalania integralności technologicznej i operacyjnej.

Każdy z podmiotów objętych regulacją DORA musi posiadać program testowania odporności cyfrowej na potencjalne incydenty związane z cyberbezpieczeństwem. Program ma obejmować szereg audytów, testów, metodyk, praktyk i innych narzędzi pomocnych w ocenie odporności na zagrożenia. Regulacja nakłada obowiązek prowadzenia testów bezpieczeństwa wszystkich kluczowych systemów i aplikacji informatycznych w podmiocie jej podlegającym.

Rozporządzenie DORA stanowi uzupełnienie istniejących w UE regulacji z obszaru cyberbezpieczeństwa takich jak NIS, PSD2 oraz RODO. W Polsce, DORA dodatkowo obejmie i rozszerzy obecnie istniejące regulacje wydane przez Urząd Komisji Nadzoru Finansowego. Mamy tu na myśli wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz dotyczące przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

Świadome przygotowanie organizacji na nadejście DORY może wnieść wiele korzyści, jakimi są m.in.:

  • Poprawa funkcjonowania organizacji w obszarach objętych regulacjami nadzorców polskich oraz unijnych.
  • Podniesienie odporności organizacji na zagrożenia związane z cyberatakami.
  • Szybkie reagowanie w przypadku wystąpienia sytuacji kryzysowych.
  • Zwiększenie zaufania Klientów i partnerów biznesowych.
  • Zapewnienie zgodności świadczonych usług z wymaganiami określonymi przepisami prawa oraz międzynarodowych norm.

Rozporządzenie DORA zacznie obowiązywać we wszystkich krajach UE w okresie 24 miesięcy po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Autor: Wiesław Krawczyński