Czym jest DORA i jak wpływa na Twoją firmę?

Ustawa o cyfrowej odporności operacyjnej (DORA) to inicjatywa regulacyjna Komisji Europejskiej (UE), mająca na celu wzmacnianie środków z zakresu cyberbezpieczeństwa w sektorze usług finansowych UE. Z datą wejścia w życie od stycznia 2025 r. DORA nakłada istotne kroki mające na celu wzmocnienie odporności kluczowych uczestników systemu finansowego na rosnące zagrożenia cyberatakami i innymi ryzykami.

DORA obejmuje kompleksowy zestaw przepisów mających na celu konsolidację i podniesienie wymagań dotyczących ryzyka technologii informacyjno-komunikacyjnych (ICT) we wszystkich sektorach finansowych. Ten ramowy system zapewnia, że wszyscy uczestnicy przestrzegają wspólnego zestawu standardów dotyczących ryzyka ICT, tworząc jednolitą i solidną obronę przed potencjalnymi zakłóceniami.

Podstawowe cele DORA koncentrują się wokół zarządzania ryzykiem, raportowania incydentów, testowania odporności, zarządzania ryzykiem związanym z podmiotami trzecimi oraz wymiany informacji. Wymagania te nakładają na instytucje finansowe, a także na kluczowych dostawców zewnętrznych, takich jak dostawcy usług chmurowych (CSPs), konieczność wprowadzenia określonych procesów i procedur.

Główne wymagania

Przedsiębiorstwa podlegające pod DORA mają obowiązek spełnienia pięciu podstawowych wymagań:

  1. Plan reagowania na incydenty: Firmy muszą opracować szczegółowy plan reagowania na incydenty, w którym zdefiniowane będą ataki cybernetyczne, odpowiednie reakcje pracowników oraz procedury przywracania operacji po naruszeniu bezpieczeństwa.
  2. Program cyberbezpieczeństwa: Nakazuje się wprowadzenie kompleksowego programu cyberbezpieczeństwa, w tym ocen zagrożeń związanych z atakami cybernetycznymi oraz odpowiednich planów ograniczenia tych zagrożeń.
  3. Kontrole bezpieczeństwa: Przedsiębiorstwa muszą utrzymywać solidne kontrole bezpieczeństwa nad swoją infrastrukturą cyfrową, obejmujące szyfrowanie, uwierzytelnianie, kontrolę dostępu, rejestry audytu, systemy monitorowania, systemy zarządzania incydentami.
  4. Raportowanie incydentów: Wymaga się terminowego raportowania incydentów, umożliwiającego organom regulacyjnym ocenę podatności oraz udzielenie zaleceń dotyczących poprawy stanu bezpieczeństwa.
  5. Kontynuacja świadczenia usług: Ustalenie planu zapewniającego kontynuację świadczenia usług podczas zakłóceń jest niezbędne dla zgodności z przepisami.

Ramy nadzorcze określone przez DORA nakładają na instytucje regulacyjne UE obowiązek audytowania i oceny kontroli przedsiębiorstw, zapewniając przestrzeganie określonych przez DORA standardów oraz zdolność do utrzymania bezpiecznego i odpornego środowiska do obsługi danych finansowych.

Warto zauważyć, że wpływ DORA nie ogranicza się tylko do UE, ponieważ organy regulacyjne, w tym Amerykańska Komisja Papierów Wartościowych i Giełd (SEC), wprowadziły równoległe propozycje. W odpowiedzi na te zmiany, firmy takie jak SS&C Advent aktywnie dostosowują się do wymagań DORA, podkreślając znaczenie bezpieczeństwa, zgodności i odporności w dzisiejszym nieustannie ewoluującym krajobrazie cyfrowym.

Jakich organizacji dotyczy DORA?

  • Instytucje kredytowe;
  • Instytucje płatnicze;
  • Dostawca usług w zakresie informacji o kontach;
  • Instytucje pieniądza elektronicznego;
  • Instytucje świadczące usługi finansowe;
  • Zewnętrzni dostawcy usług w zakresie technologii informacyjno-komunikacyjnych (ICT); oraz dostawcy usług w zakresie aktywów kryptograficznych upoważnieni na mocy rozporządzenia Parlamentu Europejskiego i Rady w sprawie rynków aktywów kryptograficznych i emitentów tokenów opartych na aktywach.
  • Centra obrotu;
  • Rejestry handlowe;
  • Zarządzający alternatywnymi funduszami inwestycyjnymi;
  • Spółki zarządzające;
  • Dostawcy danych na potrzeby sprawozdawczości finansowej;
  • Dostawca usług finansowania społecznościowego;
  • Rejestr sekurytyzacji;
  • Centralny depozyt papierów wartościowych;
  • Firmy ubezpieczeniowe i reasekuracyjne;
  • Pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pomocniczy pośrednicy ubezpieczeniowi;
  • Instytucje pracowniczych programów emerytalnych;
  • Agencje ratingowe;
  • Menedżer krytycznych wartości referencyjnych;

DORA wymaga od organizacji finansowych monitorowania i zarządzania ryzykiem stwarzanym przez dostawców, z którymi współpracują. Dotyczy to zarówno osób fizycznych, jak i organizacji, które świadczą usługi na rzecz tych firm finansowych – muszą one przestrzegać zasad DORA.

Należy jednak zauważyć, że DORA nie ma zastosowania do wszystkich podmiotów z sektora finansowego. Niektóre z nich są zwolnione, takie jak instytucje zarządzające programami emerytalnymi dla mniej niż 15 osób, małe firmy, takie jak pośrednicy ubezpieczeniowi i niektóre inne organizacje. Pełną listę można znaleźć w Artykule 2.3.

Harmonogram spełniania wymagań DORA

DORA została oficjalnie zatwierdzona 16 stycznia 2023 roku, a instytucje finansowe mają dwa lata na przygotowanie wszystkiego. Oznacza to, że muszą przestrzegać zasad DORA do 17 stycznia 2025 roku. Choć może się wydawać, że jest dużo czasu, warto, aby firmy finansowe zaczęły teraz wdrażać nowe zasady. Nie muszą czekać do ostatniej chwili – mogą zacząć wprowadzać zmiany, aby spełnić wymogi.

Jak możemy pomóc?

W Z3X doskonale rozumiemy wyzwania, przed którymi stają firmy, adaptując się do przepisów regulacji dotyczących Digital Operational Resilience Act (DORA). Dzięki naszej wiedzy na temat ram regulacyjnych jesteśmy tutaj, aby wspierać twoją firmę w zapewnieniu zgodności z wymaganiami DORA.

Nasze dopasowane rozwiązania są projektowane w celu pomocy instytucjom finansowym w wprowadzeniu niezbędnych działań określonych przez DORA. Od opracowania wszechstronnych struktur zarządzania ryzykiem do ustanawiania solidnych planów reagowania na incydenty, nasz zespół w Z3X ma odpowiednie narzędzia, aby prowadzić twoją firmę przez cały proces.

Oferujemy proaktywne podejście, pomagając twojej organizacji wyprzedzić konkurencję i rozpocząć proces wdrożenia z dużym wyprzedzeniem. Wykorzystując naszą wiedzę i doświadczenie, możesz uprościć przyjęcie przepisów DORA, zapewniając płynne przejście i minimalizując zakłócenia w działalności.

Współpracuj z Z3X, aby nie tylko spełniać obowiązki wynikające z przepisów, ale także zwiększać ogólną wytrzymałość i bezpieczeństwo twojego biznesu w zmieniającym się cyfrowym środowisku. Naszym celem jest dostarczenie praktycznych rozwiązań, które odpowiadają na specyficzne potrzeby twojej organizacji, aby podróż w kierunku zgodności z DORA była skuteczna i wydajna. Pozwól Z3X być twoim zaufanym partnerem w radzeniu sobie z zawiłościami przepisów regulacyjnych i zabezpieczaniu przyszłości twojego biznesu.

Pełną regulację DORA znajdziesz tutaj.

Jeśli wolisz przeczytać ten artykuł w języku angielskim, znajdziesz go tutaj: What is DORA and what does it mean for you company?

Podziel się artykułem