HomeBiznesCo to jest DORA?

Co to jest DORA?

Co to jest DORA?

Co to jest DORA?

Unia Europejska upewnia się co do bezpieczeństwa swoich systemów teleinformatycznych. Powstało w tym celu specjalne rozporządzenie nazwane potocznie DORA. Co to oznacza dla Krajów Członkowskich?

Co to jest DORA? Nowe możliwości i zagrożenia

Technologie informatyczne rozwinęły się w ostatnich kilkudziesięciu latach tak znacznie, że wspomagają już niemal każdą dziedzinę życia. Wciąż obserwujemy wzrost zaawansowania systemów oraz odpowiedzialności na nich spoczywającej. Ludzkość w wielu aspektach stała się zależna od IT. Z tego powodu bardzo łatwo zdestabilizować różne gałęzie gospodarki, czy to celowo, czy w wyniku wypadku lub błędu. Komisja Europejska dostrzegła wzrastające niebezpieczeństwo i postarała się o stworzenie odpowiedniej ustawy mającej na celu zapewnienie większej odporności sektora finansowego.

Co to jest DORA?

DORA to skrót Digital Operational Resilience Act, który tłumaczy się na polski tytuł:  Rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego. We wstępie ustawodawca tłumaczy powstanie aktu jako odpowiedź na dostrzegane zagrożenia dla funkcjonowania technologii informacyjno-komunikacyjnych (ICT). Cyberataki i inne zakłócenia w funkcjonowaniu powyższych mogą mieć według Komisji poważne skutki dla gospodarki europejskiej. Wzrósł procent obywateli i instytucji korzystających z najnowszych technologii w celu dokonywania przelewów, uzyskiwania i udzielania kredytów, obsługi roszczeń, prowadzenia handlu. Formę cyfrową zyskała także obsługa ubezpieczeń.

Komisja zwraca uwagę na fakt, iż całość infrastruktury finansowej to jeden wielki organizm, którego komponenty są ściśle ze sobą połączone. W związku z tym, w razie jakiegokolwiek incydentu, skutki mogą błyskawicznie rozprzestrzenić się na tysiące podmiotów finansowych zlokalizowanych w różnych krajach. To dowodzi wysokiej wrażliwości sektora na cyberzagrożenia i konieczności zbudowania większej jego odporności.

Co to jest DORA? Szersza perspektywa

DORA jest elementem pięcioletniego planu działania rozpisanego w celu ochrony przed powyższymi zagrożeniami. W jego trakcie realizowane są następujące zadania:

Stworzenie rozporządzenia dotyczącego kryptowalut,

Utworzenie systemu pilotażowego dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT),

Podjęcie działań w celu wyjaśnienia niektórych przepisów unijnych dotyczących usług finansowych lub zmiany tychże,

Zwiększenie operacyjnej odporności cyfrowej sektora finansowego – to właśnie opisywana w niniejszym artykule DORA.

Nowe obowiązki

Co oznacza wejście w życie Rozporządzenia? Więcej obowiązków dla podmiotów finansowych. Będą musiały się stale upewniać co do bezpieczeństwa i wydajności stosowanych systemów teleinformatycznych i innych tego typu narzędzi. Konieczna będzie ciągła kontrola nietypowych operacji, wrażanie strategii przeciwdziałania cyberzagrożeniom oraz odpowiedniego protokołu w razie wystąpienia incydentu. Co więcej, podmioty muszą zadbać o odpowiednio szybkie i efektywne przywrócenie narzędzi do gotowości po zażegnaniu niebezpieczeństwa.

Poza tym, odpowiedzialność obejmuje także opiekę nad urządzeniami i fizycznymi infrastrukturami wspomagającymi pracę narzędzi teleinformatycznych. Rozporządzenie dookreśla również zasady korzystania z zewnętrznych dostawców technologii, przede wszystkim sposoby zawierania umów i zapisy, jakie muszą się w nich znaleźć. Nacisk położono między innymi na obowiązki sprawozdawcze firm zewnętrznych, prawa dostępu i audytu, dostęp oraz odzyskiwanie danych.

Wszelkie incydenty, jakie wystąpią w trakcie pracy infrastruktury teleinformatycznej, będą podlegały ścisłemu monitoringowi oraz obowiązkowi zgłaszania. Rozporządzenie wprowadza jednolity formularz zgłoszenia oraz nowy sposób klasyfikacji zdarzeń. Podmioty będą miały także obowiązek informowania swoich klientów o incydentach.

Mniejsze obciążenie

Instytucje finansowe już obawiają się dodatkowych obowiązków, które na nie spadną w związku z wejściem w życie Rozporządzenia. Na szczęście część firm może zostać zwolniona z tego typu obciążeń. Mniejsze podmioty, zatrudniające poniżej 10 osób oraz wykazujące obrót mniejszy niż 2 miliony euro mogą liczyć na to zmniejszoną ilość obowiązków. Poza tym, Ustawodawca zapowiada indywidualne podejście do poszczególnych instytucji w kwestii raportowania.

Co to jest DORA? Konieczność wzmocnienia ochrony

Akt DORA, pomimo faktu, iż wprowadza dodatkowe zasady i przysparza podmiotom finansowym więcej pracy, nie został przyjęty negatywnie. Firmy wchodzące w skład sektora finansowego zdają sobie sprawę z licznych zagrożeń, jakie narastają wraz z rozwojem technologii. W związku z tym, chętnie podejmują działania mające na celu zwiększenie odporności narzędzi ICT oraz infrastruktury teleinformatycznej. Siła całego systemu zależy od podatności jego najmniejszych komponentów, gdyż ataki i ich skutki mogą się błyskawicznie rozprzestrzeniać. Jeśli więc firmy nie zadbają odpowiednio o bezpieczeństwo i nie dokonają analiz ryzyka, może to mieć poważne konsekwencje dla globalnej gospodarki. A chyba wszyscy się zgodzimy, że operacje finansowe i ich obsługa w formie elektronicznej muszą zawsze podlegać bardzo rygorystycznej ochronie.

Źródło:

https://data.consilium.europa.eu/doc/document/PE-41-2022-INIT/pl/pdf

pl_PLPolish