Reklama:

Ekonomia. Krótka historia

Partnerzy Serwisu:

Quark
Polskie Stowarzyszenie Bitcoin

DORA w branży finansowej – jak uzyskać zgodność z nowymi przepisami?

W ostatnich latach sektor finansowy w Unii Europejskiej doświadczył intensywnych zmian regulacyjnych, które mają na celu zwiększenie bezpieczeństwa i stabilności instytucji finansowych. Jednym z kluczowych elementów tych zmian jest Dyrektywa w Sprawie Cyfrowej Odporności Operacyjnej (DORA). 

5 czerwca 2024 | 12:47

Podczas 11 Digital Money & Currency Forum, Monika Macura z Kancelarii Macura przedstawiła szczegółową prezentację na temat DORA i jej wpływu na branżę finansową, co stanowi podstawę do opracowania tego artykułu.

Co to jest DORA?

DORA, czyli Digital Operational Resilience Act, jest regulacją wprowadzoną przez Unię Europejską, której celem jest ustanowienie jednolitych ram zarządzania ryzykiem technologicznym w instytucjach finansowych. Rozporządzenie to zostało przyjęte w 2022 roku i wejdzie w życie w styczniu 2025 roku, nakładając na podmioty finansowe obowiązek pełnej zgodności z jego przepisami.

Kluczowe cele DORA

  1. Jednolite zasady zarządzania ryzykiem technologicznym: DORA wprowadza spójne dla całej Unii Europejskiej zasady zarządzania ryzykiem związanym z technologią, co ma na celu zapewnienie stabilności i bezpieczeństwa systemów informatycznych używanych przez instytucje finansowe.
  2. Zgłaszanie incydentów operacyjnych: Instytucje finansowe będą zobowiązane do zgłaszania poważnych incydentów operacyjnych związanych z bezpieczeństwem. Nowe przepisy określą dokładne kryteria kwalifikacji incydentów oraz procedury ich raportowania.
  3. Testowanie odporności cyfrowej: DORA nakłada obowiązek regularnego testowania odporności cyfrowej systemów informatycznych, w tym przeprowadzania zaawansowanych testów penetracyjnych co trzy lata.

Wpływ DORA na instytucje finansowe

Dla tradycyjnych banków, instytucji kredytowych oraz zakładów ubezpieczeń, które już podlegają różnym regulacjom, DORA może być postrzegana jako ewolucja obecnych wymogów. Wprowadzenie nowych ram zarządzania ryzykiem będzie wymagało dostosowania istniejących procedur oraz przeprowadzenia audytów wewnętrznych w celu identyfikacji i eliminacji luk bezpieczeństwa.

Dla podmiotów, które nie były wcześniej objęte tak szerokimi regulacjami, jak dostawcy usług w zakresie kryptoaktywów czy dostawcy ICT, DORA stanowić będzie rewolucję. Nowe przepisy wymuszą na tych firmach wprowadzenie skomplikowanych procedur zarządzania ryzykiem i bezpieczeństwem, co może wiązać się z koniecznością znacznych inwestycji w infrastrukturę i szkolenia.

Implementacja DORA

Każda instytucja finansowa powinna rozpocząć przygotowania do wdrożenia DORA od przeprowadzenia szczegółowej analizy ryzyka. Kluczowe jest zrozumienie, jakie zasoby i technologie są najbardziej narażone na ryzyko oraz jak te ryzyka mogą wpłynąć na operacje instytucji. Regularne audyty pomogą w identyfikacji słabych punktów i pozwolą na ich eliminację przed wejściem przepisów w życie.

DORA wymaga, aby dokumentacja dotycząca zarządzania ryzykiem była nie tylko szczegółowa, ale również aktywnie stosowana i regularnie aktualizowana. Instytucje muszą stworzyć i utrzymywać kompleksowe polityki ciągłości działania, które określą krytyczne zasoby i funkcje oraz zasady ich odzyskiwania w przypadku awarii.

DORA obejmuje również zewnętrznych dostawców usług ICT, co oznacza, że instytucje finansowe będą musiały renegocjować istniejące umowy z dostawcami, aby uwzględniały one nowe wymogi regulacyjne. Kluczowe jest, aby umowy te zawierały jasne postanowienia dotyczące zarządzania ryzykiem i bezpieczeństwem danych.

Przyszłość z DORA

Wprowadzenie DORA zmieni sposób, w jaki instytucje finansowe zarządzają ryzykiem technologicznym. Choć wymaga to znacznych nakładów na dostosowanie się do nowych przepisów, korzyści w postaci zwiększonego bezpieczeństwa i stabilności operacyjnej są nie do przecenienia. Instytucje, które wcześnie rozpoczną przygotowania, będą mogły lepiej zarządzać procesem wdrożenia i uniknąć potencjalnych kar za niezgodność.

DORA jest krokiem milowym w regulacji sektora finansowego, który ma na celu wzmocnienie odporności cyfrowej instytucji finansowych w całej Unii Europejskiej. Wprowadzenie jednolitych zasad zarządzania ryzykiem technologicznym, obowiązek zgłaszania incydentów oraz regularne testowanie odporności cyfrowej to tylko niektóre z kluczowych elementów tej regulacji. Przygotowanie się do tych zmian już teraz pozwoli instytucjom finansowym na płynne przejście do nowych wymogów i zabezpieczenie swojej działalności na przyszłość.

Transmisję wideo i nagrania z wydarzenia 11 Digital Money & Currency Forum można oglądać na stronie: https://digitalmoneyforum.biz/

Reklama:

Quark