17.11.2022
Rozporządzenie DORA – bezpieczeństwo w cyberprzestrzeni podmiotów rynku finansowego
Banki, firmy ubezpieczeniowe i inne podmioty rynku finansowego coraz częściej opierają się w swojej działalności na usługach internetowych, aplikacjach dla klientów i kontrahentów, programach komputerowych do bieżącej działalności.
Nie wspominając nawet o kryptowalutach, pieniądzu elektronicznym czy inwestycjach na giełdach międzynarodowych – wyraźnie widać, że usługi finansowe nawet w naszej codziennej działalności przeniosły się do sfery cyfrowej.
Powyższe ułatwia życie nam wszystkim. Zamiast udawać się do banku z każdym przelewem, wystarczy nam kilka kliknięć myszką i już środki znajdują się na koncie docelowego odbiorcy. Nie musimy martwić się już, że zapomnieliśmy wykupić polisę ubezpieczeniową przed podróżą do innego kraju, skoro w drodze na lotnisko możemy na smartfonie złożyć wniosek i otrzymać polisę w ciągu kilku minut.
Jeśli prowadzimy biznes z kontrahentem z innego kraju, z przelewem błyskawicznym możemy opłacić towar w kilka minut czy bez problemu ubezpieczyć towar w kraju kontrahenta.
Denerwujemy się tylko, że bank wymaga od nas podwójnej czy potrójnej autoryzacji, a my nie mamy już siły zapamiętywać, któregoś z kolei silnego hasła czy znaków cyfrowych dla jednego z naszych 5 kont bankowych.
Rzadko zastanawiamy się jednak, z jak wielkim ryzykiem wiąże się przejście w tym zakresie do strefy cyfrowej. Rozwój tej strefy powoduje znaczne zwiększenie aktywności przestępczej i wzrost liczby cyberataków zarówno na systemy podmiotów finansowych, jak również nasze indywidualne konta.
W związku z tym nasz polski regulator – Komisja Nadzoru Finansowego, jak również organizacje międzynarodowe, nakładają coraz to bardziej restrykcyjne obowiązki na powyższe podmioty, nie po to, aby utrudniać nam życie… ale po to, aby chronić nas i nasze pieniądze. Mając na uwadze, że transakcje te coraz częściej mają charakter międzynarodowy, niewystarczającym jest regulowanie tej kwestii na poziomie krajowym, czy też wydawanie jedynie wytycznych, których egzekwowanie w kraju docelowym nie jest do końca jasne i przejrzyste.
Dlatego też, Unia Europejska już w 2020 roku rozpoczęła prace nad Rozporządzeniem w sprawie operacyjnej odporności cyfrowej (DORA). Prace nad tak istotnym dokumentem połączone były jednak z olbrzymim nakładem pracy, czasu i konsultacji z wszystkimi państwami członkowskimi. 10 maja 2022 roku organy Unii Europejskiej doszły do wstępnego porozumienia w zakresie treści Rozporządzenia, które to z uwagi na swój charakter prawny będzie bezpośrednio wiązało podmioty finansowe jak również ich dostawców usług cyfrowych bez konieczności bezpośredniego wdrożenia go w osobnej ustawie w każdym kraju członkowskim.
DORA będzie stanowić swoistą konstytucję, nieprzekraczalny zakres praw i obowiązków nałożonych na instytucje finansowe w zakresie bezpieczeństwa finansowego w obszarze cyfrowym. Dla instytucji finansowej, czy też outsourcera usług IT dla branży finansowej, DORA będzie więc równie istotnym aktem prawnym, jak dotychczas RODO dla każdego podmiotu prawnego.
DORA ma na celu wzmocnienie bezpieczeństwa systemów cyfrowych instytucji finansowych, a w związku z tym wzmocnienie również naszego bezpieczeństwa.
Oczekuje się, że DORA zostanie zatwierdzona w 2022 roku i wprowadzona w życie do 2023 roku. Okres na wdrożenie większości wymagań ma jednak wynosić 24 miesiące, a w zakresie wdrożenia wymogów dotyczących testowania odporności 24 lub 26 miesięcy, w zależności od ostatecznie wypracowanego stanowiska Parlamentu Europejskiego i Rady Unii Europejskiej.
Co reguluje DORA:
- Zarządzanie ryzykiem cyberbezpieczeństwa oraz strukturę zarządzania ICT:
- Testy odporności/ciągłości:
- Wymianę informacji:
- Outsourcing usług ICT:
- Zgłaszanie incydentów:
- wydanie nakazu zaprzestania danego postępowania oraz do powstrzymania się od ponownego podjęcia;
- wymaganie tymczasowego lub stałego zaprzestania wszelkiej praktyki lub postępowania;
- przyjęcie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych przez podmioty finansowe;
- wymaganie, udostępnienia istniejących rejestrów przesyłu danych będących w posiadaniu operatora telekomunikacyjnego;
- wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia.