Rozporządzenie UE w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Komentarz

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14.12.2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011(Dz.Urz. UE L Nr 333, s. 1 ze sprost.) stanowi część unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych. Celem rozporządzenia DORA (Digital Operational Resilience Act) jest dostosowanie ram regulacyjnych do rozwoju technologii finansowych oraz ujednolicenie norm bezpieczeństwa cyfrowego w sektorze finansowym, w szczególności w zakresie:

• zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi;
• zarządzania incydentami związanymi z technologiami informacyjno-komunikacyjnymi, ich klasyfikacji i sposobu zgłaszania;
• testowania operacyjnej odporności cyfrowej;
• zarządzania ryzykiem ze strony zewnętrznych dostawców usług związanych z technologiami informacyjno-komunikacyjnymi.

Szacuje się, że liczba podmiotów w całej Unii Europejskiej objętych przepisami DORA sięgnie około 22 tysięcy. DORA ma więc służyć wzmocnieniu odporności cyfrowej podmiotów sektora finansowego, poprzez wprowadzenie zunifikowanych zasad zarządzania różnymi rodzajami zewnętrznych dostawców usług ICT, w tym dostawcami usług chmurowych, oprogramowania, usług analizy danych i dostawców usług przetwarzania danych.

Oddając ten komentarz pragniemy dostarczyć Państwu przewodnik nie tylko po unijnych przepisach dotyczących zarządzania cyberbezpieczeństwem w sektorze finansowym, ale także po najnowszych aktach wykonawczych i wytycznych w zakresie:

• prowadzenia stałej analizy ryzyka jako nowego standardu zarządzania instytucjami finansowymi;
• przeprowadzania testów cyfrowej odporności operacyjnej;
• stałej współpracy z organami nadzoru;
• zgłaszania incydentów teleinformatycznych.

Proponowane w komentarzu ujęcie tej skomplikowanej tematyki cechuje zintegrowane podejście teoretyczno-praktyczne. Zamiarem autorów było odniesienie się do praktycznych aspektów wdrożenia nowej regulacji przy uwzględnieniu koniecznych elementów teoretycznoprawnych.

Publikacja przeznaczona jest dla podmiotów funkcjonujących na rynku usług finansowych, mających obowiązek przyjąć unijne rozwiązania dostosowujące, a także dla szerokiego grona odbiorców zainteresowanych wymogami dotyczącymi bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych zarówno od strony praktycznej, jak i teoretycznej.