DORA (ang. Digital Operational Resilience Act) to akt prawny, którego projekt powstał już 24 września 2020 r. Wiąże się z ujednoliceniem przepisów dotyczących cyberbezpieczeństwa w sektorze finansowym i zwiększeniem operacyjnej odporności cyfrowej podmiotów finansowych działających na terenie wspólnoty europejskiej. Już za kilkanaście miesięcy tysiące organizacji będzie musiało spełniać dodatkowe wymagania. Tym, co wyróżnia rozporządzenie DORA na tle innych regulacji sektora finansowego jest to, że obejmuje nie tylko firmy zajmujące się świadczeniem usług finansowych, ale także dostawców usług ICT. DORA daje tzw. wiodącym organom nadzorczym, właściwym dla danego kraju, szereg praktycznych narzędzi umożliwiających dogłębną kontrolę.

DORA jest rozporządzeniem, a więc nowe przepisy będą obowiązywały bezpośrednio we wszystkich państwach członkowskich UE bez konieczności tworzenia wewnętrznych interpretacji (choć z pewnością wiele wewnętrznych organizacji zajmujących się nadzorem finansowym stworzy własne regulacje dopasowane do prawa krajowego). Poza włączeniem w obszar regulacji dostawców usług ICT, zmiany dotyczą głównie:

Zapisy rozporządzenia wprowadzają także wytyczne dotyczące treści kontraktów zawieranych z dostawcami usług ICT. W umowie muszą znaleźć się między innymi: ocena krytyczności poszczególnych usług, jurysdykcja i lokalizacja dostawcy usług, informacje dotyczące przetwarzania danych i zachowania poufności, wykaz wykorzystywanych środków technicznych (np. metod kontroli dostępu do sieci i systemów).

• • konieczności stworzenia strategii zarządzania ryzykiem wewnątrz organizacji finansowych oraz zarządzania ryzykiem ze strony kluczowych dostawców ICT, a także scenariuszy działań w przypadku wystąpienia incydentu bezpieczeństwa,

• • obowiązku przeprowadzania regularnych testów penetracyjnych systemów i sieci IT oraz ćwiczeń dotyczących ciągłości działania na wypadek incydentów występujących po stronie dostawców ICT,

• • obowiązku zgłaszania incydentów właściwym organom,
  • konieczności utrzymywania aktualnych systemów informacyjno-komunikacyjnych

• DORA to jednak tylko część szerokiej strategii poprawy bezpieczeństwa sieci i systemów ICT w sektorze finansowym. Jest niejako uzupełnieniem takich aktów prawnych, jak rozporządzenie RODO. regulujące sposób przetwarzania danych osobowych, a także dyrektywy NIS/NIS2. To właśnie NIS/NIS2, jako pierwsze unijne prawo dotyczące cyberbezpieczeństwa, stworzyły fundament do uchwalenia ustawy o Krajowym Systemie Cyberbezpieczeństwa. Ustawa ta dotyczy nie tylko instytucji finansowych, ale wszystkich dostawców kluczowych usług o krytycznym znaczeniu dla funkcjonowania państw członkowskich. Sprawy związane z cyberbezpieczeństwem instytucji finansowych w Polsce regulowała dotąd głównie dyrektywa PSD2 oraz Rekomendacja D wydana w 2002 roku przez Komisję Nadzoru Finansowego. Rekomendacja D została podzielona na 4 obszary rozwoju środowiska w kierunku poprawy bezpieczeństwa, a nadchodzące zmiany związane z DORA powinny uszczelnić przede wszystkim luki obowiązujących przepisów wynikające z niedostatecznego poziomu zarządzania ryzykiem.Za nieprzestrzeganie przepisów, wynikających z rozporządzenia, organ nadzorczy będzie uprawniony do nakładania kar finansowych w wysokości do 10% rocznego obrotu w przypadku instytucji finansowej (w zależności od stopnia, charakteru i skutków naruszenia) oraz do 1% dziennego średniego obrotu światowego za poprzedni rok – w przypadku dostawców usług ICT.

  Kiedy rozporządzenie DORA wchodzi w życie?

  Rozporządzenie DORA zostało przyjęte przez Radę Unii Europejskiej 28 listopada 2022 roku. W przypadku nowego prawa przewidziano 24-miesięczne vacatio legis. Zważywszy na to, że przepisy weszły w życie 16 stycznia 2023 roku, podmioty objęte nowymi regulacjami powinny dostosować do nich najpóźniej 17 stycznia 2025 roku. Do tego czasu trwać będą procedury związane z wyznaczaniem dostawców ICT, jako kluczowych dla sektora finansowego oraz wypracowywanie nowych umów pomiędzy instytucjami finansowymi a obsługującymi je podmiotami.

  Kogo obejmie rozporządzenie DORA? Jak się do niego przygotować?

  Przepisy wynikające z rozporządzenia DORA obejmą wszystkie podmioty działające w sektorze finansowym – zarówno tradycyjne banki, jak i FinTechy, operatorów obrotu kryptoaktywów i pieniądza elektronicznego, a także (co jest największą nowością) -dostawców usług ICT, świadczących usługi dla tych organizacji. Firmy, które zostaną wyznaczone jako dostawcy kluczowych usług ICT dla regulowanego sektora, będą podlegać bezpośredniemu nadzorowi finansowemu uprawnionych organów. Procedura wyznaczania dostawców kluczowych rozpocznie się planowo po 18 miesiącach od chwili wejścia przepisów w życie, a więc od 16 stycznia 2023 roku. Przeprowadzać ją będą europejskie organy: EBA (European Banking Authority), ESMA (European Securities and Markets Authority) oraz EIOPA ( European Insurance and Occupational Pensions Authority ). O objęcie regulacjami będą mogły zawnioskować osobiście dostawcy usług ICT. Wiąże się to ze sprowadzeniem na nie dodatkowych obowiązków, ale jest transparentne i pozwala uzyskać im lepszą pozycję rynkową.

  Nadchodzące przepisy wymuszą na wielu podmiotach wprowadzenie wielu zmian proceduralnych i konieczność zastosowania nowych zasad cyberbezpieczeństwa. Niedostosowanie się do nowej rzeczywistości może skutkować dotkliwymi karami finansowymi.

  ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r.