Wraz z postępującą cyfryzacją usług finansowych i dynamicznym rozwojem technologii, instytucje finansowe w Unii Europejskiej stanęły przed nowym obowiązkiem: wdrożeniem przepisów rozporządzenia DORA (Digital Operational Resilience Act). To kompleksowy akt prawny ustanowiony przez Parlament Europejski i Radę UE, którego celem jest zapewnienie, by każdy podmiot finansowy był zdolny do działania nawet w obliczu poważnych zakłóceń technologicznych.
Czym jest rozporządzenie DORA?
DORA (rozporządzenie Parlamentu Europejskiego i Rady UE 2022/2554), opublikowane w Dzienniku Urzędowym Unii Europejskiej, wprowadza jednolite standardy operacyjnej odporności cyfrowej sektora finansowego. W praktyce oznacza to konieczność wdrożenia mechanizmów zapewniających odporność systemów informatycznych na incydenty związane z ICT, niezależnie od ich źródła – awarii, błędu ludzkiego czy cyberataku.
Zakres rozporządzenia DORA obejmuje wszystkie instytucje finansowe działające na terenie UE, w tym:
– Instytucje kredytowe
– Instytucje pieniądza elektronicznego
– Instytucje płatnicze
– Alternatywne fundusze inwestycyjne
– Instytucje pracowniczych programów emerytalnych
– Firmy inwestycyjne
– Podmioty świadczące usługi płatnicze
– A także zewnętrznych dostawców usług ICT, w tym dostawców usług chmury obliczeniowej
To uregulowanie świadczenia usług ICT ma kluczowe znaczenie dla zapewnienia ciągłości działania i bezpieczeństwa całego sektora finansowego.
Audyt DORA – pierwszy krok do zgodności
Dla wielu organizacji audyt zgodności z rozporządzeniem DORA to nie tylko obowiązek regulacyjny, ale także szansa na wzmocnienie zdolności podmiotu finansowego do przeciwdziałania zagrożeniom i budowania zaufania wśród partnerów biznesowych.
Podstawowe cele audytu:
– Ocena zgodności z wymaganiami rozporządzenia DORA
– Identyfikacja luk w zabezpieczeniach
– Sprawdzenie przygotowania organizacji na poważne incydenty związane z ICT
– Weryfikacja umów z zewnętrznymi dostawcami usług ICT
– Opracowanie rekomendacji w zakresie zarządzania ryzykiem ICT i operacyjnej odporności cyfrowej
Audyt stanowi fundament skutecznego wdrożenia wymagań określonych w rozporządzeniu DORA Digital Operational Resilience, wspierając instytucje finansowe i inne podmioty sektora finansowego w dostosowaniu się do przepisów przyjętych przez Parlament Europejski i Radę UE. To również kluczowy element budowy systemu odporności w zakresie operacyjnej odporności cyfrowej, obejmującej zarówno dostawców usług ICT, jak i zewnętrznych dostawców usług, w tym dostawców usług chmury obliczeniowej.
Kluczowe obszary audytu DORA
Zarządzanie ryzykiem związanym z ICT
DORA nakłada na instytucje finansowe obowiązek opracowania i wdrożenia strategii zarządzania ryzykiem związanym z ICT, w tym:
– Mapowania zasobów ICT
– Określenia krytycznych procesów
– Zarządzania ryzykiem stron trzecich
TTSW analizuje istniejące polityk i procedury, sprawdzając ich spójność z wymaganiami rozporządzenia.
Procedury raportowania incydentów
Zgodnie z DORA, każde poważne naruszenie operacyjnej integralności musi być zgłoszone do Komisji Nadzoru Finansowego lub odpowiedniego organu nadzorczego w terminie do 72 godzin. Audyt DORA obejmuje weryfikację:
– Gotowości do detekcji poważnych incydentów
– Automatyzacji powiadomień
– Wdrożenia wewnętrznych polityk reagowania na incydenty
Zgłaszanie poważnych incydentów związanych z ICT ma kluczowe znaczenie dla utrzymania operacyjnej odporności w sektorze finansowym. Rozporządzenie DORA wymaga od instytucji finansowych skutecznych procedur raportowania i pełnej współpracy z Komisją Nadzoru Finansowego.
Zarządzanie dostawcami usług ICT
DORA wymusza zarządzanie dostawcami usług ICT na poziomie strategicznym. Dotyczy to zarówno krytycznych dostawców usług ICT, jak i dostawców usług chmurowych. Nasz audyt koncentruje się na weryfikacji:
– Oceny ryzyka outsourcingu
– Uregulowania świadczenia usług ICT w umowach
– Istnienia plaów wyjścia i ciągłość działania
Skuteczne zarządzanie dostawcami usług ICT to warunek konieczny do spełnienia wymagań rozporządzenia DORA w zakresie nadzoru nad zewnętrznymi dostawcami usług. Ma to szczególne znaczenie dla podmiotów finansowych zobowiązanych do zapewnienia ciągłości działania i kontroli nad ryzykiem wynikającym ze współpracy z krytycznymi dostawcami usług ICT.
Testowanie operacyjnej odporności cyfrowej
Instytucje finansowe muszą realizować kompleksowe programy testowania odporności, obejmujące:
– Testy penetracyjne
– Symulacje awarii
– Analizę gotowości na zakłócenia
Audyt TTSW ocenia istnienie testów oraz ich zgodność z wymaganiami rozporządzenia DORA Digital Operational Resilience.
Wymiana informacji i współpraca międzyinstytucjonalna
W rozporządzeniu DORA zachęca się do udostępniania informacji dotyczących zagrożeń cybernetycznych, incydentów i podatności w obrębie całego sektora finansowego. Celem jest budowa odpornego i konkurencyjnego sektora finansowego, w którym wiedza o zagrożeniach nie pozostaje w silosach, ale służy całemu ekosystemowi. Wymiana informacji może dotyczyć zarówno instytucji kredytowych, instytucji pieniądza elektronicznego, instytucji płatniczych, jak i alternatywnych funduszy inwestycyjnych oraz instytucji pracowniczych programów emerytalnych.
W ramach audytu TTSW analizuje, czy dane podmioty finansowe posiadają procedury umożliwiające bezpieczną, terminową i zgodną z przepisami wymianę informacji — z uwzględnieniem wymogów w zakresie cyberbezpieczeństwa, ochrony danych i integralności komunikacji. Wymiana informacji wzmacnia budowę zaufania w relacjach z partnerami biznesowymi, a także wspiera główny cel rozporządzenia Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporności cyfrowej.
Skutki nieprzestrzegania rozporządzenia DORA
Nieprzestrzeganie rozporządzenia DORA może skutkować:
– Karami finansowymi
– Sankcjami regulacyjnymi
– Utratą reputacji i zaufania klientów
W skrajnym przypadku, instytucje finansowe działające bez skutecznych zabezpieczeń mogą stracić zdolność operacyjną, co zagraża ciągłości świadczenia usług płatniczych.
Jak TTSW wspiera zgodność z DORA?
Transition Technologies-Software oferuje kompleksowe wsparcie we wdrożeniu rozporządzenia DORA, obejmujące:
- Przeprowadzenie audytu DORA dla podmiotu finansowego zobowiązanego do bycia zgodnym z wymaganiami DORA
- Doradztwo w zakresie technologii informacyjno-komunikacyjnych
- Optymalizację zarządzania ryzykiem ICT i współpracy z dostawcami usług
- Integrację systemów raportowania i reagowania na incydenty związane z ICT
Nasze działania wspierają instytucje finansowe w spełnieniu wymagań określonych w rozporządzeniu DORA oraz w podniesieniu poziomu operacyjnej odporności cyfrowej. Zapewniamy pełne dostosowanie do obowiązków wynikających z rozporządzenia DORA, w tym zarządzania ryzykiem związanym z ICT i relacjami z dostawcami usług ICT.
Podsumowanie
Zgodność z rozporządzeniem DORA Digital Operational Resilience to dziś fundament funkcjonowania każdej nowoczesnej organizacji w sektorze finansowym. Dzięki audytowi przeprowadzonemu przez TTSW, instytucje finansowe mogą:
– Zweryfikować w jakim stopniu są zgodne z wymogami DORA
– Pomóc wzmocnić odporność na poważne incydenty
– Wesprzeć ochronę klientów i partnerów biznesowych
– Zbudować przewagę w coraz bardziej cyfrowym świecie
Zadbaj o zgodność z wymaganiami DORA już dziś. Skontaktuj się z nami, by umówić się na audyt i zabezpieczyć przyszłość Twojej organizacji.