W piątek 17 stycznia 2025 r. zaczęło w Polsce obowiązywać unijne Rozporządzenie DORA (Digital Operational Resilience Act). Już teraz wprowadziło ono istotne zmiany dla instytucji finansowych, bez względu na to, że na wdrożenie ustawy wdrażającej DORA na poziomie krajowym będzie trzeba jeszcze poczekać.
Stała wymiana informacji o zagrożeniach w cyberprzestrzeni pomiędzy instytucjami finansowymi w całej Unii Europejskiej to szansa na poprawę bezpieczeństwa klientów.
Jakie jest podstawowe założenie DORA? Poprawa bezpieczeństwa instytucji finansowych i ich klientów poprzez standaryzację reguł cyberbezpieczeństwa i wymiany informacji na poziomie europejskim.
Wyraźnie widać więc, że unijni decydenci dostrzegli, jak poważny jest problem wyłudzeń, wycieków danych czy ataków hakerskich. Potwierdzają to zresztą same instytucje finansowe: w badaniu ZPF i EY „Nadużycia w sektorze finansowym”* ankietowani przedstawiciele rynku regularnie podkreślają, że najbardziej narażony na ryzyko ataków jest kanał online.
Teraz rynek finansowy liczy więc na to, że nowe przepisy pozwolą stworzyć swego rodzaju system wczesnego ostrzegania, dzięki któremu podmioty na nim obecne będą mogły wymieniać się informacjami np. o nowych metodach oszustw.
Rozporządzenie DORA. Najważniejsze elementy w praktyce
Instytucje finansowe już od dłuższego czasu pracowały nad tym, by 17 stycznia być w pełni przygotowanymi do funkcjonowania w ramach nowych regulacji. Oto najważniejsze elementy, o które musiały zadbać:
> Prowadzenie rejestru umów z dostawcami usług cyfrowych (tzw. ICT) – podmioty rynku finansowego zostały zobowiązane do stworzenia listy zewnętrznych firm, które świadczą dla nich usługi ICT (Information and Communications Technology) – chodzi tu m.in. o dostawców rozwiązań z zakresu bezpieczeństwa i infrastruktury IT.
Warto pamiętać, że dostęp do tych rejestrów będzie mieć Urząd Komisji Nadzoru Finansowego, który przekaże je do pozostałych nadzorców unijnych. Rejestry mają być systematycznie aktualizowane.
> Obowiązek raportowania incydentów – Rozporządzenie DORA nałożyło również na instytucje finansowe szczególne obowiązki sprawozdawcze. Podmioty rynku finansowego mają bowiem na bieżąco raportować o incydentach związanych z ICT – to np. wycieki danych, cyberataki, ale również awarie systemów. DORA precyzuje szereg kryteriów, zgodnie z którymi instytucje finansowe mają raportować niepożądane zdarzenia.
> Obowiązek testowania – firmy zostały zobligowane do systematycznego testowania operacyjnej odporności cyfrowej, poprzez m. in. prowadzenie specyficznych testów penetracyjnych, zwanych testami TLPT (Threat-Led Penetration Testing). Są to testy ukierunkowane na jak najwierniejsze odzwierciedlenie możliwego ataku, które pozwolą na lepsze zdiagnozowanie, czy organizacja jest gotowa sprostać zagrożeniu.
> Identyfikator LEI – firmy objęte Rozporządzeniem DORA zostały również zobowiązane do posiadania tzw. identyfikatora LEI (Legal Entity Identifier). To unikalny w skali globalnej kod, który pozwala identyfikować konkretny podmiot rynku finansowego. Identyfikator będzie niezbędny do prawidłowego raportowania w ramach Rozporządzenia DORA. Nadawaniem kodów LEI w Polsce zajmuje się Krajowy Depozyt Papierów Wartościowych.
DORA poprawi bezpieczeństwo rynku finansowego
Zaproponowane w Rozporządzeniu DORA rozwiązania powinny wspierać uczestników rynku finansowego w dążeniu do ciągłej poprawy bezpieczeństwa klientów i zgromadzonych środków.
Narzędzie, jakim jest system do ciągłej wymiany informacji i analiz dotyczących zagrożeń, pozwala mieć nadzieję, że zwalczanie cyberprzestępczości stanie się skuteczniejsze.
Co nas jeszcze czeka? Posłuchaj poniższego podcastu #ZPFtalks
