Nowe przepisy DORA: Kto musi się dostosować i dlaczego to ważne

Nowe przepisy Rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA): Kto musi się dostosować i dlaczego to ważne?

Rozporządzenie w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) to kluczowy akt prawny Unii Europejskiej, mający na celu zwiększenie odporności cyfrowej instytucji finansowych. Nowe przepisy, które wejdą w życie 17 stycznia 2025 roku, wymagają dostosowania się od szerokiego grona podmiotów, w tym banków, firm ubezpieczeniowych, firm inwestycyjnych, instytucji płatniczych, oraz dostawców technologii, takich jak usługodawcy chmury obliczeniowej i ICT.

Zakres podmiotów objętych regulacjami

Rozporządzenie w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) obejmuje wiele typów instytucji i firm, które są istotne dla stabilności finansowej. Należą do nich:

  1. Banki – Muszą wzmocnić swoje mechanizmy zarządzania ryzykiem ICT oraz procedury reagowania na cyberzagrożenia.

  2. Firmy ubezpieczeniowe – Wymagana jest poprawa działań związanych z ochroną danych osobowych i finansowych.

  3. Firmy inwestycyjne – Muszą wdrożyć zaawansowane strategie zarządzania ryzykiem związanym z technologiami informacyjnymi.

  4. Podmioty działające w obszarze cyfrowych finansów (np. firmy FinTech, giełdy kryptowalut) – Muszą dostosować swoje systemy do nowych wymogów dotyczących odporności na cyberzagrożenia.

  5. Instytucje płatnicze i pieniądza elektronicznego – Konieczne będzie zapewnienie odporności systemów na zakłócenia operacyjne.

  6. Podmioty infrastruktury rynku finansowego (np. giełdy, agencje ratingowe) – Będą musiały wdrożyć zaawansowane mechanizmy zarządzania ryzykiem.

  7. Dostawcy technologii – Dostawcy usług chmury obliczeniowej i ICT muszą zapewnić, że ich usługi są zgodne z nowymi wymaganiami DORA.

Rozporządzenie w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) – Uzupełnienie Regulacji w Unii Europejskiej i Polsce

DORA jest istotnym uzupełnieniem istniejących regulacji, takich jak NIS (Dyrektywa o bezpieczeństwie sieci i informacji), PSD2 (Dyrektywa w sprawie usług płatniczych 2) oraz RODO (Ogólne rozporządzenie o ochronie danych). W Polsce DORA wzmacnia przepisy wydane przez Urząd Komisji Nadzoru Finansowego (KNF), obejmujące zarządzanie technologią informacyjną, bezpieczeństwo teleinformatyczne oraz przetwarzanie danych w chmurze obliczeniowej. Nowe regulacje DORA wprowadzą dodatkowe wymagania, które mogą wymagać od instytucji finansowych znacznych inwestycji w obszarze cyberbezpieczeństwa.

Jednodniowe Szkolenia DORA CTS

Aby pomóc w dostosowaniu się do Rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA), firma CTS oferuje jednodniowe szkolenia DORA. Celem tych szkoleń jest przekazanie praktycznej wiedzy na temat wymagań DORA oraz przygotowanie uczestników do efektywnego wdrożenia tych przepisów w ich organizacjach.

Program szkolenia obejmuje:

  1. Podstawowe cele i założenia DORA – Uczestnicy zapoznają się z celami Rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) oraz jego znaczeniem dla sektora finansowego.

  2. DORA w kontekście Rekomendacji KNF i wytycznych EBA – Omówienie różnic i podobieństw między DORA a obowiązującymi w Polsce rekomendacjami KNF oraz wytycznymi EBA.

  3. Rekomendacja D KNF w kontekście wymagań DORA – analiza porównawcza – Szczegółowa analiza wymagań DORA w porównaniu z Rekomendacją D KNF.

  4. Wytyczne EBA dotyczące zarządzania ryzykiem ICT – Zasady zarządzania ryzykiem ICT w kontekście DORA.

  5. Wytyczne EBA dotyczące outsourcingu – Zarządzanie ryzykiem outsourcingu zgodnie z wymaganiami DORA.

  6. Zasada proporcjonalności w DORA – Jak stosować zasadę proporcjonalności w kontekście DORA.

  7. Obowiązki wynikające z DORA – Zarządzanie ryzykiem ICT, zgłaszanie incydentów oraz testowanie odporności operacyjnej.

  8. Zarządzanie ryzykiem ICT – Praktyczne aspekty zarządzania ryzykiem ICT w kontekście DORA.

  9. Zgłaszanie incydentów związanych z ICT – Procedury zgłaszania incydentów zgodne z DORA.

  10. Testowanie operacyjnej odporności cyfrowej i operacyjnej – Jak skutecznie testować odporność cyfrową zgodnie z wymaganiami DORA.

  11. Ryzyko związane z zewnętrznymi dostawcami usług ICT – Zarządzanie ryzykiem wynikającym z korzystania z zewnętrznych dostawców usług ICT.

Podsumowanie

Dostosowanie się do Rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) jest kluczowe dla wszystkich podmiotów działających w sektorze finansowym. Szkolenie DORA organizowane przez CTS pomoże uczestnikom w efektywnym przygotowaniu się do wdrożenia tych regulacji. Więcej informacji na temat szkoleń można znaleźć na stronie: https://cts.com.pl/szkolenia/rozporzadzenie-w-sprawie-cyfrowej-odpornosci-operacyjnej-dla-sektora-uslug-finansowych-dora/.