W ramach przeglądu #CyberRegulacje Polski Fundusz Rozwoju przybliża w 4 krokach kluczowe aspekty rozporządzenia DORA, które nakłada obowiązki na instytucje finansowe w zakresie zarządzania ryzykiem ICT, regularnego testowania odporności cyfrowej oraz raportowania poważnych incydentów.

Krok 1. Czym jest DORA?

Rozporządzenie DORA jest częścią unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, które ma na celu dostosowanie ram regulacyjnych do rozwoju technologii finansowych oraz ujednolicenie norm bezpieczeństwa cyfrowego w sektorze finansowym.

Skupia się na pięciu kluczowych obszarach: zarządzaniu ryzykiem ICT, zarządzaniu incydentami związanymi z ICT, testowaniu cyfrowej odporności operacyjnej, zarządzaniu ryzykiem współpracy z zewnętrznymi dostawcami oraz wymianie informacji dotyczącej zagrożeń cybernetycznych. Poniżej ich krótkie omówienie.

Krok 2. Kogo dotyczy?

Obejmuje szeroki zakres podmiotów sektora finansowego, w tym tradycyjne instytucje finansowe, firmy fintech, dostawców usług ICT i wiele innych. Łącznie przepisy będą miały zastosowanie do ponad 22 000 instytucji finansowych w całej Unii Europejskiej. Wśród nich podmioty, jak udzielające kredytów, świadczące usługi płatnicze, świadczące usługi pieniądza elektronicznego, prowadzące działalność inwestycyjną.

Krok 3. Terminy obowiązywania

Wejście w życie – DORA formalnie weszło w życie 16 stycznia 2023 roku. Od tego momentu instytucje finansowe zaczęły przygotowywać się do spełnienia nowych wymagań, choć jeszcze nie miały obowiązku ich stosowania. Termin stosowania przepisów – DORA zacznie obowiązywać 17 stycznia 2025 roku.

Krok 4. Jak przygotować organizację?

DORA wymaga, aby organizacje miały pełną kontrolę nad ryzykiem dot. outsourcingu usług IT. Warto wdrożyć systematyczny proces oceny i monitorowania dostawców, uwzględniający specyficzne wymagania DORA. Finalnym elementem jest zapewnienie ciągłego doskonalenia procesów zarządzania ryzykiem IT.

Bezpłatny kurs online „Firma bezpieczna cyfrowo”

PFR poleca bezpłatny kurs online PFR „Firma bezpieczna cyfrowo” przygotowany wspólnie z niebezpiecznik.pl, z którego dowiesz się, jak prosto zabezpieczyć firmę w sieci, podnieść standardy bezpieczeństwa i ochronić się przed kosztownymi incydentami. Dołącz i poleć w Twojej organizacji link do rejestracji.

Źródło: Polski Fundusz Rozwoju S.A.