Co to jest RODO, wie już chyba każdy. NIS i NIS 2 to mniej znany zestaw regulacji, ale myślę, że sporo osób już o nich słyszało. A czy wiesz, co to jest rozporządzenie DORA? Jakie są jego założenia? Kogo dotyczy? A co najważniejsze – czy twoja organizacja jest na nie przygotowana?
DORA to Rozporządzenie Parlamentu Europejskiego i Rady (EU) z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego. Jest to kolejna z wielu, w ostatnim czasie, regulacji dotyczących cyberbezpieczeństwa i szeroko rozumianego bezpieczeństwa technologii informatycznej.
To co to jest ta DORA?
DORA to rozporządzenie, które dotyczy sposobu, w jaki instytucje finansowe i ich partnerzy zarządzają ryzykiem cybernetycznym w zakresie technologii informacyjno-komunikacyjnych (ICT). DORA tworzy wiążące ramy nadzoru, ustanawia standardy techniczne i umowne, które instytucje finansowe i ich dostawcy usług muszą wdrożyć w swoich systemach, instrukcjach i umowach.
W erze cyfrowej technologie ICT są motorem napędzającym gospodarki praktycznie we wszystkich sektorach, w tym w sektorze usług finansowych. Ponieważ technologie ICT są tak istotnym czynnikiem rozwoju, ich odporność cyfrowa jest kluczowa. Uznając, że rosnąca zależność sektora finansowego od technologii naraża go na znaczne ryzyko cyberataków, przyjęto przepisy mające na celu wzmocnienie cyberbezpieczeństwa sektora finansowego.
Rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne i nadzorcze do ryzyka związanego z ICT szkodzą uczestnikom rynku i stabilności finansowej. DORA konsoliduje, aktualizuje, uzupełnia i ujednolica wymogi zawarte dotychczas w różnych aktach prawnych dotyczące ryzyk związanych z ICT.
Kogo dotyczy DORA?
W tym miejscu być może pojawia się myśl, że skoro DORA dotyczy sektora finansowego, a twoja organizacja nie jest:
1. ani bankiem,
2. ani ubezpieczycielem,
3. a już na pewno nie jest giełdą krypto walut będących teraz na celowniku wielu regulatorów,
to DORA jej nie dotyczy. Nic bardziej mylnego – DORA obejmuje między innymi szeroko rozumianych zewnętrznych dostawców usług ICT i ich poddostawców.
Twoje przedsiębiorstwo może jest spedytorem, który dostarcza hardware dla instytucji finansowej? A może dostarcza usługę trzeciej linii wsparcia dla instytucji finansowej? Możesz mieć pewność, że twoja firma w nadchodzących miesiącach otrzyma pismo wzywające do (1) wykazania zgodności z DORA i (2) zmiany umowy na zgodną z DORA.
Filary DORA
Dora składa się z 5 głównych filarów:
- zarządzanie ryzkiem ICT;
- zgłaszanie incydentów ICT;
- testowanie operacyjnej odporności cyfrowej;
- zarządzanie ryzykiem dot. dostawców zewnętrznych;
- wymiana informacji.
Do kiedy organizacje mają czas na wdrożenie zmian?
17 stycznia 2025 r. to data rozpoczęcia stosowania DORA. Do tego czasu wszystkie organizacje, których dotyczy rozporządzenie – bezpośrednio lub pośrednio – muszą wdrożyć stosowne procedury, dokumenty i postanowienia umowne.
Przygotowanie na DORA
Zapewnienie zgodności z przepisami DORA wiąże się z wyzwaniami umownymi i operacyjnymi. Przyjęcie proaktywnego podejścia i planowanie strategiczne umożliwią płynne dostosowanie organizacji do DORA.
Dostosowania organizacji powinno obejmować:
- ocenę cyfrowej odporności,
- zrozumienie obowiązków regulacyjnych i ich wpływu na działalność,
- przegląd umów, wdrożonych norm, regulacji i dokumentów,
- ścisłą współpracę działów IT, prawnych i compliance.
Jeśli nie masz pewności, czy przepisy DORA dotyczą Twojej organizacji lub potrzebujesz wsparcia w dostosowaniu się do tych regulacji – zachęcamy do kontaktu: https://www.gsw.com.pl/kontakt
Łukasz Rabiak, prawnik w Kancelarii Gorazda, Świstuń, Wątroba i Partnerzy adwokaci i radcowie prawni.