Rozporządzenie DORA (Digital Operational Resilience Act)

27 grudnia 2022 roku w Dzienniku Urzędowym UE opublikowano rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, tzw. DORA.

Rozporządzenie wejdzie w życie 16 stycznia 2023 roku. Jednak adresaci mają niemal 2 lata na dostosowanie się do nowych wymogów, gdyż przepisy stosuje się od dnia 17 stycznia 2025 roku. Celem DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa informatycznego sektora finansowego na rynku UE oraz kluczowych dostawców usług ICT (information and communication technology). DORA jest częścią pakietu unijnych aktów prawnych dla sektora finansowego, na który składają się także rozporządzenie o rynkach kryptoaktywów (MiCA) oraz rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych w oparciu o technologię rozproszonego rejestru.

Rozporządzenie jest adresowane  do podmiotów finansowych wymienionych w art. 2 DORA, w szczególności do: instytucji kredytowych, instytucji płatniczych, firm inwestycyjnych, instytucji pieniądza elektronicznego, dostawców usług związanych z kryptoaktywami, zakładów ubezpieczeń i reasekuracji, dostawców usług finansowania społecznościowego oraz zewnętrznych dostawców usług ICT (np. dostawców usług w chmurze, dostawców oprogramowania czy usług analizy danych) dla sektora finansowego.

DORA składa się z 5 głównych filarów:

/ Filar 1 – zarządzenie ryzkiem związanym z ICT

/ Filar 2 – zgłaszanie incydentów związanych z ICT

/ Filar 3 – testowanie operacyjnej odporności cyfrowej

/ Filar 4 – ryzyko ze strony zewnętrznych dostawców ITC

/ Filar 5 – wymiana informacji

W ramach każdego filaru DORA nakłada na podmioty finansowe różne obowiązki w zakresie odporności cyfrowej, które dotyczą różnych aspektów lub domen w ramach ICT i cyberbezpieczeństwa, zapewniając kompleksowe ramy odporności cyfrowej dla odpowiednich podmiotów.

Obowiązkiem adresatów rozporządzenia będzie przede wszystkim: utworzenie i utrzymywanie odpornych na zagrożenia związane z cyberbezpieczeństwem systemów ICT, identyfikacja wszystkich potencjalnych ryzyk związanych z technologią informacyjną i telekomunikacyjną, wprowadzenie kompleksowych strategii dotyczących ciągłości działania, rejestrowanie incydentów związanych z ICT, monitorowanie ryzyka związanego z outsourcingiem.

Jedną z najważniejszych zmian wprowadzonych przez DORA będzie zasada pełnej i ostatecznej odpowiedzialności zarządu za cyfrowe bezpieczeństwo operacyjne. Zgodnie z omawianą regulacją podmiotem odpowiedzialnym za wdrożenie i przestrzeganie przepisów rozporządzenia DORA będzie odpowiedzialny organ zarządzający tj. najczęściej zarząd spółki. DORA wprowadza ciągłe zaangażowanie organu zarządzającego w kontrolę monitorowania zarządzania w zakresie ryzyka związanego z ICT.

Jedną z najbardziej praktycznych kwestii jest wprowadzenie przez rozporządzenie minimalnych postanowień umownych, które powinny zostać uwzględnione w umowie z dostawcą usług ICT (art. 30 DORA). W związku z powyższym powstaje potrzeba przeprowadzenia audytów prawnych zawartych umów oraz wewnętrznych polityk pod kątem zgodności z DORA, a także późniejsze dostosowanie ich do nowych wymogów.