DORA – jak spełnić wymagania rozporządzenia?

2024-11-05
Podziel się

17 stycznia 2025 roku zaczną być egzekwowane zapisy Rozporządzenia DORA (ang. Digital Operational Resilience Act), które ma zwiększyć operacyjną odporność cyfrową podmiotów finansowych oraz uregulować świadczenie usług ICT w tym segmencie rynku. Kończy się więc 24-miesięczny okres przejściowy będący czasem na przygotowanie organizacji do nowych przepisów. DORA nakłada bowiem szereg zobowiązań na instytucje finansowe. Jak je spełnić? Kogo obowiązuje DORA? Gdzie skorzystać z pomocy?

Sektor finansowy odgrywa kluczową rolę w gospodarce każdego państwa, zapewniając stabilność finansową oraz bezpieczne przechowywanie i transfer środków pieniężnych. Wraz z rozwojem technologii cyfrowych oraz przenoszeniem aktywności społecznej do internetu pojawiają się nowe wyzwania związane z ochroną danych i zarządzaniem ryzykiem operacyjnym. Z każdym rokiem coraz częściej obserwujemy cyberataki. Przykładem może być incydent z 2016 roku, kiedy cyberprzestępcy włamali się do międzynarodowego systemu finansowego SWIFT, kradnąc blisko 81 milionów dolarów. W Polsce natomiast w 2023 roku doszło do wycieku danych obejmujących niemal 200 tysięcy numerów PESEL. Znany jest także przypadek kradzieży 190 GB danych z zasobów laboratorium medycznego ALAB. Warto zaznaczyć, że pod koniec 2023 r. 21,7 mln Polaków korzystało z aplikacji bankowych, a 22,7 mln z bankowości internetowej. Jak podaje raport Check Point Software Technologies, polskie banki są atakowane nawet 160 dziennie, czyli ponad 1100 razy tygodniowo. Czy DORA (Digital Operational Resilience Act) jest rozwiązaniem?

Całkowita skala cyberprzestępczości jest trudna do oszacowania, ponieważ firmy często ukrywają informacje o włamaniach, aby chronić swój wizerunek. Każdego roku pojawiają się nowe techniki stosowane przez cyberprzestępców. Oprócz znanych już ataków, takich jak ransomware (szyfrowanie plików), phishing (wyłudzanie danych) czy DDoS (przeciążenie usług), dochodzą nowe metody wykorzystujące sztuczną inteligencję (AI). W odpowiedzi na rozwijającą się cyfryzację w sektorze finansowym i związane z nią zagrożenia cybernetyczne, Parlament Europejski oraz Rada przyjęły 14 grudnia 2022 r. Rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego (znane jako Rozporządzenie DORA, ang. Digital Operational Resilience Act).

Czym jest DORA?

DORA to unijna regulacja prawna, której celem jest zwiększenie odporności podmiotów finansowych na incydenty związane z bezpieczeństwem cyfrowym oraz zapewnienie, że są one w stanie utrzymać ciągłość działania, nawet w przypadku wystąpienia poważnych zakłóceń. Rozporządzenie ustanawia wymogi dotyczące wysokiej odporności cyfrowej zarówno w sektorze finansowym, jak i w firmach świadczących usługi ICT dla tego sektora.

DORA wprowadza konkretne przepisy dotyczące zarządzania ryzykiem, zgłaszania incydentów, testowania odporności operacyjnej i monitorowania ryzyka, aby uzupełnić luki w istniejących regulacjach dotyczących cyberbezpieczeństwa w sektorze finansowym. W praktyce, wdrożenie tych przepisów przyczyni się do większej stabilności unijnego systemu finansowego i poprawi bezpieczeństwo korzystania z usług cyfrowych.

Przepisy DORA wchodzą w życie na terenie Unii Europejskiej i stanowią wspólny, jednolity standard. Obowiązują we wszystkich krajach UE bezpośrednio, co oznacza, że instytucje finansowe muszą dostosować się do jego wymogów bez potrzeby bez potrzeby formułowania własnych interpretacji.

Dlaczego powstała DORA?

Rozporządzenie Digital Operational Resilience Act (DORA) nie pojawiło się znikąd. Sektor finansowy przez lata był świadkiem licznych, ciągle narastających incydentów, które pokazały, jak poważne mogą być konsekwencje braku odpowiednich mechanizmów zabezpieczeń. Pojawiały się przypadki, w których awarie systemów informatycznych prowadziły do przerw w świadczeniu usług, a cyberataki naruszały bezpieczeństwo danych i środków finansowych klientów. Przykłady podaliśmy wyżej.

Proces legislacyjny DORA rozpoczął się od analiz przeprowadzonych przez instytucje unijne, takie jak Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA). Prace nad rozporządzeniem były prowadzone także w konsultacji z przedstawicielami sektora finansowego, aby zrozumieć jego potrzeby oraz wyzwania, z którymi mierzy się na co dzień.

DORA jest częścią szerszej strategii Unii Europejskiej mającej na celu wzmocnienie bezpieczeństwa cyfrowego oraz zapewnienie stabilności gospodarki w dobie transformacji cyfrowej.

Czy to mnie dotyczy? Jakie podmioty obejmuje DORA?

DORA jest skierowana do szerokiego spektrum podmiotów działających w sektorze finansowym. W rozporządzeniu uwzględniono:

  • banki oraz inne instytucje finansowe zajmujące się udzielaniem kredytów;
  • instytucje zajmujące się płatnościami;
  • dostawców usług oferujących dostęp do informacji o kontach bankowych;
  • organizacje zajmujące się emitowaniem pieniądza elektronicznego;
  • przedsiębiorstwa inwestycyjne, takie jak domy maklerskie i banki świadczące usługi maklerskie;
  • firmy dostarczające usługi związane z kryptoaktywami;
  • centralne depozyty papierów wartościowych;
  • kontrahentów centralnych (CCP);
  • systemy obrotu (rynku regulowanego, ASO, OTF);
  • repozytoria transakcji;
  • zarządców alternatywnych funduszy inwestycyjnych;
  • przedsiębiorstwa zarządzające funduszami;
  • dostawców usług udostępniających informacje;
  • towarzystwa zajmujące się ubezpieczeniami oraz reasekuracją;
  • pośredników w zakresie ubezpieczeń, reasekuracji i dodatkowych ubezpieczeń;
  • instytucje zarządzające programami emerytalnymi dla pracowników;
  • agencje oceniające ryzyko kredytowe;
  • administratorów kluczowych wskaźników referencyjnych;
  • dostawców usług crowdfundingowych;
  • repozytoria sekurytyzacji;
  • zewnętrznych dostawców usług informacyjno-komunikacyjnych (ICT).

Regulacja jest zatem skierowana nie tylko do największych instytucji finansowych, ale także do mniejszych podmiotów, a także dostawców usług.

Zakres regulacji – czego dotyczy DORA?

Zakres regulacji DORA obejmuje 5 kluczowych filarów bezpieczeństwa:

1. Zarządzanie ryzykiem związanym z ICT.

Rozporządzenie DORA zobowiązuje instytucje finansowe do stworzenia złożonych ram zarządzania ryzykiem w obszarze ICT. Powinny one ustanowić jasne zasady oraz procedury, które pozwolą na efektywne zarządzanie zagrożeniami. Wymagana jest dokładna identyfikacja oraz klasyfikacja procesów, co umożliwi szczegółowe dokumentowanie działań związanych z technologiami. Konieczne jest także wdrożenie systemów wykrywania zagrożeń, procedur tworzenia kopii zapasowych oraz planów komunikacji na wypadek incydentów. Organizacje powinny również prowadzić regularne szkolenia, aby zwiększać świadomość pracowników w zakresie bezpieczeństwa IT.

2. Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie.

Instytucje muszą przestrzegać wymogów DORA w zakresie identyfikacji, klasyfikacji oraz oceny incydentów związanych z bezpieczeństwem technologicznym. Zobowiązane są do dokładnego dokumentowania każdego incydentu, jego klasyfikacji według ustalonych kryteriów oraz określenia skutków dla operacji instytucji i klientów. Zasady te są szczególnie ważne w kontekście raportowania najpoważniejszych incydentów, które mogą zagrozić stabilności operacyjnej sektora finansowego. Obowiązek zgłaszania incydentów ma na celu zapewnienie, że wszelkie incydenty o potencjalnie dużym wpływie są natychmiast raportowane do organów nadzorczych, co pozwala na szybkie wdrożenie działań naprawczych oraz ostrzeżenie sektora.

3. Testowanie operacyjnej odporności cyfrowej.

DORA wprowadza rygorystyczne wymogi testowania odporności cyfrowej, zobowiązując instytucje finansowe do regularnych testów swoich systemów i aplikacji. Każda organizacja powinna posiadać plan testów, który przewiduje różne formy badania odporności – od testów penetracyjnych, przez ocenę zabezpieczeń sieciowych, aż po symulacje realnych scenariuszy zagrożeń. Takie podejście pozwala na identyfikację słabych punktów, co jest kluczowe w zapobieganiu zagrożeniom. Przykładowo, testy penetracyjne mogą ujawnić luki w systemach, które mogłby być podatne na ataki z zewnątrz, a analiza narzędzi open source pozwala ocenić ich skuteczność w różnych warunkach oraz poziom ryzyka ich wykorzystania. Przynajmniej raz w roku instytucje muszą przeprowadzać tego typu testy, aby zagwarantować, że ich środki bezpieczeństwa pozostają adekwatne i skuteczne.

4. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.

Rozporządzenie DORA wymaga, by instytucje finansowe odpowiednio zarządzały ryzykiem związanym ze współpracą z zewnętrznymi dostawcami ICT. Wymaga to oceny dostawców pod kątem niezawodności, poziomu zabezpieczeń oraz potencjalnego ryzyka wynikającego z ich działalności. Proces ten obejmuje zarówno ocenę ryzyka przed rozpoczęciem współpracy, jak i stały monitoring jakości usług oraz bezpieczeństwa dostarczanych rozwiązań. Ważnym elementem jest także stworzenie planu wyjścia oraz strategii przejścia na inne rozwiązania w przypadku konieczności zmiany dostawcy, by zapewnić ciągłość działania organizacji bez ryzyka przestojów czy utraty danych. Instytucje są również zobowiązane do identyfikacji kluczowych dostawców, od których najbardziej zależą ich operacje, co pozwala na lepsze zabezpieczenie przed ewentualnymi zagrożeniami związanymi z outsourcingiem.

5. Wymiana informacji.

W zakresie wymiany informacji DORA promuje współpracę między instytucjami finansowymi w celu dzielenia się wiedzą na temat cyberzagrożeń i sposobów ich zwalczania. Organizacje powinny informować się nawzajem o pojawiających się zagrożeniach, naruszeniach bezpieczeństwa, a także o stosowanych technikach obronnych, metodach, procedurach i narzędziach. Celem jest budowanie zbiorowej wiedzy, która zwiększa poziom bezpieczeństwa całego sektora finansowego i umożliwia szybsze reagowanie na nowe zagrożenia. Wymiana informacji obejmuje także ostrzeżenia i sygnały wskazujące na potencjalne luki w systemach, co pozwala na bieżące aktualizowanie strategii bezpieczeństwa.

Wszystkie te obszary mają na celu stworzenie kompleksowego systemu zarządzania bezpieczeństwem cyfrowym, który pozwoli instytucjom finansowym na szybkie reagowanie na wszelkie zagrożenia oraz zabezpieczenie zarówno danych, jak i operacji finansowych przed zakłóceniami.

Jak spełnić wymagania DORA i uniknąć kar finansowych?

Wdrożenie zgodności z DORA wymaga od instytucji finansowych podjęcia wielu działań organizacyjnych oraz technologicznych. Oto kroki, które powinny zostać uwzględnione:

1. Przeprowadzenie audytu aktualnych systemów i procedur.

Instytucje powinny dokładnie przeanalizować posiadane systemy, aplikacje i procedury, aby zidentyfikować obszary wymagające poprawy. Audyt pozwala na zidentyfikowanie istniejących luk i ryzyk, które mogą stanowić zagrożenie dla odporności cyfrowej.

2. Opracowanie polityk zarządzania ryzykiem cyfrowym.

Po przeprowadzeniu audytu i ustaleniu gotowości implementacyjnej organizacja powinna stworzyć szczegółowe polityki i procedury zarządzania ryzykiem. Polityki te powinny obejmować wszystkie aspekty działania i być dostosowane do specyficznych potrzeb danej instytucji finansowej.

3. Wdrożenie mechanizmów monitorowania i raportowania incydentów.

Skuteczny monitoring jest kluczowym elementem zgodności z DORA. Wdrożenie systemów monitorowania incydentów umożliwia szybkie wykrywanie zagrożeń i reagowanie na nie.

4. Ustalenie ram oceny wpływu incydentu na środowisko IT i organizację.

Należy określić metodykę oceny skutków incydentów na infrastrukturę IT oraz na szersze operacje. Ważne jest, aby zrozumieć, jakie konsekwencje mogą wyniknąć z różnych rodzajów incydentów, co pomoże w opracowaniu efektywnych strategii zarządzania kryzysowego.

5. Określenie polityki nadawania dostępu do informacji.

Instytucje finansowe powinny wyznaczyć zasady dotyczące dostępu do danych, które uwzględniają poziomy uprawnień oraz odpowiedzialności pracowników. Polityka ta ma na celu ograniczenie dostępu do informacji wrażliwych tylko do osób, które naprawdę tego potrzebują, co zwiększa ogólne bezpieczeństwo danych.

6. Szkolenie pracowników w zakresie bezpieczeństwa.

Personel instytucji finansowej powinien być odpowiednio przeszkolony w zakresie bezpieczeństwa cyfrowego oraz zarządzania incydentami. Szkolenia te pozwalają pracownikom zrozumieć, jakie procedury należy stosować oraz jak reagować w przypadku wystąpienia zagrożenia.

7. Zarządzanie ryzykiem łańcucha dostaw.

Organizacje powinny posiadać odpowiednie procedury zarządzania ryzykiem związanym z dostawcami usług. Szczególnie tyczy się to tych, którzy mają kluczowy wpływ na ciągłość działania systemów finansowych. Należy monitorować i kontrolować współpracę z zewnętrznymi dostawcami ICT, aby zachować pewność, że zachowują oni zgodność z wymogami DORA.

Spełnienie powyższych wymagań jest możliwe dzięki odpowiedniemu planowaniu oraz wsparciu ze strony profesjonalnych firm zajmujących się doradztwem i wdrażaniem procedur zgodnych z DORA.

Konsekwencje niewdrożenia procedur – czyli kary za niespełnienie DORA

Każdy podmiot zobowiązany do przestrzegania przepisów Rozporządzenia DORA powinien mieć świadomość konsekwencji zaniechania wdrożenia odpowiednich procedur – zarówno w kontekście ich całkowitego braku, jak i realizacji po terminie. Rozporządzenie DORA przyznaje Komisji Nadzoru Finansowego uprawnienie do nakładania kar finansowych, których wysokość zależy jednak od charakteru naruszenia, jego wpływu na instytucję, a także na cały sektor finansowy.

Ponadto nadzorca rynku finansowego może obciążyć zewnętrznych dostawców usług ICT karą wynoszącą do 1% średniego dziennego globalnego obrotu za każdy dzień nieprzestrzegania przepisów DORA.

Rozporządzenie pozwala także państwom członkowskim zdecydować, czy chcą zrezygnować z regulacji administracyjnych kar w odniesieniu do naruszeń podlegających sankcjom karnym zgodnie z ich własną polityką wewnętrzną.

Narzędzia wspierające zgodność z DORA – z czego warto skorzystać?

Zarządzanie ryzykiem cyfrowym oraz przestrzeganie wymogów DORA jest wyzwaniem, które wymaga zastosowania zaawansowanych narzędzi technologicznych. Na rynku dostępne są rozwiązania, które mogą wesprzeć instytucje finansowe w osiągnięciu zgodności z regulacjami DORA. Są to m.in.:

1. Platformy do monitorowania incydentów.

Narzędzia tego typu umożliwiają śledzenie i analizowanie incydentów w czasie rzeczywistym, co pozwala na natychmiastowe wykrywanie zagrożeń oraz szybkie podejmowanie odpowiednich działań. Przykładem mogą być systemy klasy SIEM (Security Information and Event Management), które agregują dane z różnych źródeł, analizują je i generują alerty bezpieczeństwa.

2. Systemy do zarządzania ryzykiem.

Są to platformy, które pozwalają na identyfikację, analizę i monitorowanie ryzyka operacyjnego. Implementują one narzędzia do oceny ryzyka, wizualizacji danych oraz generowania raportów, co ułatwia podejmowanie decyzji na podstawie zebranych danych, a także przewidywanie potencjalnych zagrożeń. Przykładem jest platforma SourceMation.

3. Oprogramowanie do testów odporności cyfrowej.

Regularne testy odporności cyfrowej są kluczowe dla utrzymania zgodności z DORA. Dedykowane do tego celu narzędzia umożliwiają symulacje ataków oraz testowanie infrastruktury IT pod kątem wystąpienia różnych scenariuszy awaryjnych.

4. Systemy raportowania.

Automatyczne systemy raportowania ułatwiają tworzenie raportów na potrzeby zgodności z regulacjami. Dzięki temu instytucje finansowe mogą szybko i skutecznie zgłaszać incydenty do odpowiednich organów nadzoru oraz generować wymagane raporty na temat działań podjętych w zakresie zarządzania ryzykiem.

Przykładem narzędzia, które pomaga spełnić wymagania rozporządzenia, jest DORIAN (Digital Operational Resilience Investigation and Analysis). Oprogramowanie wspiera bieżącą ocenę ryzyka związanego z ICT. Automatycznie pobiera dane systemowe o zdarzeniach, a następnie rozpoznaje incydenty ryzyka. W oparciu o konfigurowalne parametry pozwala na ocenę całościowego ryzyka operacyjnego. W przypadku istotnych incydentów wysyła powiadomienia z rekomendacją podjęcia działań naprawczych. DORIAN oferuje konfigurowalny interfejs użytkownika zapewniający kompletny i szybki dostęp do kluczowych informacji związanych z oceną ryzyka.

Wdrożenie wymagań DORA razem z Linux Polska – w czym możemy Ci pomóc?

Dostosowanie się do regulacji DORA wymaga nie tylko wdrożenia odpowiednich procedur i narzędzi, ale również specjalistycznej wiedzy oraz doświadczenia w zarządzaniu ryzykiem operacyjnym. Z pomocą przychodzi firma Linux Polska, oferująca wsparcie w osiągnięciu zgodności z DORA. Oferujemy kompleksowe rozwiązania i usługi dostosowane do potrzeb sektora finansowego:

  • wstępna ocena i audyt gotowości;
  • opracowanie fundamentów operacyjnej odporności cyfrowej;
  • przygotowanie systemu zarządzania ryzykiem związanym z ICT;
  • wdrożenie polityki ochrony informacji;
  • stworzenie planów na wypadek zakłóceń i procedur odtwarzania;
  • implementacja systemu reagowania na incydenty;
  • procedury identyfikacji i zarządzania zagrożeniami cybernetycznymi;
  • ustanowienie procesów raportowania i komunikacji;
  • opracowanie programu testów odporności cyfrowej;
  • audyt umów z zewnętrznymi dostawcami usług ICT;
  • dostosowanie kontraktów z dostawcami usług ICT;
  • zapewnienie wsparcia dla komponentów open source nieobjętych pomocą techniczną;
  • szkolenia dla pracowników;
  • ostateczna ocena zgodności oraz wsparcie w długotrwałym jej utrzymaniu.

Odpowiednie przygotowanie organizacji oraz wdrożenie najlepszych standardów i procedur pozwala uniknąć dotkliwych kar finansowych.

Dowiedz się więcej: https://linuxpolska.com/pl/rozwiazania/wsparcie-w-spelnieniu-dora/.

Podsumowując – dlaczego warto skorzystać z profesjonalnego wsparcia w spełnieniu wymagań rozporządzenia DORA?

Wprowadzenie rozporządzenia DORA to przełomowy krok w zakresie ochrony cyfrowej sektora finansowego. Regulacja ta nie tylko wyznacza standardy zarządzania ryzykiem operacyjnym, ale również wpływa na sposób, w jaki instytucje finansowe działają i współpracują z dostawcami usług.

Dostosowanie się do wymogów DORA może być jednak trudne, zwłaszcza dla instytucji, które dopiero rozpoczynają proces zarządzania ryzykiem operacyjnym. Dlatego warto skorzystać ze wsparcia profesjonalistów, którzy pomogą w spełnieniu wymogów regulacji – od doradztwa po implementację niezbędnych narzędzi.

Nasz autorski system DORIAN oraz dedykowane usługi wspierają instytucje finansowe w osiąganiu pełnej zgodności z DORA, dostarczając narzędzi, wiedzy oraz zasobów, które ułatwiają zarządzanie ryzykiem i monitorowanie incydentów. Dzięki temu organizacje mogą odciążyć swoje zespoły IT i skoncentrować się na swojej głównej działalności, wiedząc, że ich infrastruktura cyfrowa jest bezpieczna i zgodna z wymogami regulacyjnymi.

Zobacz również