Rozporządzenie DORA

Rozporządzenie o cyfrowej odporności operacyjnej (ang. Digital Operational Resilience Act, DORA) – rozporządzenie Unii Europejskiej 2022/2554 wymagające od podmiotów finansowych poprawy odporności operacyjnej w środowisku cyfrowym[1][2].

Celem rozporządzenia DORA jest wzmocnienie cyfrowej odporności operacyjnej podmiotów finansowych w UE i dostawców rozwiązań ICT (teleinformatycznych) dla sektora finansowego. DORA dąży do stworzenia jednolitych ram regulacyjnych na poziomie UE, które mają na celu ograniczenie podatności na zagrożenia cybernetyczne w całym łańcuchu wartości sektora finansowego. Dodatkowo, rozporządzenie ma na celu ujednolicenie krajowych przepisów dotyczących bezpieczeństwa systemów informatycznych w sektorze finansowym, co w efekcie ma przyczynić się do wzmocnienia odporności europejskiego rynku finansowego na cyberzagrożenia oraz incydenty związanych z technologiami ICT.

Zakres

edytuj

Rozporządzenie dotyczy podmiotów finansowych i zewnętrznych dostawców usług ICT. Podmioty finansowe zdefiniowano w artykule 2 rozporządzenia. Są to:

Rozporządzenie nie ma zastosowania do:

  • zarządzających alternatywnymi funduszami inwestycyjnymi, o których mowa w art. 3 ust. 2 dyrektywy 2011/61/UE
  • zakładów ubezpieczeń i zakładów reasekuracji, o których mowa w art. 4 dyrektywy 2009/138/WE
  • instytucji pracowniczych programów emerytalnych, które obsługują programy z liczbą uczestników nieprzekraczającej 15
  • osób fizycznych lub prawne zwolnionych zgodnie z art. 2 i 3 dyrektywy 2014/65/UE
  • pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników ubezpieczeń uzupełniających będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami
  • instytucji świadczących żyro pocztowe, o których mowa w art. 2 ust. 5 pkt 3 dyrektywy 2013/36/UE

Zasada proporcjonalności

edytuj

Artykuł 4 definiuje zasadę proporcjonalności, tym samym przewiduje wyjątki dla mniejszych przedsiębiorstw, które są objęte zakresem rozporządzenia niezależnie od ich wielkości. Umożliwia to uproszczoną realizację niektórych wymagań zgodnie z ogólnym profilem ryzyka przedsiębiorstwa. Przykładem tego jest uproszczona struktura zarządzania ryzykiem ICT zgodnie z artykułem 16 w połączeniu ze standardem technicznym (RTS).

Struktura

edytuj

Rozporządzenie składa się z 64 artykułów podzielonych na 9 rozdziałów:

  1. Postanowienia ogólne (art. 1–4)
  2. Zarządzanie ryzykiem ICT (art. 5–16)
  3. Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie (art. 17–23)
  4. Testowanie operacyjnej odporności cyfrowej (Art. 24–27)
  5. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (art. 28–44)
  6. Ustalenia dotyczące wymiany informacji (art. 45)
  7. Właściwe organy (art. 46–56)
  8. Akty delegowane (art. 57)
  9. Przepisy przejściowe i końcowe (art. 58–64)

Ponadto Europejskie Urzędy Nadzoru opracowują regulacyjne standardy techniczne (ang. regulatory technical standards, RTS) i wykonawcze standardy techniczne (ang. implementing technical standards, ITS), które po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej stają się również prawnie wiążące:

  1. RTS w sprawie ram zarządzania ryzykiem ICT (art. 15),
  2. RTS w sprawie uproszczonych ram zarządzania ryzykiem ICT (art. 16 ust. 3),
  3. RTS w sprawie klasyfikacji incydentów związanych z technologiami informatycznymi i zagrożeniami cybernetycznymi (art. 18 ust. 3),
  4. RTS w sprawie treści raportów dotyczących poważnych incydentów związanych z ICT (art. 20 (a)),
  5. ITS w sprawie standardowych formularzy, szablonów i procedur umożliwiających podmiotom finansowym zgłaszanie poważnych incydentów związanych z technologiami ICT (art. 20 (b)),
  6. RTS w zakresie testów penetracyjnych opartych na zagrożeniach (art. 26 ust. 11),
  7. ITS w sprawie standardowych szablonów na potrzeby rejestru informacji (art. 28 ust. 9),
  8. RTS w sprawie polityki korzystania z usług ICT (art. 28 ust. 10),
  9. RTS w sprawie specyfikacji elementów przy zlecaniu podwykonastwa usług ICT wspierających funkcje krytyczne lub istotne (art. 30 ust. 5),
  10. wytyczne dotyczące współpracy między Europejskimi Urzędami Nadzoru a właściwymi organami w zakresie struktury ram nadzoru (art. 32 ust. 7),
  11. RTS w sprawie harmonizacji warunków umożliwiających prowadzenie działalności nadzorczej (art. 41).

Przypisy

edytuj
  1. Komisja Nadzoru Finansowego, Rozporządzenie DORA [online] [dostęp 2024-09-24] (pol.).
  2. Andrew Pattison: A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 978-1-78778-453-6.

Linki zewnętrzne

edytuj