Rozporządzenie DORA
Rozporządzenie o cyfrowej odporności operacyjnej (ang. Digital Operational Resilience Act, DORA) – rozporządzenie Unii Europejskiej 2022/2554 wymagające od podmiotów finansowych poprawy odporności operacyjnej w środowisku cyfrowym[1][2].
Cel
edytujCelem rozporządzenia DORA jest wzmocnienie cyfrowej odporności operacyjnej podmiotów finansowych w UE i dostawców rozwiązań ICT (teleinformatycznych) dla sektora finansowego. DORA dąży do stworzenia jednolitych ram regulacyjnych na poziomie UE, które mają na celu ograniczenie podatności na zagrożenia cybernetyczne w całym łańcuchu wartości sektora finansowego. Dodatkowo, rozporządzenie ma na celu ujednolicenie krajowych przepisów dotyczących bezpieczeństwa systemów informatycznych w sektorze finansowym, co w efekcie ma przyczynić się do wzmocnienia odporności europejskiego rynku finansowego na cyberzagrożenia oraz incydenty związanych z technologiami ICT.
Zakres
edytujRozporządzenie dotyczy podmiotów finansowych i zewnętrznych dostawców usług ICT. Podmioty finansowe zdefiniowano w artykule 2 rozporządzenia. Są to:
- instytucje kredytowe,
- instytucje płatnicze,
- dostawcy świadczący usługę dostępu do informacji o rachunku,
- instytucje pieniądza elektronicznego,
- firmy inwestycyjne,
- dostawcy usług w zakresie kryptoaktywów i emitenci tokenów powiązanych z aktywami,
- centralne depozyty papierów wartościowych,
- kontrahenci centralni,
- systemy obrotu,
- repozytoria transakcji,
- zarządzający alternatywnymi funduszami inwestycyjnymi,
- spółki zarządzające,
- dostawcy usług w zakresie udostępniania informacji,
- przedsiębiorstwa ubezpieczeniowe i reasekuracyjne,
- pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy ubezpieczeń uzupełniających,
- instytucje pracowniczych programów emerytalnych,
- agencje ratingowe,
- administratorzy kluczowych wskaźników referencyjnych,
- dostawcy usług finansowania społecznościowego,
- repozytoria sekurytyzacji.
Rozporządzenie nie ma zastosowania do:
- zarządzających alternatywnymi funduszami inwestycyjnymi, o których mowa w art. 3 ust. 2 dyrektywy 2011/61/UE
- zakładów ubezpieczeń i zakładów reasekuracji, o których mowa w art. 4 dyrektywy 2009/138/WE
- instytucji pracowniczych programów emerytalnych, które obsługują programy z liczbą uczestników nieprzekraczającej 15
- osób fizycznych lub prawne zwolnionych zgodnie z art. 2 i 3 dyrektywy 2014/65/UE
- pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników ubezpieczeń uzupełniających będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami
- instytucji świadczących żyro pocztowe, o których mowa w art. 2 ust. 5 pkt 3 dyrektywy 2013/36/UE
Zasada proporcjonalności
edytujArtykuł 4 definiuje zasadę proporcjonalności, tym samym przewiduje wyjątki dla mniejszych przedsiębiorstw, które są objęte zakresem rozporządzenia niezależnie od ich wielkości. Umożliwia to uproszczoną realizację niektórych wymagań zgodnie z ogólnym profilem ryzyka przedsiębiorstwa. Przykładem tego jest uproszczona struktura zarządzania ryzykiem ICT zgodnie z artykułem 16 w połączeniu ze standardem technicznym (RTS).
Struktura
edytujRozporządzenie składa się z 64 artykułów podzielonych na 9 rozdziałów:
- Postanowienia ogólne (art. 1–4)
- Zarządzanie ryzykiem ICT (art. 5–16)
- Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie (art. 17–23)
- Testowanie operacyjnej odporności cyfrowej (Art. 24–27)
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (art. 28–44)
- Ustalenia dotyczące wymiany informacji (art. 45)
- Właściwe organy (art. 46–56)
- Akty delegowane (art. 57)
- Przepisy przejściowe i końcowe (art. 58–64)
Ponadto Europejskie Urzędy Nadzoru opracowują regulacyjne standardy techniczne (ang. regulatory technical standards, RTS) i wykonawcze standardy techniczne (ang. implementing technical standards, ITS), które po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej stają się również prawnie wiążące:
- RTS w sprawie ram zarządzania ryzykiem ICT (art. 15),
- RTS w sprawie uproszczonych ram zarządzania ryzykiem ICT (art. 16 ust. 3),
- RTS w sprawie klasyfikacji incydentów związanych z technologiami informatycznymi i zagrożeniami cybernetycznymi (art. 18 ust. 3),
- RTS w sprawie treści raportów dotyczących poważnych incydentów związanych z ICT (art. 20 (a)),
- ITS w sprawie standardowych formularzy, szablonów i procedur umożliwiających podmiotom finansowym zgłaszanie poważnych incydentów związanych z technologiami ICT (art. 20 (b)),
- RTS w zakresie testów penetracyjnych opartych na zagrożeniach (art. 26 ust. 11),
- ITS w sprawie standardowych szablonów na potrzeby rejestru informacji (art. 28 ust. 9),
- RTS w sprawie polityki korzystania z usług ICT (art. 28 ust. 10),
- RTS w sprawie specyfikacji elementów przy zlecaniu podwykonastwa usług ICT wspierających funkcje krytyczne lub istotne (art. 30 ust. 5),
- wytyczne dotyczące współpracy między Europejskimi Urzędami Nadzoru a właściwymi organami w zakresie struktury ram nadzoru (art. 32 ust. 7),
- RTS w sprawie harmonizacji warunków umożliwiających prowadzenie działalności nadzorczej (art. 41).
Przypisy
edytuj- ↑ Komisja Nadzoru Finansowego, Rozporządzenie DORA [online] [dostęp 2024-09-24] (pol.).
- ↑ Andrew Pattison: A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 978-1-78778-453-6.