Nowe obowiązki banków. Dobra wiadomość dla naszych oszczędności

Rozporządzenie DORA to ważna regulacja, która dotyczy instytucji finansowych oraz wybranych dostawców usług ICT (techologii informacyjno-komunikacyjnej). Komisja Nadzoru Finansowego wymienia, że wśród obszarów DORA znajdują się:

• zarządzanie ryzykiem;
• ujednolicenie, rozbudowanie i scentralizowanie zgłaszania poważnych incydentów;
• cykliczne testy penetracyjne systemów;
• stworzenie ram kontroli i nadzoru wśród krajowych i unijnych organów.

Prawo.pl podkreśla, że nowa regulacja określa także metody wymiany informacji i analiz dotyczących zagrożeń i podatności. Portal zaznaczył również, że KNF będzie monitorował, w jaki sposób podmioty wywiązują się ze swoich nowych obowiązków.

Polskie przepisy. Co z ustawą?

Na stronie Rządowego Centrum Legislacji można znaleźć projekt „Ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego”, który ma implementować DORA do polskiego porządku prawnego. Obecnie prace toczą się w ramach Komitetu do Spraw Europejskich. Nie wiadomo, kiedy ustawa wejdzie w życie.

Rola DORA oraz stanowisko KNF

PwC opisał szczegółowo znaczenie rozporządzenia dla podmiotów finansowych. Firma podkreśliła, że akt prawny dotyczy 22 tysięcy organizacji. Portal nFLO wymienił kilkanaście podmiotów, których dotyczy regulacja, takich jak m.in. instytucje kredytowe, giełdy, instytucje pieniądza elektronicznego, agencje ratingowe czy dostawcy krytycznych usług ICT.

Komisja Nadzoru Finansowego opublikowała zestaw pytań i odpowiedzi dotyczących nowego rozporządzenia. Możemy w nim przeczytać wytyczne dotyczące tego, jak należy klasyfikować incydenty ICT. Wśród nich wyszczególniono m.in.: liczbę lub znaczenie klientów lub kontrahentów biznesowych, skutki reputacyjne czy utratę danych w kontekście tzw. triady CIA (poufność, integralność, dostępność). Wspomniano również, że przewidziane jest raportowanie „znaczących cyberzagrożeń”. W dokumencie KNF możemy przeczytać:

„W odróżnieniu od poważnych incydentów związanych z ICT, wymogi Rozporządzenia DORA dotyczące znaczących cyberzagrożeń będą dotyczyły okoliczności, zdarzeń lub działań, które mają charakter potencjalny, o ile spełniają one kryteria znaczącego cyberzagrożenia”.

Rozmowa z ekspertem

O założenia oraz rolę DORA zapytaliśmy Michała Zajączkowskiego, dyrektora ds. grup roboczych, szkoleń i certyfikacji w ISSA Polska.

Oskar Klimczuk, CyberDefence24: O czym jest rozporządzenie DORA i kogo obowiązuje?

Michał Zajączkowski: Rozporządzenie DORA (Digital Operational Resilience Act) to unijne rozporządzenie mające na celu wzmocnienie cyfrowej odporności sektora finansowego. Zostało przyjęte przez Parlament Europejski w grudniu 2022 roku. Weszło w życie w styczniu 2023 r., ale jego stosowanie zostało odsunięte w czasie. Czas tego odroczenia właśnie mija - 17 stycznia 2025 roku rozporządzenie DORA zaczyna obowiązywać.

Głównymi celami rozporządzenia DORA są:

1. Zwiększenie odporności na ryzyko cyfrowe: zapewnienie, że instytucje finansowe są odpowiednio przygotowane na zagrożenia cyfrowe.
2. Standardyzacja praktyk zarządzania ryzykiem: ujednolicenie wymagań w całej UE.
3. Harmonizacja: proces minimalizowania zbędnych lub sprzecznych przepisów, co uprości wdrażanie prawa i stosowanie się do wymagań z tego prawa wynikających.
4. Regulacja dostawców usług zewnętrznych: nadzór nad kluczowymi dostawcami usług, którzy świadczą je dla sektora finansowego.
5. Ochrona interesu publicznego przez przyczynianie się do zapewniania stabilności i efektywności systemu finansowego.

Rozporządzenie obejmuje podmioty działające w szeroko rozumianym sektorze finansowym. Proszę zwrócić uwagę, że tak rozumiany rynek finansowy regulowany jest przez 21 ustaw w siedmiu w sektorach. Do tego dochodzą rekomendacje Komisji Nadzoru Finansowego, Europejskiego urzędu nadzoru bankowego (EBA) oraz Europejskiego urzędu ubezpieczeń i pracowniczych programów emerytalnych (EIOPA). Dodatkowo, sektor ten regulowany jest też innymi aktami prawa w sposób pośredni go dotyczącymi, jak np. RODO.

Rozporządzenie DORA obejmuje swoim zakresem wiele podmiotów. Będą to: banki, firmy inwestycyjne, fundusze inwestycyjne, firmy ubezpieczeniowe, dostawcy usług płatniczych, giełdy papierów wartościowych, instytucje zajmujące się kryptowalutami czy dostawcy technologii i usług cyfrowych dla sektora finansowego.

Rola DORA

Dlaczego ten akt prawny jest ważny?

Rozporządzenie DORA jest ważne, ponieważ odpowiada na rosnące wyzwania związane z cyfryzacją sektora finansowego oraz zagrożeniami, jakie niesie rozwój technologii. Jednocześnie ma na celu nie tylko zwiększenie bezpieczeństwa w sektorze finansowym, ale także poprawę zaufania klientów i inwestorów do rynku.

Do tego trzeba wskazać jeszcze jedną bardzo ważną rzecz. Rozporządzenie DORA nie funkcjonuje jako samodzielny, odseparowany akt prawa. Został wydany razem z dwoma innymi regulacjami: dyrektywą CER (dotyczącą infrastruktury krytycznej) oraz NIS2 (regulującą cyberbezpieczeństwo w Unii Europejskiej). Wydanie tych aktów prawa razem, w tym samym momencie, jest bardzo ważną i istotną wskazówką dla nas. Akty te uzupełniają się, tworząc jednolity fundament do budowania odporności Unii Europejskiej, poszczególnych państw wchodzących w jej skład oraz podmiotów funkcjonujących na rynku. Rozporządzenie DORA jest sektorowym aktem prawa w stosunku do dyrektywy NIS2.

DORA wskazuje jak pewne rzeczy mają funkcjonować na tak rozległym i różnorodnym rynku, jakim jest rynek unijny. Obejmuje szeroko rozumiany rynek finansowy, który nie jest jednolity w poszczególnych krajach, a przy tym bardzo delikatny w swojej materii i wymagający przez to szczególnej ochrony oraz specyficznych rozwiązań. Trzeba wskazać, że usługi szeroko rozumianego rynku finansowego potrzebują ciągłego, niezakłóconego działania, utrzymania integralności i niezawodności. Dlatego potrzebne było dodatkowe, bardziej szczegółowe uregulowanie tej materii.

Rozporządzenie DORA wzmacnia fundamenty cyfrowej odporności sektora finansowego, co przekłada się na większe bezpieczeństwo klientów, lepsze zarządzanie ryzykiem i większą stabilność całego rynku. Dzięki temu, zarówno poszczególne kraje Unii Europejskiej, jak i ona sama, są bardziej bezpieczne. Jak widać, dzięki tym przepisom, nie tylko podmioty szeroko rozumianego rynku finansowego będą lepiej chronione i bardziej odporne na zagrożenia. Również my jako obywatele to odczujemy. Dzięki lepiej działającym usługom będziemy mniej narażeni na pewne ryzyka związane z ich działaniem.

Gdybym miał wymienić najważniejsze powody, dlaczego DORA ma kluczowe znaczenie, byłyby nimi:

1. Ochrona przed zagrożeniami cyfrowymi: pomaga chronić instytucje finansowe przed zakłóceniami, które mogłyby zagrozić stabilności rynku i zmniejszyć zaufanie klientów.
2. Stabilność sektora finansowego: wzmacnia odporność systemów finansowych, zapobiegając sytuacjom, które mogłyby doprowadzić do kryzysu na dużą skalę.
3. Harmonizacja w Unii Europejskiej: przed wprowadzeniem DORA kraje UE miały różne regulacje prawne oraz stosowały odmienne podejścia do zarządzania ryzykiem. Rozporządzenie wprowadza jednolitość regulacyjną i spójne zasady dla wszystkich państw członkowskich, co zmniejsza bariery regulacyjne w całej Unii Europejskiej i ułatwia współpracę.
4. Zarządzanie dostawcami zewnętrznymi: wiele instytucji finansowych korzysta z usług dostawców. Problemy w funkcjonowaniu jednego podmiotu finansowego mogą mieć wpływ na cały rynek. DORA wprowadza mechanizmy nadzoru nad tymi dostawcami, zmniejszając ryzyko związane z outsourcingiem kluczowych funkcji.
5. Poprawa odporności na kryzysy: DORA wymaga od instytucji regularnego testowania systemów i planów awaryjnych, co pozwala lepiej przygotować się na sytuacje kryzysowe i szybko przywrócić normalne funkcjonowanie.
6. Odpowiedź na rozwój technologii: rozwój technologii finansowych wiąże się z nowymi wyzwaniami. DORA pomaga nadążyć za zmianami i zminimalizować ryzyko związane z innowacjami, dzięki temu, że wprowadza jednolite standardy zarządzania ryzykiem.
7. Zwiększenie zaufania klientów: klienci oczekują tego, że ich dane i środki są dobrze chronione. DORA podnosi poziom tej ochrony. Spowoduje, że instytucje finansowe i ich partnerzy zewnętrzni będą stosować odpowiednie standardy ochrony przed zagrożeniami cyfrowymi.

Rozporządzenie DORA będzie miało istotny wpływ na poszczególne podmioty szeroko rozumianego rynku finansowego. Będzie wpływać na poszczególne instytucje, branże, obszary, kraje i całą Unię Europejską. Będzie miało wpływ na lepsze zarządzanie ryzykiem i ochronę klientów.  Wzmocni stabilność całego sektora finansowego. Krąg podmiotów, na który będą miały wpływ przepisy tej regulacji, nie tylko w sposób bezpośredni, ale też pośredni, jest bardzo duży. Rozporządzenie DORA w praktyce będzie wpływało na codzienne życie każdego z nas. Właśnie to pokazuje, dlaczego ten akt prawa jest taki ważny.

Wyzwania DORA

Jakie największe wyzwania wiążą się z DORA?

Wdrożenie DORA wiąże się z wieloma wyzwaniami, które mogą być trudne do spełnienia. Oto, moim zdaniem, najważniejsze z nich:

1. Skala i złożoność wymagań: obszar regulowany przez rozporządzenie DORA jest bardzo szeroki i dla wielu podmiotów może być wyzwaniem zrozumienie oraz spełnienie jego wymagań. Problemem może okazać się integracja nowych wymogów z istniejącymi procedurami oraz brak wystarczających zasobów.
2. Koszty wdrożenia: dostosowanie do przepisów DORA może wiązać się z wysokimi kosztami, zwłaszcza dla mniejszych podmiotów. Inwestycje w zatrudnienie specjalistów, zakup nowych narzędzi czy przeprowadzanie regularnych testów odporności i audytów są kosztowne. Wiąże się z również z ryzykiem potencjalnej konsolidacji rynku, bo do tego w konsekwencji prowadzą trudności kosztowe małych i średnich podmiotów.
3. Zarządzanie dostawcami zewnętrznymi: wielu dostawców nie jest bezpośrednio związanych z sektorem finansowym, ale musi dostosować swoje usługi do nowych wymogów. Wyzwania jakie stoją przed podmiotami to m. in. monitorowanie zgodności dostawców z DORA, brak wpływu na globalnych dostawców usług, którzy mogą nie chcieć dostosować się do unijnych przepisów czy ryzyko utraty dostawców kluczowych usług.
4. Różnorodność podmiotów objętych regulacją: DORA obejmuje wiele różnych rodzajów podmiotów szeroko rozumianego rynku finansowego, od banków, przez firmy inwestycyjne, aż po dostawców. Każdy z tych podmiotów ma inne potrzeby i stoją przed nimi różne wyzwania. Wiąże się to z ryzykiem zaistnienia trudności we wdrożeniu uniwersalnego podejścia w tak zróżnicowanym środowisku.
5. Zmiana kultury organizacyjnej: wdrożenie DORA wymaga nie tylko nowych technologii, ale także zmiany sposobu myślenia w firmach, które muszą postrzegać cyfrową odporność jako priorytet strategiczny. Część podmiotów miało już z podobnym podejściem do czynienia, dzięki dotychczas istniejącym regulacjom. Jednak duża grupa podmiotów do tej pory nie była objęta tego typu przepisami. W ich przypadku mogą pojawić się trudności związane z przekonaniem kadry zarządzającej o konieczności inwestycji w cyberbezpieczeństwo, a także związane ze szkoleniem pracowników i budowaniem świadomości na temat ryzyka i bezpieczeństwa cyfrowego.
6. Regularne testowanie odporności: obowiązek przeprowadzania testów odporności wymaga nakładów czasu, zasobów i wiedzy. Testy takie wiążą się z symulacjami prawdziwych cyberataków na działających systemach i pozwalają ocenić gotowość organizacji na realne zagrożenia. Wyzwania, jakie mogą się tu pojawić, to opracowanie realistycznych scenariuszy testowych czy też kosztowne zatrudnianie specjalistów lub angażowanie wyspecjalizowanych firm zewnętrznych, do przeprowadzenia testów.
7. Zgłaszanie incydentów: DORA wymaga raportowania istotnych incydentów w ściśle określonych ramach czasowych. Problemy jakie się z tym wiążą (szczególnie na początku) to trudność w szybkim wykrywaniu i ocenie wpływu incydentu, brak odpowiednich procedur w wielu organizacjach czy ryzyko sankcji za opóźnienia lub błędy w raportowaniu.
8. Presja czasowa: DORA zaczyna obowiązywać od 17 stycznia 2025 roku. Ryzykiem było i nadal jest zbyt późne rozpoczęcie działań związanych z wdrożeniem przepisów. Ci którym się to nie udało, nie są na straconej pozycji, jednak będzie od nich to wymagało bardzo intensywnych działań.
9. Nadzór i sankcje: podmioty wskazane jako regulatorzy rynku będą ściśle monitorować zgodność z przepisami DORA, a za jej naruszenia mogą grozić poważne sankcje. Problemem, który się wiąże z sankcjami jest ryzyko utraty reputacji w przypadku naruszenia regulacji przez dany podmiot.
10. Synchronizacja z innymi regulacjami: wiele firm musi równocześnie spełniać wiele przepisów, np. RODO (GDPR), czy PSD2. Ryzykiem, które się z tym wiąże, jest problem nakładania się wymagań i trudności w koordynacji działań z tym związanym.

Jest wiele wyzwań, które stoją przed wdrażającymi przepisy rozporządzenia DORA. Do tego trzeba przypomnieć, że nie są to jedyne przepisy i wymagania, które trzeba spełnić. Część podmiotów będzie musiała jeszcze wdrożyć przepisy pozostałych aktów prawnych. Do tego dochodzi jeszcze spełnianie wymagań narzuconych innymi regulacjami.

Skuteczne wdrożenie rozporządzenia DORA wymaga odpowiedniego planowania, inwestycji w technologię, współpracy z ekspertami i budowania świadomości w organizacji. Dla wielu podmiotów oznacza to konieczność modernizacji technologii, procesów i podejścia do zarządzania ryzykiem w stosunkowo krótkim czasie. Tylko przyjęcie proaktywnego podejścia pozwoli nie tylko spełnić wymogi regulacyjne, ale także zwiększyć bezpieczeństwo i stabilność operacyjną.

Dla poszczególnych podmiotów największym wyzwaniem związanym z wdrożeniem rozporządzenia DORA jest znalezienie równowagi między spełnieniem zapisów regulacji, a ograniczeniem kosztów i zakłóceń w działalności operacyjnej. Na koniec trzeba też wspomnieć, że jest wiele strategii, które są pomocne w dostosowaniu się podmiotów do wymagań rozporządzenia.

Dziękuję za rozmowę.

Podsumowanie

2024 rok był określany mianem „tsunami regulacyjnego”. KSC, NIS2 czy DORA to skróty aktów prawnych, które z założenia mają znacząco wpłynąć na poprawę bezpieczeństwa w cyberprzestrzeni.

W 2025 roku miały miejsce już dwa duże wycieki danych. Pierwszy z nich zawierał informacje o 200 tys. Polaków i pochodził z firmy sprzedającej armaturę łazienkową, zaś drugi dotyczy Eurocertu – dostawcy kwalifikowanych usług zaufania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].