Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

Unijne rozporządzenie DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej.

Aktualizacja: 29.07.2021 12:25 Publikacja: 29.07.2021 07:49

Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

Foto: Adobe Stock

Łukasz Węgrzyn

We wrześniu 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (z ang. Digital Operational Resiliance Act – DORA). Projekt jest konsekwencją wydanej przez Komisję Europejską strategii dla Unii Europejskiej w zakresie finansów cyfrowych, w tym zapowiedzianego w niej pakietu regulacji prawnych dotyczących finansów cyfrowych. Poza rozporządzeniem DORA na pakiet składają się rozporządzenie ws. kryptoaktywów, rozporządzenie ws. infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywa ws. wyjaśnienia lub zmiany niektórych przepisów w zakresie usług finansowych. W czasie pandemii liczba cyberataków na instytucje finansowe wzrosła o 38 proc. W konsekwencji przyjęcie spójnej, kompleksowej i paneuropejskiej regulacji dotyczącej bezpieczeństwa operacyjnego sektora finansowego stało się priorytetem Komisji Europejskiej, którego efektem jest DORA.

DORA jest również efektem swoistej autorefleksji legislacyjnej jej autorów, którzy po kryzysie finansowym w 2008 r. skoncentrowali się wyłącznie na tworzeniu przepisów dotyczących odporności finansowej, zapominając o odporności operacyjnej.

Kolejnym argumentem podnoszonym przez autorów DORA jest wyraźnie widoczne zróżnicowanie w podejściu do uregulowania bezpieczeństwa operacyjnego sektora finansowego przez poszczególne kraje członkowskie. Taki stan rzeczy wpływa negatywnie na utrzymanie zasad swobody przedsiębiorczości i świadczenia usług przez podmioty funkcjonujące na rynku finansowym, szczególnie w obliczu transgranicznego modelu prowadzonej przez nie działalności.

DORA wprowadza zmiany w kilku obszarach bezpieczeństwa operacyjnego. W wielu przypadkach zmiany te mają charakter zasadniczy. Do obszarów tych należą wymagania:

- związane z zarządzaniem ryzykiem ICT,

- zgłaszania incydentów bezpieczeństwa,

- testowania odporności operacyjnej oraz

- relacji z dostawcami usług ICT.

Warto wskazać na dwa obszary, których konsekwencje mogą mieć charakter sejsmiczny dla obszaru bezpieczeństwa operacyjnego instytucji finansowych.

DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej, w tym bezpieczeństwo w obszarze ICT. To nowość względem dotychczasowego podejścia. Co ważne, wprowadzenie w DORA naczelnej zasady odpowiedzialności zarządu za bezpieczeństwo operacyjne polega na uzupełnieniu podejścia ilościowego do zarządzania ryzykiem (zawiązywanie rezerw finansowych na wypadek incydentów), podejściem jakościowym (spełnianie wymogów jakościowych w obszarze bezpieczeństwa operacyjnego). Jednym słowem, nie wystarczy już zawiązanie rezerw. Wymaga się spełnienia konkretnych, powtarzalnych i weryfikowalnych czynności, a za ich realizację odpowiedzialny ostatecznie będzie zarząd.

Zawarte w DORA wymagania związane z relacją z dostawcami usług ICT to najbardziej obszerny i precyzyjny opis regulujący obszar współpracy z dostawcami tych usług w dotychczasowych regulacjach dotyczących sektora finansowego. Wymagania odnoszą się zarówno do etapu wyboru dostawców na etapie procesów zakupowych, przez precyzyjne wymagania co do kształtu postanowień umowy z dostawcami usług ICT, kończąc na opisaniu wymagań co do kształtu scenariusza zakończenia współpracy oraz przeprowadzenia tzw. okresu przejściowego w relacji z dostawcą usług ICT.

Co ważne, DORA nakłada na podmioty finansowe obowiązek przeprowadzenia analizy i oceny ryzyka co do okoliczności, czy zawarcie umowy z konkretnym zewnętrznym dostawcą usług ICT może doprowadzić do nadmiernego uzależnienia się od dostarczanych przez niego usług. DORA jest aktualnie na etapie projektu. Datę jego finalnej publikacji przewidziano na 2022 rok. Po publikacji rozporządzenia podmioty sektora finansowego otrzymają 12–18 miesięcy na dostosowanie się do wymagań. Mamy do czynienia z kierunkową zmianą w podejściu do regulowania obszaru bezpieczeństwa operacyjnego, która w sposób trwały odbije się na sposobie zarządzania bezpieczeństwem sektora finansowego. Przewidziana w DORA naczelna zasada odpowiedzialności zarządu za bezpie- czeństwo operacyjne podmiotów finansowych będzie miała wpływ na rolę i znaczenie osób zarządzających obszarem bezpieczeństwa ICT w strukturach zarządu oraz całej organizacji. Szczególnie, że nie chodzi już tylko o zwiększenie rezerw bezpieczeństwa (podejście ilościowe), ale o realizację szeregu konkretnych wymagań (podejście jakościowe), za które odpowiedzialność ostatecznie ponosi zarząd. Określone przez DORA wymagania względem dostawców usług ICT, w tym wymagania co do kształtu umów zawieranych z tymi podmiotami, wymuszą nowe spojrzenie na kontraktowe uregulowania co do odpowiedzialności za skutki ataków, definicji błędów i podatności, obowiązków informacyjnych czy testowania odporności systemów.

Autor jest partnerem, szefem Praktyki Technologie w Kochański i Partnerzy

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Publicystyka Finanse w Firmie

Rząd podwyższa składki ZUS dla mikroprzedsiębiorców w 2022 r.

Rząd podwyższa składki dla miliona mikroprzedsiębiorców w 2022 r. do 1617 zł, czyli o 160 zł miesięcznie więcej niż dziś.

Materiał Promocyjny

ŠKODA ENYAQ iV

Wygodny rodzinny SUV

Nowy projekt rządu: pracownik bez szczepienia nie dostanie pensji

Ministerstwo zdrowia proponuje, aby niezaszczepiony pracownik mógł być wysłany na urlop bezpłatny. Bezrobotny bez szczepienia może mieć kłopot ze znalezieniem pracy.

Prawo dla Ciebie

Wszystko o nowym roku szkolnym 2021/22: egzaminy, szczepienia i 300+

Tak jak w zeszłym roku uczniowie we wrześniu wracają do szkół. Nie wiadomo, czy i kiedy przejdą na naukę zdalną lub hybrydową – trochę z domu, trochę ze szkoły. Wszystko zależy od rozwoju pandemii. Do nowego roku szkolnego warto przygotować się już teraz - oto wszystko co musisz wiedzieć.

Jak rozliczyć subwencję z Polskiego Funduszu Rozwoju

Czy przedsiębiorcy zapłacą podatek od otrzymanej dotacji z Tarczy Finansowej PFR? Kto może ubiegać się o całkowite umorzenie subwencji i w jakim terminie powinien to zrobić – na m.in. te pytania odpowiadają prawniczki z Kancelarii Brysiewicz, Bokina, Sakławski i Wspólnicy.

Materiał Promocyjny

Bankowość przechodzi dynamiczny rozwój

Kilka polskich banków oferuje tak zwane konta za zero. Co to oznacza?

Przemysław Czarnek

Reforma edukacji ministra Czarnka - kurator oceni jakość pracy szkoły

Pod hasłem walki ze szkolną biurokracją minister edukacji chce, aby to nadzór pedagogiczny po kontroli sprawdził, jak kształcone są dzieci.

Siedziba Trybunału Konstytucyjnego

Prawo dla Ciebie

Trybunał znowu odroczył rozprawę ws. prymatu konstytucji

Trybunał Konstytucyjny zdecydował o kolejnym odroczeniu rozprawy w sprawie wniosku premiera Mateusza Morawieckiego dotyczącego oceny zgodności wybranych przepisów Traktatu o Unii Europejskiej z Konstytucją RP. Powodem jest wniosek RPO o wyłączenie sędziów.

Angela Merkel odchodzi na emeryturę po 16 latach kanclerzowania

Opinie polityczno - społeczne

Jerzy Haszczyński: Co nam Niemcy wybiorą

W niedzielę najważniejsze wybory w Unii Europejskiej w tym sezonie. A może i od lat, od brexitu. Czy bez Angeli Merkel czeka nas potop? Nie.

„To właśnie media wymusiły na Donaldzie Tusku ukaranie posłów Platformy”

Opinie polityczno - społeczne

Mariusz Cieślik: Kieliszkiem i kłonicą

Trochę wstyd, że nie byłem na urodzinach Roberta Mazurka. W końcu byli tam po prostu WSZYSCY. Nawet Marek Suski. A mówiąc serio, cała histeria, jaką wokół tej sprawy rozpętano, dowodzi, jak bardzo chore jest dziś życie publiczne w Polsce.

Michał Szułdrzyński: PiS wciąż poluje na TVN

Co dalej z lex TVN? Po odrzuceniu ustawy przez Senat i zapowiedzi prezydenta Dudy trafiła do szuflady marszałka Sejmu. Może się tam mrozić do końca kadencji, o ile rządzącym uda się manewr z KRRiT.

Tomasz Pietryga: Rzeczywistości równoległe

Decyzją o rekoncesji dla TVN 24 tylko na pozór rozwiązała nabrzmiewający od 19 miesięcy problem. Powstał bowiem mechanizm, który może utrzymywać stację w prawnej niepewności latami.

2 mln zł kary dla menedżera za antykonkurencyjne porozumienia

Czy i kiedy menedżerowie powinni się obawiać interwencji Prezesa Urzędu Ochrony Konkurencji i Konsumentów? Jak się przygotować na wypadek ewentualnego postępowania antymonopolowego, w którym poza spółką zarzuty otrzyma także zarząd?

O czym powinni pamiętać wykonawcy sięgając po klauzulę „rebus sic stantibus”?

Jeśli wykonawca nie dojdzie do porozumienia z zamawiającym w sprawie waloryzacji cen, może dochodzić zmiany umowy na drodze sądowej na podstawie art. 3571 § 1 kodeksu cywilnego. Takie postępowanie wymaga jednak odpowiedniego przygotowania.

Zwrot środków unijnych – kiedy i dlaczego?

W celu uniknięcia konieczności zwrotu środków unijnych, beneficjenci, którym przyznane zostało wsparcie zobowiązani są wykorzystać dofinansowanie zgodnie z celem, na który zostało przyznane. Powinni oni także uważać, aby nie naruszyć przepisów umowy oraz innych obowiązujących procedur.

Tarcza antykryzysowa

Dotacja z tarczy 8.0 nie jest przychodem, ale wydatki są kosztem

Środki uzyskane z tarczy 8.0 nie stanowią przychodu podatkowego. Ale wydatki firmowe poniesione z tej dotacji, przedsiębiorca może zaliczyć do podatkowych kosztów uzyskania przychodu.