Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

Unijne rozporządzenie DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej.

Aktualizacja: 29.07.2021 12:25 Publikacja: 29.07.2021 07:49

Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

Foto: Adobe Stock

Łukasz Węgrzyn

We wrześniu 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (z ang. Digital Operational Resiliance Act – DORA). Projekt jest konsekwencją wydanej przez Komisję Europejską strategii dla Unii Europejskiej w zakresie finansów cyfrowych, w tym zapowiedzianego w niej pakietu regulacji prawnych dotyczących finansów cyfrowych. Poza rozporządzeniem DORA na pakiet składają się rozporządzenie ws. kryptoaktywów, rozporządzenie ws. infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywa ws. wyjaśnienia lub zmiany niektórych przepisów w zakresie usług finansowych. W czasie pandemii liczba cyberataków na instytucje finansowe wzrosła o 38 proc. W konsekwencji przyjęcie spójnej, kompleksowej i paneuropejskiej regulacji dotyczącej bezpieczeństwa operacyjnego sektora finansowego stało się priorytetem Komisji Europejskiej, którego efektem jest DORA.

DORA jest również efektem swoistej autorefleksji legislacyjnej jej autorów, którzy po kryzysie finansowym w 2008 r. skoncentrowali się wyłącznie na tworzeniu przepisów dotyczących odporności finansowej, zapominając o odporności operacyjnej.

Kolejnym argumentem podnoszonym przez autorów DORA jest wyraźnie widoczne zróżnicowanie w podejściu do uregulowania bezpieczeństwa operacyjnego sektora finansowego przez poszczególne kraje członkowskie. Taki stan rzeczy wpływa negatywnie na utrzymanie zasad swobody przedsiębiorczości i świadczenia usług przez podmioty funkcjonujące na rynku finansowym, szczególnie w obliczu transgranicznego modelu prowadzonej przez nie działalności.

DORA wprowadza zmiany w kilku obszarach bezpieczeństwa operacyjnego. W wielu przypadkach zmiany te mają charakter zasadniczy. Do obszarów tych należą wymagania:

- związane z zarządzaniem ryzykiem ICT,

- zgłaszania incydentów bezpieczeństwa,

- testowania odporności operacyjnej oraz

- relacji z dostawcami usług ICT.

Warto wskazać na dwa obszary, których konsekwencje mogą mieć charakter sejsmiczny dla obszaru bezpieczeństwa operacyjnego instytucji finansowych.

DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej, w tym bezpieczeństwo w obszarze ICT. To nowość względem dotychczasowego podejścia. Co ważne, wprowadzenie w DORA naczelnej zasady odpowiedzialności zarządu za bezpieczeństwo operacyjne polega na uzupełnieniu podejścia ilościowego do zarządzania ryzykiem (zawiązywanie rezerw finansowych na wypadek incydentów), podejściem jakościowym (spełnianie wymogów jakościowych w obszarze bezpieczeństwa operacyjnego). Jednym słowem, nie wystarczy już zawiązanie rezerw. Wymaga się spełnienia konkretnych, powtarzalnych i weryfikowalnych czynności, a za ich realizację odpowiedzialny ostatecznie będzie zarząd.

Zawarte w DORA wymagania związane z relacją z dostawcami usług ICT to najbardziej obszerny i precyzyjny opis regulujący obszar współpracy z dostawcami tych usług w dotychczasowych regulacjach dotyczących sektora finansowego. Wymagania odnoszą się zarówno do etapu wyboru dostawców na etapie procesów zakupowych, przez precyzyjne wymagania co do kształtu postanowień umowy z dostawcami usług ICT, kończąc na opisaniu wymagań co do kształtu scenariusza zakończenia współpracy oraz przeprowadzenia tzw. okresu przejściowego w relacji z dostawcą usług ICT.

Co ważne, DORA nakłada na podmioty finansowe obowiązek przeprowadzenia analizy i oceny ryzyka co do okoliczności, czy zawarcie umowy z konkretnym zewnętrznym dostawcą usług ICT może doprowadzić do nadmiernego uzależnienia się od dostarczanych przez niego usług. DORA jest aktualnie na etapie projektu. Datę jego finalnej publikacji przewidziano na 2022 rok. Po publikacji rozporządzenia podmioty sektora finansowego otrzymają 12–18 miesięcy na dostosowanie się do wymagań. Mamy do czynienia z kierunkową zmianą w podejściu do regulowania obszaru bezpieczeństwa operacyjnego, która w sposób trwały odbije się na sposobie zarządzania bezpieczeństwem sektora finansowego. Przewidziana w DORA naczelna zasada odpowiedzialności zarządu za bezpie- czeństwo operacyjne podmiotów finansowych będzie miała wpływ na rolę i znaczenie osób zarządzających obszarem bezpieczeństwa ICT w strukturach zarządu oraz całej organizacji. Szczególnie, że nie chodzi już tylko o zwiększenie rezerw bezpieczeństwa (podejście ilościowe), ale o realizację szeregu konkretnych wymagań (podejście jakościowe), za które odpowiedzialność ostatecznie ponosi zarząd. Określone przez DORA wymagania względem dostawców usług ICT, w tym wymagania co do kształtu umów zawieranych z tymi podmiotami, wymuszą nowe spojrzenie na kontraktowe uregulowania co do odpowiedzialności za skutki ataków, definicji błędów i podatności, obowiązków informacyjnych czy testowania odporności systemów.

Autor jest partnerem, szefem Praktyki Technologie w Kochański i Partnerzy

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Publicystyka Finanse w Firmie

We wrześniu 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (z ang. Digital Operational Resiliance Act – DORA). Projekt jest konsekwencją wydanej przez Komisję Europejską strategii dla Unii Europejskiej w zakresie finansów cyfrowych, w tym zapowiedzianego w niej pakietu regulacji prawnych dotyczących finansów cyfrowych. Poza rozporządzeniem DORA na pakiet składają się rozporządzenie ws. kryptoaktywów, rozporządzenie ws. infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywa ws. wyjaśnienia lub zmiany niektórych przepisów w zakresie usług finansowych. W czasie pandemii liczba cyberataków na instytucje finansowe wzrosła o 38 proc. W konsekwencji przyjęcie spójnej, kompleksowej i paneuropejskiej regulacji dotyczącej bezpieczeństwa operacyjnego sektora finansowego stało się priorytetem Komisji Europejskiej, którego efektem jest DORA.

Pozostało 82% artykułu

2 / 3

artykułów

Czytaj dalej. Subskrybuj

prof. Ewa Łętowska i prof. Ryszard Piotrowski

Ewa Łętowska: Złudzenie konstytucjonalisty

W obrocie funkcjonują koty Schrödingera, czyli nieważne, ale skuteczne decyzje administracyjne. Przypominam o tym w związku z dyskusją o legalności pozbawienia stanowiska Dariusza Barskiego, do niedawna prokuratora krajowego.

Sprawdź Ofertę Powitalną z Kontem Oszczędnościowym ważną do 22.05.2024 r.

Materiał Promocyjny

Sprawdź Ofertę Powitalną z Kontem Oszczędnościowym ważną do 22.05.2024 r.

Robert Gwiazdowski: Podsłuchy praworządne. Jak podsłuchuje PO, to już jest OK

Robert Gwiazdowski: Podsłuchy praworządne. Jak podsłuchuje PO, to już jest OK

Okazuje się, że Platforma Obywatelska całkiem serio straszyła „przywróceniem praworządności”. Teraz przywraca podsłuchy. Bo jak PiS podsłuchiwał polityków Platformy, to był zły uczynek. Jak Platforma będzie podsłuchiwała, to będzie dobry uczynek. Byłby, gdy podsłuchiwała polityków PiS. Ale chce podsłuchiwać wszystkich.

Antoni Bojańczyk: Dobra i zła polityczność sędziego

Antoni Bojańczyk: Dobra i zła polityczność sędziego

Na czele powołanych przez polityków komisji kodyfikacyjnych stanęli sędziowie w czynnej służbie. Budzi to istotne zastrzeżenia z punktu widzenia zapewnienia gwarancji bezstronności i niezawisłości sędziów od władzy politycznej. Skłania też do zastanowienia się nad kompatybilnością tego typu nominacji z konstytucyjną zasadą trójpodziału władzy.

Tomasz Pietryga: Likwidacja CBA nie może być kolejnym nieprzemyślanym eksperymentem

Tomasz Pietryga: Likwidacja CBA nie może być kolejnym nieprzemyślanym eksperymentem

Likwidacja Centralnego Biura Antykorupcyjnego (CBA) jest kolejnym etapem realizacji obietnic wyborczych Donalda Tuska. To działanie ma na celu „sprzątanie” po państwie PiS.

Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.

Materiał Promocyjny

Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.

Marek Isański: Organ praworządnego państwa czy(li) oszust?

Dlaczego fiskus w łamaniu prawa jest konsekwentny, kreatywny i bezkarny. Dlaczego w szczególności nie obawia się sądu administracyjnego, który zamiast chronić obywatela przez nadużywającym uprawnień fiskusem, dużo mocniej broni fiskusa przed obywatelem. Najwyższy już czas aby organy ścigania przestały traktować jako martwe przepisy o przestępstwach urzędniczych, bo takie przestępstwa popełniają urzędnicy wszystkich szczebli, a nie tylko kierownictwo ministerstwa spraw wewnętrznych.

Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.

Materiał Promocyjny

Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.

Złoty słabszy. Analitycy: Nie ma się czym martwić

Złoty słabszy. Analitycy: Nie ma się czym martwić

Środa przyniosła osłabienie naszej waluty. W długim terminie złoty nadal ma jednak mocne argumenty.

Kurs złotego pod niewielką presją o poranku

Kurs złotego pod niewielką presją o poranku

Złoty koryguje wczorajsze umocnienie. Skala tego ruchu na razie pozostaje ograniczona.

Ewa Szadkowska: Króliczek zwany deregulacją

Ewa Szadkowska: Króliczek zwany deregulacją

Goni go każdy rząd i każda większość sejmowa. Przy starcie jest zwykle dużo hałasu, a potem robi się coraz ciszej.

Marek Domagalski: Uchwała SN może złagodzić frankowe spory

Marek Domagalski: Uchwała SN może złagodzić frankowe spory

Ustawy, zwłaszcza te radykalniejsze, uderzając w prawa wielu osób, budzą emocje. Podobnie bywa z uchwałami Sądu Najwyższego, choć mają wyciszać kontrowersje prawne i spory.

Mikołaj Małecki: Andrzej Duda też chciał złagodzić prawo aborcyjne

Mikołaj Małecki: Andrzej Duda też chciał złagodzić prawo aborcyjne

To dziwne, że w obecnej sytuacji prezydent nie domaga się uczynienia jego projektu z 2020 r. przedmiotem debaty parlamentarnej. Warto odkurzyć tamtą propozycję złagodzenia prawa aborcyjnego i nadać jej formalny bieg.

Paweł Krekora: Czy na ustawę frankową rzeczywiście jest za późno?

Paweł Krekora: Czy na ustawę frankową rzeczywiście jest za późno?

Przerzucenie całości problemu frankowego na sądy oznacza, że uporamy się z nim może dopiero w ciągu kilkunastu lat. Nie napawa to nikogo optymizmem. Czy to nie za późno?

„Czarny protest” na ulicach Warszawy po wyroku TK ws. aborcji

Joanna Parafianowicz: Dyskusja, a nie krucjata

Profesorom prawa podsuwam możliwość milczenia w kwestii, która biologicznie ich nie dotyczy.

Antoni Bojańczyk: Dobra i zła polityczność sędziego

Antoni Bojańczyk: Dobra i zła polityczność sędziego

Na czele powołanych przez polityków komisji kodyfikacyjnych stanęli sędziowie w czynnej służbie. Budzi to istotne zastrzeżenia z punktu widzenia zapewnienia gwarancji bezstronności i niezawisłości sędziów od władzy politycznej. Skłania też do zastanowienia się nad kompatybilnością tego typu nominacji z konstytucyjną zasadą trójpodziału władzy.

Czy Polska powinna się starać o udział w programie Nuclear Sharing?

Jacek Czaputowicz: Nie łammy nuklearnego tabu

O broni nuklearnej i bombie atomowej dla Polski lepiej nie mówić, a już na pewno nie inicjować publicznej dyskusji na ten temat. To po prostu szkodzi naszym narodowym interesom. Ufam, że ta linia polskiego MSZ zostanie utrzymana.

Strata Boeing Company za I kwartał jest mniejsza od oczekiwanej

Cywilna produkcja ciągnie Boeinga w dół

Strata Boeing Company za I kwartał jest mniejsza od oczekiwanej. I mniejsza, iż rok temu. Ale mimo to Amerykanie nie mają dobrych wiadomości.

Ukraiński żołnierz

Wojna Rosji z Ukrainą. Dzień 792

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. Rosja zawetowała rezolucję RB ONZ zakazującą umieszczania broni atomowej w przestrzeni kosmicznej.

Radosław Sikorski

Jędrzej Bielecki: Po exposé Radosława Sikorskiego. Polska ma wreszcie pomysł na UE

Musiało minąć 20 lat członkostwa Polski w UE, aby nasz kraj przestał postrzegać Brukselę jako ciało obce, przed którym należy się chronić i zarysował własną wizję integracji europejskiej.

Bartłomiej Sienkiewicz

Opinie polityczno - społeczne

Piotr Zaremba: Sienkiewicz wagi ciężkiej. Z rządu na unijne salony

Po co Donald Tusk wysyła, po kilku zaledwie miesiącach, swoich ministrów do Parlamentu Europejskiego? Z powodu krótkości ławki, ale też dlatego, że chce nauczyć swój obóz jeszcze wierniejszej służby.

Zbigniew Rau na sejmowej mównicy

Rau wypomina ministrom rządu Tuska, że "chcą objąć dochodowe mandaty" w PE

Zbigniew Rau w czasie debaty nad exposé Radosława Sikorskiego odniósł się m.in. do słów ministra spraw zagranicznych, który stwierdził, że poprzedni rząd traktował UE "jak bankomat".

PKP Cargo ma nowy tymczasowy zarząd

PKP Cargo ma nowy tymczasowy zarząd

Rada nadzorcza, ze swojego grona, delegowała czasowo Marcina Wojewódkę na stanowisko p.o. prezesa spółki oraz dwie kolejne osoby na p.o. członków zarządu PKP Cargo. Wkrótce na kierownicze stanowiska ogłosi konkurs.

Wicepremier, minister cyfryzacji Krzysztof Gawkowski

Prawo dla Ciebie

Rząd rusza do walki z cyberzagrożeniami. Przedstawił swoją broń

Jeszcze w tym roku rząd zamierza przyjąć znowelizowane przepisy o Krajowym Systemie Cyberbezpieczeństwa, które wprowadzą nowe zasady dla dostawców usług cyfrowych oraz podmiotów administracji publicznej.

Dr hab. n. med. Inga Ludwin: Nie został jednak potwierdzony związek podania szczepionki z ciężkimi s

Dr hab. n. med. Inga Ludwin o szczepieniach dzieci przeciw HPV: Jestem ich 100-proc. entuzjastką

- Jestem szczęśliwa jako lekarz i kobieta, że możemy uchronić kolejne pokolenia kobiet przed zachorowaniem na raka szyjki macicy poprzez wprowadzenie tej szczepionki jako profilaktyki pierwotnej - mówi specjalistka zajmująca się diagnostyką i leczeniem nowotworów narządu rodnego

Ryoyu Kobayashi

Skoki narciarskie

Ryoyu Kobayashi skoczył 291 m. Rekord, który może zmienić skoki narciarskie

Ryoyu Kobayashi pobił rekord świata w długości skoku narciarskiego. Japończyk poszybował na odległość 291 m. Międzynarodowa Federacja Narciarska (FIS) tego wyniku nie zamierza jednak zatwierdzić.

Słabnie ruch oporu przeciw startowi Rosjan na igrzyskach

Dlaczego Brytyjczycy porzucili ruch oporu i dziś kłaniają się przed Rosjanami

Brytyjczycy chcą organizować kwalifikacje olimpijskie, więc zgodzili się, żeby Rosjanie i Białorusini wystąpili na igrzyskach w Paryżu, choć zrobili to po cichu.

Niepokojące zjawisko w Polsce: renciści coraz młodsi

Praca, Emerytury i renty

Niepokojące zjawisko w Polsce: renciści coraz młodsi

O dwa i pół miesiąca obniżył się w ciągu roku średni wiek osób, które uzyskały uprawnienia do renty. Powodem tego niepokojącego zjawiska mogą być problemy natury psychicznej – mówią specjaliści.

Zaburzenia psychiczne młodych widać też w ZUS

Zaburzenia psychiczne młodych widać też w ZUS

Problemy natury mentalnej to jedna z głównych przyczyn coraz niższego wieku rencistów. Eksperci przyznają, że wpływ na to może mieć większa świadomość społeczna, ale też pandemia czy wojna.

Andrzej Duda po exposé Sikorskiego. Mówi o "zdumieniu", "rozczarowaniu", "niesmaku"

Dziś najważniejszym elementem naszej polityki bezpieczeństwa jest umacnianie współpracy w ramach NATO - mówił po exposé Radosława Sikorskiego w Sejmie prezydent Andrzej Duda.

Ile kosztuje budowa systemu kaucyjnego?

Giganci łączą siły. Kto wygra wyścig do recyclingu butelek i przejmie miliardy kaucji?

To długo wyczekiwana informacja: najwięksi konkurenci na rynku napojów połączyli siły i chcą od UOKiK zgody na utworzenie operatora systemu kaucyjnego. Pod wnioskiem o koncentrację podpisały się Coca Cola, Maspex, Oshee, Żywiec Zdrój i Nestle.

Zgodnie z oczekiwaniami, 11 studyjny album Taylor Swift wzbudził tak ogromne poruszenie wśród fanów,

Fani Taylor Swift szturmują pewien pub. Niespodziewane echa nowej płyty gwiazdy

Gdy Taylor Swift zapowiada nową płytę, fani natychmiast zaczynają odliczanie dni do daty premiery. Gdy ten dzień nadchodzi, nie tylko szturmują serwisy streamingowe i punkty sprzedaży, ale i… pewien londyński pub. Dlaczego?

Kucharczyk: Wyborcy mogą czuć się rozczarowani listami KO do PE

- Dla mnie taki skład list jest dużym zaskoczeniem - mówi dr Jacek Kucharczyk, prezes Instytutu Spraw Publicznych, komentując w rozmowie z Joanną Ćwiek-Świdecką informacje o listach Koalicji Obywatelskiej w wyborach do Parlamentu Europejskiego.

Rolnicy protestują. Na 24 godziny zablokowali trasę S3

Rolnicy ogłosili 24-godzinny protest na trasie S3 w Pyrzycach. Blokada drogi szybkiego ruchu rozpoczęła się o godzinie 10.00.

Borys Budka: Stajnia Augiasza to jest nic w porównaniu z tym, co Obajtek i spółka zrobili z Orlenem

Borys Budka o Orlenie: Stajnia Augiasza to nic. Facet wydawał na botoks

- Stajnia Augiasza to jest nic w porównaniu z tym, co Obajtek i spółka zrobili z Orlenem. Te wydatki na botoks… Kto wydał? Jeden z członków zarządu. Facet. Jest napisane „leczenie migreny” przy tym - powiedział w Radiu ZET minister aktywów państwowych Borys Budka.

Exposé Radosława Sikorskiego w Sejmie. Szef MSZ: Znaki na niebie i ziemi zwiastują nadzwyczajne wydarzenia

Radosław Sikorski przedstawił w Sejmie informację Ministra Spraw Zagranicznych o zadaniach polskiej polityki zagranicznej w 2024 roku. Minister zamierza też odpowiedzieć na pytania, które padną w czasie debaty.

Szef TikToka Shou Zi Chew odpowiadający na pytania kongresmenów

Globalne Interesy

Ustawa antytiktokowa stała się ciałem. Chiński koncern wzywa Amerykanów

Prezydent Joe Biden podpisał ustawę, która daje ByteDance, chińskiemu właścicielowi TikToka, dziewięć miesięcy na sprzedaż aplikacji. W przeciwnym razie zostanie ona zablokowana w USA.

„Breadcrumbing” należy rozumieć jako formę manipulacji polegającą na zwodzeniu drugiej osoby oraz wy

Breadcrumbing, czyli okruchy związku. Co to za manipulacja i jak się z niej uwolnić?

Gdy w danej relacji jedna osoba angażuje się ponad miarę, a druga tylko okazjonalnie, nie wycofując się całkowicie, a jedynie ponawiając kontakt, gdy ma taką potrzebę, może dochodzić do zjawiska „breadcrumbing”. Na czym ono polega?

Zaliczka w zamówieniach publicznych — fakt czy iluzja?

Zaliczka w zamówieniach publicznych — fakt czy iluzja?

Ustawodawca od wielu lat umożliwia zamawiającym kształtowanie płatności wynagrodzenia w umowach dot. realizacji zamówień publicznych z uwzględnieniem zaliczek czy płatności częściowych.

TSUE nakłada karę na Polskę. Nie pomogły argumenty o uchodźcach z Ukrainy

Prawo dla Ciebie

TSUE nakłada karę na Polskę. Nie pomogły argumenty o uchodźcach z Ukrainy

Polska ma zapłacić 7 mln euro - zdecydował w czwartek Trybunał Sprawiedliwości Unii Europejskiej. To kara za niewdrożenie dyrektywy o ochronie sygnalistów.