DORA uderza w fintechy: Czy nowe przepisy zagrożą innowacyjnym firmom?
Rozporządzenie o cyfrowej odporności operacyjnej (DORA) dotyczy instytucji finansowych, zarówno tych tradycyjnych, jak również fintechów, które oferują usługi finansowe oparte na technologii. Są one integralną częścią sektora finansowego, więc obowiązują je także regulacje DORA, które trzeba wdrożyć do 17 stycznia 2025 roku. Przed jakimi wyzwaniami stoją? I czy powinny przyjąć specjalne podejście do wdrożenia DORA?
Sytuacja fintechów w kontekście wdrożenia DORA jest wyjątkowa z kilku powodów. Przede wszystkim są one w znacznym stopniu uzależnione od zewnętrznych usług technologicznych, takich jak dostawcy chmury obliczeniowej, oprogramowania, analityki czy centrów danych. Bez tych usług ich rozwój byłby niemożliwy.
Ponadto, sprostanie rygorystycznym przepisom DORA wymaga znacznych zasobów nie tylko infrastrukturalnych, ale także ludzkich – którymi szczególnie te mniejsze fintechy i startupy po prostu nie dysponują.
Dodatkowo, dostosowanie się do DORA jest kluczowe dla fintechów nie tylko z perspektywy zgodności z przepisami, ale także dla budowania i utrzymania zaufania klientów, partnerów biznesowych ze świata finansów oraz stabilności operacyjnej w dynamicznym środowisku cyfrowym. Duże instytucje finansowe zwyczajnie nie będą współpracować z podmiotami, które nie spełnią założeń DORA.
Kluczowe punkty DORA dla fintechów
Wśród najważniejszych aspektów DORA dla fintechów znajduje się zarządzanie ryzykiem ICT. Fintechy muszą identyfikować, oceniać i monitorować ryzyko związane z korzystaniem z usług zewnętrznych dostawców ICT, co jest istotne ze względu na ich dużą zależność od tego typu usług. Podobnie jak inne organizacje, powinny także przygotować rejestr postanowień umownych zgodnie z wytycznymi KNF.
Kolejnym ważnym elementem jest testowanie odporności cyfrowej poprzez regularne przeprowadzanie testów skuteczności systemów i procesów ICT w obliczu różnorodnych zagrożeń. Istotny jest również obowiązek raportowania poważnych incydentów ICT do właściwych organów nadzoru.
Jak fintechy mogą optymalnie wdrożyć rozporządzenie DORA?
Aby przejść przez proces wdrażania DORA w sposób możliwie najbardziej bezbolesny, fintechy powinny działać zwinnie i iteracyjnie. Tak jak w procesie rozwoju produktów, zastosowanie metodyk zwinnych pozwoli na szybkie reagowanie na zmiany i ciągłe doskonalenie procesów.
Opracowanie szczegółowego planu działania z jasno określonymi etapami i celami umożliwi im efektywnie zarządzać zasobami i terminami. Od czego zacząć? Od oceny poziomu ryzyka, którą można przeprowadzić na kilka różnych sposobów. Na co więc zwrócić uwagę?
– DORA wymaga od podmiotów finansowych zarządzania ryzykiem związanym z usługodawcami zgodnie z zasadą proporcjonalności, z uwzględnieniem charakteru, zakresu, złożoności i wagi stosunków zależności oraz ryzykami wynikającymi z tych ustaleń. Mówi o tym artykuł 16 rozporządzenia – zwraca uwagę radca prawny Mikołaj Otmianowski, wiceprezes firmy DAPR, dostawcy aplikacji RED INTO GREEN. – To znaczy, że fintechy powinny ocenić, jakie są ich ryzyka i poziom wdrożenia dostosować do poziomu tegoż ryzyka. Nie ma na to jednej metody. Można to zrobić bardzo szczegółowo, jak np. firmy ubezpieczeniowe lub ogólniej, jak mniejsze organizacje. Na rynku dostępne są narzędzia, które umożliwiają oba podejścia do tematu – wyjaśnia Otmianowski.
Jednym z takich rozwiązań jest aplikacja RED INTO GREEN, która pomaga zautomatyzować procesy związane z zarządzaniem ryzykiem i wdrażaniem norm regulacyjnych, takich jak DORA, NIS2 i RODO. Umożliwia ona monitorowanie ryzyka operacyjnego w czasie rzeczywistym, tworzenie raportów oraz integrację z narzędziami do skanowania podatności.
RED INTO GREEN to jedyna aplikacja na rynku, która pozwala przygotować raport z postanowień umownych sprawnie i szybko.
Dzięki takiej centralizacji zarządzania ryzykiem, fintechy i inne instytucje finansowe mogą spełniać wymogi regulacyjne, poprawić bezpieczeństwo operacyjne i na bieżąco optymalizować procesy zarządzania zgodnością. W rezultacie wzmocni to ich pozycję na rynku oraz zaufanie klientów i partnerów biznesowych.
*****
DAPR – firma oferująca rozwiązania LegalTech. Tworzy ją zespół ekspertów w obszarach IT i cyberbezpieczeństwa, prawa i metodyki przeprowadzania analizy ryzyka. DAPR oferuje oprogramowanie służące do analizy i zarządzania ryzykiem w kontekście DORA, NIS2 oraz RODO (produkt RED INTO GREEN).