• Rozporządzenie DORA ma podnieść poziom odporności cyfrowej w europejskim sektorze finansowym. 

• Pierwsze wymogi odnoszące się do raportowania i dokumentacji zaczną obowiązywać 17 stycznia 2025 roku. 

• W międzyczasie pojawiają się dodatkowe wytyczne krajowych organów nadzoru (np. KNF), które precyzują, jak i w jakim zakresie raportować. 

 

Komentarz ekspercki: Mikołaj Otmianowski o tym, co oznacza data 17 stycznia 

„Jeśli porównamy wymagania DORA i GDPR, najbardziej odczuwalną różnicą będzie systematyczne raportowanie do KNF. Wszyscy wiedzą, że nadzór chce raportów ciągłych, a jednocześnie nikt do końca nie wie, jak to w praktyce zorganizować – podobnie jak przy GDPR, którą wciąż na nowo interpretujemy. 

Największe wyzwanie to zbudowanie odpowiednich relacji z dostawcami ICT, a także konieczność zbudowania utrzymywania aktualności rejestru dostawców ICT.Excel bywa dobry na początek, lecz przy kilkudziesięciu, a nawet kilkunastu dostawcach łatwo o chaos – wystarczy choćby jedna zmiana warunków umowy czy regulaminu, aby wszystko się rozjechało. Tymczasem DORA wymaga natychmiastowej rozliczalności: od KRI i raportów cyklicznych, po wykazy incydentów i aktualizacje umów, które muszą być gotowe na wezwanie nadzoru.”- wyjaśnia Mikołaj Otmianowski, wiceprezes firmy DAPR 

 

Nowy etap raportowania podmiotów sektora finansowego 

17 stycznia to data, od której instytucje finansowe w krajach UE będą podlegać bardziej restrykcyjnym wymogom w zakresie dokumentowania i raportowania współpracy z dostawcami usług IT (w tym tzw. dostawcami krytycznymi). Powodem są nowe wytyczne oraz harmonogram wynikający z Rozporządzenia DORA (Digital Operational Resilience Act). 

Kluczowe zmiany obejmują m.in.: 

• Obowiązek tworzenia szczegółowych rejestrów zawierających informacje o umowach dostawcami ICT – gdzie instytucja finansowa musi wykazać również relacje wewnątrz grupy kapitałowej, jeżeli korzysta ze wsparcia spółek powiązanych. w tym zakresu usług, rozwiązań chmurowych, procedur bezpieczeństwa. 

• Ocena i raportowanie incydentów poważnych – wzory i proces, który wymaga ciągłej aktualizacji danych. 

• Testowanie odporności cyfrowej– regularne tesowanie organizacji przygotowanie na zdarzenia nieprzewidziane, wynikające z zagroże funkcjonowania w świecie digital.   

Rozporządzenie wymaga od wszystkich instytucji finansowych również systematycznego monitorowania swojej infrastruktury, oceniania incydentów i raportowania tych ocenionnych na poważne – każde zdarzenie mogące narazić działalność firmy na przestój powinno być odnotowywane i analizowane. Raportowanie odbywa się w systemie świeżo udostępnionym przez KNF. W wielu instytucjach nadal brakuje spójnych procedur zarządzania dostawcami ICT, co może prowadzić do chaosu i opóźnień w przygotowaniu raportów. Eksperci ostrzegają, że nawet niewielkie uchybienia mogą skutkować dotkliwymi sankcjami. 

Mikołaj Otmianowski podkreśla, że przy tak obszernych wymogach kluczowe jest zautomatyzowanie powtarzalnych czynności oraz właściwa integracja danych z różnych działów.  

„Praktyka pokazuje, że zespoły najpierw zaczynają w Excelu, a potem okazuje się, że przy setkach rekordów to zwyczajnie nie działa. Dlatego warto inwestować w profesjonalne systemy GRC (Governance, Risk & Compliance), które pozwalają automatycznie wersjonować dane i zachować porządek. Inaczej jedynym sposobem byłoby wydłużenie doby o kolejne 24 godziny, co raczej nie wchodzi w grę.  

Duże przedsiębiorstwa szczególnie odczuwają ciężar obowiązków – bez odpowiedniego oprogramowania stworzenie kompletnego rejestru jednej umowy zgodnie z DORA może zająć nawet 8 godzin. W skali dużej organizacji mówimy o setkach, a nawet tysiącach godzin pracy specjalistów wysokiej klasy” - wyjaśnia Otmianowski. 

 

DORA: początek głębokich zmian 

Zdaniem ekspertów DORA to nie tylko chwilowe wyzwanie dla sektora finansowego, ale oznaka trwałej zmiany w podejściu do bezpieczeństwa cyfrowego. Wdrożenie rozporządzenia, szczególnie w zakresie rejestru dostawców i incydentów, jest pierwszym krokiem do stworzenia spójnych standardów na poziomie całej Unii Europejskiej. 

Kolejne regulacje, takie jak NIS2, poszerzają spektrum wymagań i obejmują coraz więcej podmiotów. W praktyce oznacza to, że instytucje finansowe, które już teraz zainwestują w odpowiednie narzędzia i procedury, będą znacznie lepiej przygotowane na kolejne etapy cyfrowej transformacji oraz rosnące wymogi nadzorcze w przyszłości. 

 

*****

DAPR – firma oferująca rozwiązania LegalTech. Tworzy ją zespół ekspertów w obszarach IT i cyberbezpieczeństwa, prawa i metodyki przeprowadzania analizy ryzyka. DAPR oferuje oprogramowanie służące do analizy i zarządzania ryzykiem w kontekście DORA (produkt RIG DORA) oraz RODO (produkt RIG RODO).

drukuj