Projekt ustawy o operacyjnej odporności cyfrowej sektora finansowego 2025

W Polsce trwają prace legislacyjne nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego (UC11), której zadaniem jest implementacja przepisów DORA do polskiego porządku prawnego. 

Wprowadzane zmiany w ustawie o krajowym systemie cyberbezpieczeństwa mają na celu dostosowanie polskiego prawa do wymogów rozporządzenia DORA. Celem tych zmian jest zwiększenie poziomu cyberbezpieczeństwa w sektorze finansowym poprzez wprowadzenie jednolitych standardów i procedur, a także wzmocnienie współpracy między organami odpowiedzialnymi za cyberbezpieczeństwo.

Artykuł ma na celu zaprezentowanie istotnych informacji dotyczących tego projektu oraz jego wpływu na sektor finansowy w Polsce.

Reklama

Kluczowe informacje warte zapamiętania – projekt ustawy o operacyjnej odporności cyfrowej sektora finansowego:

  • Projekt ustawy implementującej DORA do polskiego porządku prawnego jest zgodny z innymi regulacjami UE, w tym z RODO i NIS2.
  • DORA ma na celu zwiększenie harmonizacji przepisów dotyczących operacyjnej odporności cyfrowej w sektorze finansowym.
  • Istnieją pewne wątpliwości co do zakresu podmiotowego DORA, które wymagają dalszego wyjaśnienia.

Wprowadzenie do rozporządzenia DORA

Rozporządzenie DORA wprowadza jednolite wymogi, które mają zastosowanie do wszystkich podmiotów finansowych w Unii Europejskiej. Jego celem jest zapewnienie stabilności finansowej oraz integralności rynku finansowego poprzez wzmocnienie mechanizmów nadzoru i zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi ICT.

Kluczowe założenia projektu ustawy o operacyjnej odporności cyfrowej sektora finansowego

Operacyjna odporność cyfrowa odnosi się do zdolności podmiotów finansowych do zapewnienia ciągłości działania i bezpieczeństwa w obszarze ICT. Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji wprowadza szereg wymogów dla instytucji finansowych, w tym obowiązek opracowania polityk i procedur dotyczących zarządzania ryzykiem ICT.

  1. Zarządzanie ryzykiem ICT: Podmioty finansowe będą zobowiązane do identyfikacji, oceny i minimalizacji ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT). W ramach tego założenia, instytucje będą musiały wdrożyć odpowiednie ramy zarządzania ryzykiem, które uwzględniają również outsourcing usług ICT. Wymóg ten ma na celu zapewnienie, że wszystkie aspekty ryzyka ICT są odpowiednio monitorowane i kontrolowane.
  2. Raportowanie incydentów: Projekt ustawy wprowadza obowiązek jasnego raportowania poważnych incydentów związanych z ICT do Komisji Nadzoru Finansowego (KNF) oraz innych organów. Instytucje finansowe będą musiały opracować procedury zgłaszania incydentów, co ma na celu zwiększenie przejrzystości i efektywności w zarządzaniu kryzysowym. Wymiana informacji między instytucjami finansowymi w kontekście incydentów cybernetycznych również zostanie uregulowana, co ma na celu poprawę współpracy w obszarze bezpieczeństwa.
  3. Testowanie odporności: Regularne testy bezpieczeństwa, w tym testy penetracyjne TLPT, będą obowiązkowe dla instytucji finansowych. Współpraca z KNF w zakresie zatwierdzania i nadzoru nad testami będzie kluczowa, a wyniki tych testów będą wykorzystywane do doskonalenia systemów bezpieczeństwa. To założenie ma na celu zapewnienie, że instytucje są w stanie skutecznie reagować na zagrożenia i incydenty związane z ICT.
  4. Outsourcing usług ICT: W kontekście outsourcingu, projekt ustawy wymaga dokładnej analizy ryzyka związanego z korzystaniem z zewnętrznych dostawców usług ICT. Instytucje finansowe będą musiały wybierać zaufanych dostawców oraz wprowadzać szczegółowe umowy, które uwzględniają kwestie bezpieczeństwa. To założenie ma na celu minimalizację ryzyka związanego z outsourcingiem i zapewnienie, że dostawcy spełniają odpowiednie standardy bezpieczeństwa.
  5. Ochrona danych osobowych: Projekt ustawy precyzuje, jakie dane będą przetwarzane przez KNF i inne organy, zapewniając jednocześnie gwarancje zachowania poufności i integralności danych. Anonimizacja przekazywanych danych będzie również istotnym elementem, co ma na celu ochronę prywatności klientów i zgodność z przepisami o ochronie danych osobowych.
  6. Sankcje za naruszenia: W przypadku naruszeń, instytucje finansowe będą podlegały karom administracyjnym oraz innym środkom nadzorczym. Transparentne procedury nakładania sankcji oraz publikacja informacji o nałożonych karach, z uwzględnieniem ochrony danych, będą kluczowe dla efektywności nadzoru.
Wzmacnianie odporności cyfrowej w finansach

Celem tych zmian jest przede wszystkim zapewnienie spójności rozwiązań w odniesieniu do sektora finansowego, który będzie podlegał regulacjom rozporządzenia DORA (2022/2554).

Reklama

Najważniejsze zmiany:

  • Wyłączenie stosowania niektórych przepisów ustawy o krajowym systemie cyberbezpieczeństwa do podmiotów kluczowych i ważnych z sektora „Bankowość i infrastruktura rynków finansowych”. Dotyczy to m.in. art. 8, 10-13 i 15 ustawy o krajowym systemie cyberbezpieczeństwa.
  • Wprowadzenie obowiązku współdziałania zespołów CSIRT MON, CSIRT GOV i CSIRT NASK oraz właściwych organów w rozumieniu rozporządzenia DORA w zakresie działalności podmiotów finansowych będących podmiotami kluczowymi lub podmiotami ważnymi. 
  • Możliwość uczestnictwa Przewodniczącego KNF w posiedzeniach Kolegium przy Radzie Ministrów, działającego jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa. 
  • Dodanie regulacji dotyczącej przekazywania zgłoszeń o poważnych incydentach związanych z ICT od podmiotów finansowych do KNF, a następnie do sektorowego zespołu cyberbezpieczeństwa.
  • Umożliwienie przekazania przez sektorowy zespół cyberbezpieczeństwa do CSIRT poziomu krajowego zgłoszenia poważnego incydentu związanego z ICT pochodzącego od podmiotu finansowego niebędącego podmiotem kluczowym lub ważnym.
  • Wprowadzenie przepisów przejściowych dotyczących postępowań wszczętych na podstawie ustawy o krajowym systemie cyberbezpieczeństwa i niezakończonych przed dniem wejścia w życie nowej ustawy.

Praktyczne aspekty wdrażania DORA

Wdrażanie rozporządzenia DORA w polskim sektorze finansowym wiąże się z szeregiem praktycznych aspektów, które instytucje finansowe muszą uwzględnić, aby skutecznie dostosować się do nowych regulacji. Poniżej przedstawiamy kluczowe elementy, które powinny być brane pod uwagę w procesie implementacji.

Narzędzia i technologie

Instytucje finansowe powinny zainwestować w odpowiednie narzędzia do zarządzania ryzykiem, monitorowania systemów oraz wykrywania i reagowania na incydenty. Przykłady narzędzi, które mogą być użyteczne, to:

  • Systemy zarządzania ryzykiem: Oprogramowanie do identyfikacji, oceny i monitorowania ryzyk związanych z ICT.
  • Narzędzia do monitorowania: Rozwiązania do ciągłego monitorowania infrastruktury IT w celu wykrywania anomalii i potencjalnych zagrożeń.
  • Systemy wykrywania i reagowania na incydenty (SIEM): Narzędzia, które zbierają i analizują dane z różnych źródeł, aby szybko identyfikować i reagować na incydenty bezpieczeństwa.

Zmiany w infrastrukturze

Wdrażanie DORA może wymagać modernizacji istniejących systemów IT oraz infrastruktury. Kluczowe aspekty to:

Reklama
  • Modernizacja systemów: Uaktualnienie oprogramowania i sprzętu, aby spełniały nowe normy bezpieczeństwa.
  • Wdrażanie rozwiązań chmurowych: Przeniesienie części operacji do chmury może przynieść korzyści, ale wiąże się również z wyzwaniami, takimi jak zapewnienie bezpieczeństwa danych i zgodności z regulacjami.

Proces raportowania

Instytucje finansowe muszą opracować jasne procedury raportowania incydentów. Kluczowe elementy to:

  • Przykłady formularzy raportów: Opracowanie standardowych formularzy do zgłaszania incydentów, które będą używane przez wszystkie jednostki w organizacji.
  • Narzędzia do bezpiecznego przesyłania danych: Wdrożenie rozwiązań, które zapewnią bezpieczeństwo danych podczas ich przesyłania do KNF i innych organów.

Szkolenia i certyfikaty

W kontekście wprowadzanych regulacji, istotne jest, aby personel odpowiedzialny za cyberbezpieczeństwo regularnie uczestniczył w szkoleniach. Kluczowe aspekty to:

  • Programy szkoleniowe: Opracowanie i wdrożenie programów szkoleniowych, które będą obejmować najnowsze zagrożenia i techniki obrony.
  • Rekomendowane certyfikaty: Zachęcanie pracowników do uzyskiwania certyfikatów z zakresu bezpieczeństwa IT, co zwiększy ich kompetencje i świadomość zagrożeń.

Współpraca z KNF

Współpraca z Komisją Nadzoru Finansowego (KNF) będzie kluczowa dla skutecznego wdrożenia DORA. Kluczowe aspekty to:

  • Regularne konsultacje: Utrzymywanie stałego kontaktu z KNF w celu uzyskania wskazówek i informacji na temat najlepszych praktyk.
  • Współpraca w zakresie testów: Współpraca z KNF w zakresie przeprowadzania testów bezpieczeństwa i audytów, co pomoże w identyfikacji potencjalnych luk w zabezpieczeniach.

Rola Komisji Nadzoru Finansowego (KNF) w kontekście nadzoru nad podmiotami finansowymi zostaje wzmocniona. KNF będzie odpowiedzialna za monitorowanie zgodności z nowymi regulacjami oraz za współpracę z zewnętrznymi dostawcami usług ICT, co ma na celu minimalizację ryzyka związanego z outsourcingiem.

Reklama

Ochrona danych osobowych

W kontekście DORA, instytucje finansowe muszą również zwrócić szczególną uwagę na ochronę danych osobowych. Kluczowe aspekty to:

  • Zgodność z RODO: Zapewnienie, że wszystkie działania związane z przetwarzaniem danych osobowych są zgodne z przepisami RODO (Rozporządzenie o Ochronie Danych Osobowych).
  • Testy prywatności: Przeprowadzanie testów prywatności i ocen skutków dla ochrony danych, szczególnie w przypadku wprowadzania nowych systemów teleinformatycznych.
Wdrażanie DORA w finansach

Wyzwania i luki w regulacjach

Wdrażanie DORA wiąże się z wieloma wyzwaniami oraz lukami w regulacjach, które mogą wpłynąć na efektywność i skuteczność nowych przepisów.

W projekcie ustawy brakuje szczegółowych informacji na temat wpływu nowych regulacji na małe i średnie przedsiębiorstwa (MŚP). Warto byłoby omówić, jakie wsparcie mogą otrzymać te podmioty oraz jakie są ich obowiązki w kontekście nowych regulacji.

W kontekście rosnącego wykorzystania sztucznej inteligencji w sektorze finansowym, projekt ustawy powinien uwzględniać ryzyka związane z AI. Jakie są wytyczne dotyczące bezpieczeństwa i zarządzania ryzykiem w kontekście algorytmów i systemów opartych na AI?

Reklama

W celu zapewnienia efektywności wdrożenia DORA, konieczne będzie podjęcie działań mających na celu rozwiązanie tych problemów oraz dostosowanie regulacji do realiów polskiego sektora finansowego.

Złożoność regulacji

Jednym z głównych wyzwań jest złożoność regulacji, które mogą być trudne do zrozumienia i wdrożenia przez instytucje finansowe. Wiele przepisów DORA wymaga szczegółowego zrozumienia technicznych aspektów zarządzania ryzykiem ICT, co może być problematyczne, zwłaszcza dla mniejszych instytucji, które mogą nie dysponować odpowiednimi zasobami lub wiedzą.

Koszty wdrożenia

Wdrożenie DORA wiąże się z istotnymi kosztami, które mogą być obciążeniem dla instytucji finansowych. Koszty te obejmują inwestycje w nowe technologie, szkolenia dla pracowników oraz modernizację istniejących systemów IT. Mniejsze instytucje mogą mieć trudności z pokryciem tych wydatków, co może prowadzić do nierówności w sektorze finansowym.

 Brak spójności z innymi regulacjami

Wprowadzenie DORA może prowadzić do konfliktów z innymi regulacjami, takimi jak dyrektywa NIS2 (Network and Information Systems Directive). W szczególności, różnice w definicjach i wymaganiach mogą powodować zamieszanie i trudności w interpretacji przepisów. Kluczowe będzie zapewnienie, że regulacje te są spójne i nie wprowadzają dodatkowych obciążeń dla instytucji.

Reklama

Współpraca między instytucjami

Wdrażanie DORA wymaga współpracy między różnymi instytucjami finansowymi oraz organami regulacyjnymi. Wyzwania mogą pojawić się w zakresie wymiany informacji o incydentach cybernetycznych oraz współpracy w zakresie testowania odporności. Brak zaufania lub nieefektywne mechanizmy współpracy mogą ograniczyć skuteczność wdrożenia DORA.

Ochrona danych osobowych

Zgodność z przepisami o ochronie danych osobowych, takimi jak RODO (Rozporządzenie o Ochronie Danych Osobowych), stanowi dodatkowe wyzwanie. W kontekście DORA, instytucje finansowe będą musiały zapewnić, że wszelkie działania związane z przetwarzaniem danych osobowych są zgodne z obowiązującymi przepisami. Wprowadzenie nowych systemów teleinformatycznych może wymagać przeprowadzenia testów prywatności, co może być czasochłonne i kosztowne.

Niewystarczające ramy prawne

Niektóre aspekty DORA mogą wymagać dodatkowych ram prawnych, aby zapewnić skuteczne wdrożenie. Na przykład, konieczne może być wprowadzenie przepisów umożliwiających KNF (Komisji Nadzoru Finansowego) wydawanie instrukcji nadzorczych oraz żądanie informacji od instytucji finansowych. Brak takich przepisów może ograniczyć zdolność KNF do skutecznego nadzoru.

Wyzwania technologiczne

Wdrażanie DORA wiąże się z koniecznością dostosowania technologii i systemów informatycznych do nowych wymogów. Instytucje finansowe mogą napotkać trudności w integracji nowych rozwiązań z istniejącymi systemami, co może prowadzić do luk w zabezpieczeniach i zwiększonego ryzyka cyberataków.

Reklama
Wyzwania w wdrażaniu DORA

Głos sektora finansowego

Obawy dotyczące kosztów, złożoności regulacji oraz potrzeby wsparcia ze strony KNF są kluczowe dla skutecznej implementacji nowych przepisów. Współpraca, inwestycje w technologie oraz szkolenia dla pracowników będą niezbędne, aby sektor finansowy mógł skutecznie dostosować się do wymogów DORA i zwiększyć swoją odporność na zagrożenia cyfrowe.

Głos sektora finansowego jest kluczowy dla zrozumienia obaw, oczekiwań oraz gotowości instytucji do wdrożenia nowych regulacji. Poniżej przedstawiam kluczowe aspekty związane z tym tematem.

Obawy i oczekiwania

Sektor finansowy wyraża szereg obaw związanych z wprowadzeniem DORA, które mogą wpływać na jego funkcjonowanie. Wśród najważniejszych obaw znajdują się:

  • Koszty wdrożenia: Instytucje finansowe obawiają się, że koszty związane z implementacją nowych regulacji mogą być znaczne, co może wpłynąć na ich rentowność, zwłaszcza w przypadku mniejszych podmiotów.
  • Złożoność regulacji: Wprowadzenie nowych wymogów dotyczących zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności może być skomplikowane, co rodzi obawy o zdolność instytucji do ich efektywnego wdrożenia.
  • Współpraca z KNF: Sektor finansowy oczekuje, że Komisja Nadzoru Finansowego (KNF) będzie aktywnie wspierać instytucje w procesie wdrożenia DORA, oferując jasne wytyczne oraz pomoc w zakresie interpretacji przepisów.

Gotowość do wdrożenia

Ocena poziomu przygotowania instytucji finansowych do wdrożenia DORA jest kluczowa dla skuteczności implementacji. Wiele instytucji już rozpoczęło prace nad dostosowaniem swoich systemów i procedur do nowych wymogów. Kluczowe aspekty to:

Reklama
  • Inwestycje w technologie: Wiele instytucji inwestuje w nowoczesne technologie i narzędzia do zarządzania ryzykiem, co jest niezbędne do spełnienia wymogów DORA.
  • Szkolenia dla pracowników: Instytucje finansowe zdają sobie sprawę z konieczności przeszkolenia personelu odpowiedzialnego za cyberbezpieczeństwo, aby zapewnić, że będą oni w stanie skutecznie reagować na nowe wyzwania.
  • Współpraca z innymi instytucjami: Wiele instytucji podkreśla znaczenie współpracy z innymi podmiotami w sektorze finansowym oraz z organami regulacyjnymi, co może przyczynić się do lepszego zrozumienia i wdrożenia nowych regulacji.

Propozycje rozwiązań

Sektor finansowy proponuje szereg rozwiązań, które mogą ułatwić wdrożenie DORA i zwiększyć efektywność regulacji. Wśród nich znajdują się:

  • Uproszczenie regulacji: Propozycje dotyczące uproszczenia niektórych przepisów, aby były bardziej zrozumiałe i łatwiejsze do wdrożenia, co mogłoby zmniejszyć obciążenie administracyjne dla instytucji.
  • Wsparcie ze strony KNF: Sektor finansowy apeluje o większe wsparcie ze strony KNF w zakresie interpretacji przepisów oraz dostarczania wytycznych dotyczących najlepszych praktyk w zakresie cyberbezpieczeństwa.
  • Współpraca międzyinstytucjonalna: Współpraca między instytucjami finansowymi, a także z organami odpowiedzialnymi za cyberbezpieczeństwo, może przyczynić się do lepszego zarządzania ryzykiem i wymiany informacji o zagrożeniach.

Poniżej tabela podsumowująca uwagi instytucji do projektu ustawy:

Instytucja Uwagi
Rzecznik Finansowy – Doprecyzowanie przepisów dotyczących informowania klientów o incydentach ICT.
– Uwagi do definicji „podmiotu finansowego”.
Komisja Nadzoru Finansowego (KNF) – Doprecyzowanie warunków przekazywania informacji.
– Uzupełnienie katalogu podmiotów o małe instytucje płatnicze.
– Rozszerzenie obowiązków dla BGK i SKOK.
– Doprecyzowanie przepisów dotyczących testów penetracyjnych.
– Uprawnienia do wydawania instrukcji nadzorczych.
– Informowanie o ryzyku zidentyfikowanym w nadzorze.
Narodowy Bank Polski (NBP) – Modyfikacja przepisów dotyczących rozwiązań technicznych i organizacyjnych.
– Uwagi o dublowaniu założeń w projekcie ustawy.
KDPW CCP S.A. – Uzgodnienie projektu UC11 z projektem ustawy o krajowym systemie cyberbezpieczeństwa (UC32).
Ministerstwo Cyfryzacji (MC) – Doprecyzowanie przepisów dotyczących upoważnień do kontroli.
– Zastąpienie „bezpieczeństwa technicznego” „cyberbezpieczeństwem”.
– Przeniesienie przepisów zmieniających ustawę o krajowym systemie cyberbezpieczeństwa.
Kancelaria Prezesa Rady Ministrów – Wyjaśnienie, czy inne instytucje kredytowe są objęte krajowym systemem cyberbezpieczeństwa.
Pracownicze Towarzystwa Emerytalne – Wyłączenie instytucji emerytalnych obsługujących programy z maksymalnie 15 uczestnikami z obowiązków DORA.

Uwagi KNF do projektu ustawy wprowadzającej DORA

Uwagi KNF do projektu ustawy podkreślają konieczność wprowadzenia zmian, które zapewnią efektywność nadzoru w zakresie operacyjnej odporności cyfrowej sektora finansowego. Wprowadzenie odpowiednich regulacji jest kluczowe dla dostosowania polskiego systemu prawnego do wymogów unijnych oraz dla zapewnienia bezpieczeństwa w obliczu rosnących zagrożeń cybernetycznych. Współpraca między organami regulacyjnymi, instytucjami finansowymi oraz dostawcami usług ICT będzie kluczowa dla skutecznej implementacji DORA.

Potrzeba dwustronnej wymiany informacji

Zgodnie z uwagami KNF, projekt ustawy powinien umożliwiać dwustronną wymianę informacji między podmiotami finansowymi a KNF. Obecne brzmienie projektu ogranicza możliwość komunikacji, co może negatywnie wpłynąć na efektywność nadzoru. KNF podkreśla, że konieczne jest zapewnienie podstawy prawnej do żądania informacji, które nie są wskazane wprost w rozporządzeniu 2022/2554, co jest kluczowe dla sprawowania bieżącego nadzoru.

Reklama

Wymogi dotyczące systemu teleinformatycznego

Projekt ustawy powinien uwzględniać neutralność technologiczną, co oznacza, że KNF powinna mieć możliwość doboru odpowiednich środków technicznych do komunikacji z podmiotami finansowymi. Wprowadzenie zbyt szczegółowych regulacji na poziomie ustawowym może ograniczyć elastyczność w dostosowywaniu systemów do zmieniających się warunków.

Instrukcje nadzorcze

KNF postuluje wprowadzenie przepisów, które umożliwią wydawanie instrukcji nadzorczych w formie zaleceń i rekomendacji, analogicznie do innych sektorów. Takie regulacje są niezbędne dla zapewnienia wysokiego poziomu operacyjnej odporności cyfrowej w sektorze finansowym. Rekomendacje powinny dotyczyć skutecznego zarządzania ryzykiem związanym z technologią informacyjno-telekomunikacyjną (ICT).

Zmiany w zakresie nadzoru

Projekt ustawy powinien jasno określać kompetencje KNF w zakresie nadzoru nad podmiotami finansowymi. Wprowadzenie odrębnych przepisów dotyczących nadzoru w kontekście DORA jest kluczowe dla efektywności działań KNF, zwłaszcza w obliczu rosnącej liczby zadań związanych z cyberbezpieczeństwem. KNF zwraca uwagę na konieczność dostosowania przepisów do wymogów rozporządzenia DORA, aby uniknąć obniżenia efektywności nadzoru.

Wymiana informacji o cyberzagrożeniach

Zgodnie z rozporządzeniem DORA, podmioty finansowe będą mogły wymieniać informacje o cyberzagrożeniach oraz wyniki analiz takich zagrożeń. KNF powinien mieć możliwość zbierania i przetwarzania tych informacji, co jest kluczowe dla skutecznego nadzoru. Wprowadzenie odpowiednich regulacji w tym zakresie jest niezbędne dla zapewnienia bezpieczeństwa sektora finansowego.

Reklama

Koszty i zasoby

W związku z nowymi obowiązkami, KNF będzie musiała zwiększyć swoje zasoby kadrowe oraz inwestować w systemy IT, aby móc skutecznie realizować zadania związane z nadzorem nad operacyjną odpornością cyfrową. Wzrost liczby zadań w obszarze cyberbezpieczeństwa wymagać będzie również dodatkowych nakładów finansowych.

Najlepsze praktyki i rekomendacje w kontekście DORA

Wdrażanie DORA wymaga nie tylko dostosowania do nowych regulacji, ale także przyjęcia najlepszych praktyk, które mogą zwiększyć operacyjną odporność cyfrową instytucji.

Poniższa tabela przedstawia kluczowe rekomendacje i najlepsze praktyki, które mogą być zastosowane przez instytucje finansowe w kontekście wdrażania DORA.

Rekomendacja Najlepsza praktyka
Zintegrowane zarządzanie ryzykiem ICT Regularne przeprowadzanie audytów ryzyka oraz aktualizacja polityk zarządzania ryzykiem w odpowiedzi na zmieniające się zagrożenia.
Szkolenia i podnoszenie świadomości Organizowanie symulacji incydentów, które pozwolą pracownikom na praktyczne zastosowanie wiedzy i umiejętności w sytuacjach kryzysowych.
Testowanie odporności Regularne przeprowadzanie testów penetracyjnych i symulacji incydentów.
Współpraca z dostawcami usług ICT Staranny dobór zewnętrznych dostawców usług ICT oraz regularne monitorowanie ich działań.
Ochrona danych osobowych Przeprowadzanie ocen skutków dla ochrony danych (DPIA) przed wprowadzeniem nowych systemów lub procesów przetwarzania danych.
Współpraca z organami nadzoru Utrzymywanie stałej współpracy z Komisją Nadzoru Finansowego (KNF) oraz innymi organami regulacyjnymi.
Dokumentacja i raportowanie Wprowadzenie systemu raportowania incydentów, który umożliwi szybką wymianę informacji oraz analizę przyczyn incydentów.
Utrzymywanie ciągłości działania Opracowanie i wdrożenie planów ciągłości działania, które uwzględniają różne scenariusze kryzysowe.
Wykorzystanie technologii Inwestowanie w nowoczesne technologie, które mogą wspierać zarządzanie ryzykiem i bezpieczeństwo ICT.
Utrzymywanie kultury bezpieczeństwa Wprowadzenie programów motywacyjnych, które nagradzają pracowników za zgłaszanie potencjalnych zagrożeń oraz aktywne uczestnictwo w działaniach na rzecz bezpieczeństwa.

Konsekwencje niespełnienia nowych wymogów prawnych

Niespełnienie nowych wymogów prawnych, o których mowa w ustawie, może prowadzić do szeregu konsekwencji, w tym kar pieniężnych, sankcji administracyjnych i innych środków naprawczych.

  • Komisja Nadzoru Finansowego (KNF) będzie miała uprawnienia do nakładania kar pieniężnych na podmioty finansowe, które naruszają przepisy rozporządzenia 2022/2554 w zakresie zapewnienia operacyjnej odporności cyfrowej.
  • Wysokość kar będzie uzależniona od szeregu czynników, w tym wagi naruszenia i czasu jego trwania.
  • KNF będzie mogła również publikować informacje o nałożonych karach, w tym dane osób odpowiedzialnych za naruszenia.

Oprócz kar pieniężnych, KNF będzie mogła stosować inne środki nadzorcze, takie jak:

  • nakazanie zaprzestania naruszeń,
  • zawieszenie lub wypowiedzenie ustaleń umownych z zewnętrznymi dostawcami usług ICT.

W przypadku pośredników ubezpieczeniowych, którzy nie są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami, proponuje się wprowadzenie obowiązku zgłaszania KNF faktu podlegania pod reżim rozporządzenia 2022/2554. Niewypełnienie tego obowiązku może skutkować sankcjami przewidzianymi w ustawie o dystrybucji ubezpieczeń.

Należy również zauważyć, że niewypełnienie obowiązków informacyjnych i sprawozdawczych może prowadzić do sankcji. W tym kontekście KNF będzie miała uprawnienia do żądania informacji, dokumentów i wyjaśnień od podmiotów finansowych.

Wdrażane przepisy mają na celu zapewnienie skutecznego nadzoru nad przestrzeganiem nowych wymogów prawnych. Ich celem jest zwiększenie bezpieczeństwa i odporności cyfrowej sektora finansowego . Niespełnienie tych wymogów może zatem prowadzić do osłabienia stabilności systemu finansowego.

Podsumowanie

Implementacja Rozporządzenia DORA w Polsce stanowi istotny krok w kierunku wzmocnienia bezpieczeństwa cyfrowego sektora finansowego. Projekt ustawy UC11 wprowadza szereg zmian w polskim systemie prawnym, dostosowując go do wymogów DORA. Kluczowe elementy implementacji obejmują m.in.: kompleksowe zarządzanie ryzykiem ICT, ustanowienie jasnych procedur raportowania incydentów, regularne testowanie odporności systemów ICT, szczegółowe regulacje dotyczące outsourcingu usług ICT, wzmocnienie ochrony danych osobowych oraz wprowadzenie systemu sankcji za naruszenie przepisów. 

Wprowadzenie nowych regulacji wymaga jednak uwzględnienia specyfiki małych i średnich przedsiębiorstw oraz rosnącego znaczenia sztucznej inteligencji. Współpraca z innymi instytucjami oraz zgodność z regulacjami europejskimi są kluczowe dla skutecznej implementacji tych przepisów.

Skuteczne wdrożenie DORA wymaga ścisłej współpracy między organami regulacyjnymi, instytucjami finansowymi, dostawcami usług ICT oraz klientami. Wspólne wysiłki na rzecz zwiększenia świadomości i odpowiedzialności w zakresie cyberbezpieczeństwa stanowią klucz do sukcesu w budowaniu bezpieczniejszej przyszłości sektora finansowego.

Najczęściej zadawane pytania – projekt ustawy o operacyjnej odporności cyfrowej sektora finansowego

Reklama
Podziel się swoją opinią:

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.