Stanowisko UKNF dotyczące stosowania Rozporządzenia DORA

Współczesny sektor finansowy stoi w obliczu dynamicznie ewoluującego krajobrazu zagrożeń, w którym cyberbezpieczeństwo odgrywa coraz istotniejszą rolę. Wzrost liczby i wyrafinowania cyberataków wymusza na instytucjach finansowych konieczność adaptacji i wdrożenia skutecznych strategii ochrony przed zagrożeniami cyfrowymi. Niewystarczająca ochrona może bowiem doprowadzić do dotkliwych konsekwencji, takich jak straty finansowe, utrata danych, a także naruszenie reputacji i zaufania klientów.

W odpowiedzi na te wyzwania Unia Europejska wprowadziła rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act – DORA). Ten przełomowy akt prawny ma na celu wzmocnienie odporności instytucji finansowych na zagrożenia cyfrowe i zapewnienie ciągłości działania w przypadku incydentów związanych z technologiami informacyjno-komunikacyjnymi (ICT).

Kluczowe informacje warte zapamiętania – Stanowisko UKNF dotyczące stosowania Rozporządzenia DORA:

Reklama
  • Rozporządzenie DORA wchodzi w życie 17 stycznia 2025 roku. Jest to akt bezpośrednio stosowany, co oznacza, że nie wymaga implementacji do prawa krajowego. Pomimo braku polskich przepisów, instytucje finansowe mają obowiązek dostosowania się do wymogów DORA najpóźniej do tej daty.
  • KNF będzie odgrywać kluczową rolę w nadzorze nad wdrażaniem DORA w Polsce. Będzie ona odpowiedzialna za zbieranie sprawozdań od instytucji finansowych i przekazywanie ich do Europejskich Urzędów Nadzoru (EUN). Do sprawnego działania w tym zakresie konieczne będzie korzystanie z systemów teleinformatycznych.
  • Podmioty finansowe muszą przygotować się do szeregu nowych obowiązków. Należą do nich: posiadanie identyfikatora LEI, raportowanie poważnych incydentów związanych z ICT, prowadzenie i przekazywanie rejestru informacji o umowach z zewnętrznymi dostawcami usług ICT. KNF udostępnia materiały informacyjne i edukacyjne, aby ułatwić instytucjom finansowym zrozumienie i wdrożenie DORA.

Rozporządzenie DORA – kogo dotyczy i co zmienia?

Rozporządzenie DORA wprowadza ujednolicone ramy prawne dla operacyjnej odporności cyfrowej w całej Unii Europejskiej, harmonizując dotychczasowe rozproszone regulacje krajowe i wytyczne nadzorcze. DORA dotyczy szerokiego spektrum instytucji finansowych, w tym banków, firm inwestycyjnych, zakładów ubezpieczeń, a także dostawców usług płatniczych i infrastruktury rynku kapitałowego.

DORA ma istotny wpływ na sektor finansowy w Polsce:

  • Komisja Nadzoru Finansowego (KNF) staje się właściwym organem nadzorczym w zakresie DORA.
  • Podmioty finansowe muszą dostosować swoje systemy i procedury do nowych wymogów do 17 stycznia 2025 roku.
  • Konieczne będzie wdrożenie nowych systemów teleinformatycznych do raportowania i komunikacji z KNF.
  • Uchylenie dotychczasowych rekomendacji i wytycznych KNF w zakresie bezpieczeństwa IT.

Ważne daty:

  • 17 stycznia 2025: wejście w życie DORA.
  • 30 kwietnia 2025: termin przekazania przez KNF rejestrów informacji do EUN.
  • Druga połowa 2025: planowane pierwsze wyznaczenie kluczowych zewnętrznych dostawców usług ICT.

DORA to znacząca zmiana dla sektora finansowego. Wprowadza ona nowe standardy bezpieczeństwa IT i zwiększa odpowiedzialność podmiotów finansowych za cyberbezpieczeństwo.

Reklama
Wpływ Rozporządzenia DORA na Sektor Finansowy w Polsce

Kluczowe obowiązki wynikające z rozporządzenia DORA

Stanowisko UKNF dotyczące stosowania Rozporządzenia DORA wskazuje, że DORA nakłada na instytucje finansowe szereg nowych obowiązków, które mają zapewnić skuteczną ochronę przed zagrożeniami cyfrowymi. Do najważniejszych należą:

  • Obowiązek posiadania identyfikatora LEI: Od 17 stycznia 2025 roku wszystkie instytucje finansowe objęte DORA są zobowiązane do posiadania identyfikatora podmiotu prawnego (Legal Entity Identifier – LEI). LEI to globalny standard identyfikacji podmiotów prawnych, który ułatwia identyfikację i monitorowanie transakcji finansowych. Informacje o uzyskaniu LEI można znaleźć na stronie Global Legal Entity Identifier Foundation (GLEIF) https://www.gleif.org/pl/ oraz Krajowego Depozytu Papierów Wartościowych SA (KDPW) https://lei.kdpw.pl/.
  • Raportowanie incydentów związanych z ICT: Instytucje finansowe są zobowiązane do zgłaszania do Komisji Nadzoru Finansowego wszelkich incydentów związanych z ICT, które mogą mieć negatywny wpływ na ich działalność. DORA wprowadza jasną definicję „incydentu związanego z ICT” i „poważnego incydentu związanego z ICT”, a także kryteria ich klasyfikacji. Szczegółowe informacje na temat zgłaszania incydentów dostępne są na stronie KNF https://www.knf.gov.pl/dla_rynku/dora.
  • Prowadzenie rejestru informacji dotyczących umów z zewnętrznymi dostawcami usług ICT: Instytucje finansowe muszą prowadzić rejestr wszystkich umów z zewnętrznymi dostawcami usług ICT, w którym będą zawarte informacje o zakresie świadczonych usług, poziomie bezpieczeństwa oraz odpowiedzialności dostawcy. Rejestr ten należy przekazać do KNF w kwietniu 2025 roku.
  • Testowanie odporności operacyjnej: DORA wymaga regularnego testowania odporności operacyjnej na incydenty związane z ICT, w tym testów scenariuszowych i symulacji ataków cybernetycznych.
  • Zarządzanie ryzykiem związanym z ICT: Instytucje finansowe muszą wdrożyć kompleksowy system zarządzania ryzykiem związanym z ICT, obejmujący identyfikację, ocenę, monitorowanie i minimalizację ryzyka.
  • Szkolenia personelu w zakresie cyberbezpieczeństwa: DORA nakłada na instytucje finansowe obowiązek przeprowadzania regularnych szkoleń dla personelu w zakresie cyberbezpieczeństwa, aby podnieść świadomość zagrożeń i umiejętności ich unikania.
Kluczowe obowiązki wynikające z rozporządzenia DORA

Rola organów nadzorczych: KNF i EUN

KNF jest organem właściwym w sprawach rozporządzenia DORA w Polsce i odpowiada za nadzór nad jego wdrożeniem przez instytucje finansowe. KNF współpracuje ściśle z Europejskimi Urzędami Nadzoru (EUN), w tym z Europejskim Urzędem Nadzoru Bankowego (EUNB), Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejskim Urzędem Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), w celu zapewnienia spójnego stosowania DORA w całej Unii Europejskiej. EUN opublikowały stanowisko, w którym wzywają instytucje finansowe do przyspieszenia przygotowań do wdrożenia DORA.

KNF

  • Od 17 stycznia 2025 roku KNF staje się właściwym organem nadzorczym w Polsce w zakresie DORA.
  • Będzie monitorować przestrzeganie przepisów DORA przez polskie instytucje finansowe. 
  • Będzie gromadzić dane od instytucji finansowych w postaci sprawozdań i rejestrów informacji. 
  • Przekaże zebrane dane do EUN do 30 kwietnia 2025 roku.
  • Będzie walidować dane przekazywane przez instytucje finansowe.
  • Będzie zapewnić instytucjom finansowym wsparcie w procesie wdrażania DORA. 

EUN

Reklama
  • Będą wydawać wytyczne i standardy techniczne dotyczące wdrażania DORA. 
  • Będą monitorować postępy wdrażania DORA przez państwa członkowskie i instytucje finansowe.
  • Będą współpracować z KNF i innymi właściwymi organami krajowymi.
  • Będą odpowiedzialne za wyznaczenie kluczowych zewnętrznych dostawców usług ICT.

Praktyczne aspekty wdrożenia DORA

UKNF w stanowisku dotyczącym stosowania Rozporządzenia DORA podkreśla, że wdrożenie rozporządzenia DORA wymaga od instytucji finansowych podjęcia szeregu działań, w tym:

  • Analiza istniejących procedur i systemów bezpieczeństwa: Należy przeprowadzić kompleksową analizę istniejących procedur i systemów bezpieczeństwa pod kątem zgodności z wymogami DORA.
  • Aktualizacja polityk i procedur bezpieczeństwa: Konieczne jest zaktualizowanie lub opracowanie nowych polityk i procedur bezpieczeństwa, uwzględniających wymogi DORA.
  • Wdrożenie nowych systemów i narzędzi informatycznych: W przypadku konieczności należy wdrożyć nowe systemy i narzędzia informatyczne, które umożliwią spełnienie wymogów DORA (np. system do zgłaszania incydentów, system do zarządzania rejestrem umów z dostawcami usług ICT).
  • Przeprowadzenie szkoleń dla personelu: Należy przeprowadzić szkolenia dla personelu w zakresie cyberbezpieczeństwa i wymogów DORA.
  • Monitorowanie zmian w prawie i wytycznych nadzorczych: Instytucje finansowe muszą na bieżąco monitorować zmiany w prawie i wytycznych nadzorczych dotyczących cyberbezpieczeństwa.
Kluczowe Kroki w Wdrażaniu Rozporządzenia DORA w Instytucjach Finansowych

Przygotowanie do nowych obowiązków sprawozdawczych

DORA wprowadza szereg nowych obowiązków sprawozdawczych, w tym konieczność raportowania poważnych incydentów związanych z ICT oraz przekazywania rejestrów informacji dotyczących umów z zewnętrznymi dostawcami usług ICT. Instytucje finansowe muszą opracować procedury i systemy, które umożliwią im terminowe i prawidłowe realizowanie tych obowiązków:

  • Szczególnie ważne jest przygotowanie się do raportowania poważnych incydentów związanych z ICT. Konieczne jest zrozumienie kryteriów klasyfikacji incydentów oraz progów istotności, które zostały określone w aktach wykonawczych do DORA.
  • Istotne jest również przygotowanie rejestru informacji dotyczącego umów z zewnętrznymi dostawcami usług ICT. KNF wymaga, aby rejestry te zawierały dane aktualne na 31 marca 2025 roku i zostały przekazane do KNF na początku kwietnia 2025 roku. Instytucje finansowe powinny zatem już teraz rozpocząć gromadzenie i weryfikację niezbędnych danych.

DORA to nowe rozporządzenie, a jego wdrażanie będzie ewoluować w czasie. Instytucje finansowe muszą zatem stale monitorować zmiany w przepisach i wytycznych wydawanych przez KNF i EUN.

KNF udostępnia instytucjom finansowym szereg narzędzi i materiałów wspierających wdrożenie DORA, w tym systemy teleinformatyczne do realizacji obowiązków sprawozdawczych oraz materiały informacyjne i edukacyjne.

Reklama

DORA – inwestycja w przyszłość sektora finansowego

Według Stanowiska UKNF dotyczące stosowania Rozporządzenia DORA wdrożenie wymaga od instytucji finansowych poniesienia pewnych nakładów finansowych i organizacyjnych. Konieczne będzie wdrożenie nowych systemów, procedur i szkoleń. Jednakże, w dłuższej perspektywie, korzyści wynikające z wdrożenia DORA przewyższają te koszty.

Inwestycja w bezpieczeństwo IT to inwestycja w przyszłość sektora finansowego. DORA stanowi fundament dla dalszego rozwoju sektora, opartego na innowacjach technologicznych i zaufaniu klientów.

Najczęściej zadawane pytania – Stanowisko UKNF dotyczące stosowania Rozporządzenia DORA

Reklama
Podziel się swoją opinią:

Zapisz się na newslettera

Wprowadź swój adres e-mail poniżej, aby otrzymywać newslettera.

Wyrażam zgodę na przetwarzanie danych osobowych (adres e-mail) w celu otrzymywania wiadomości w ramach newslettera Bankowe ABC.
Zapisując się wyrażasz zgodę na otrzymywanie wiadomości drogą mailową. W celu uzyskania szczegółów zapoznaj się z polityką prywatności. Otrzymasz maksymalnie 2 wiadomości w miesiącu, bez reklam i spamu. Możesz wypisać się w każdej chwili.