Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBanking, insurance & capital marketsDORA – cisza przed burzą w finansach
pexels-johannes-plenio-1119974

DORA – cisza przed burzą w finansach

by on 19 listopada 2022in Banking, insurance & capital markets, Bankowość, ubezpieczenia i rynki kapitałowe, Business consulting, Doradztwo biznesowe, Doradztwo IT, IT Consulting, Regulatory compliance, Security management, Zarządzanie bezpieczeństwem, Zgodność regulacyjna No comment

Od wielu miesięcy ma forach dotyczących usług finansowych oraz cyberbezpieczeństwa pojawia się DORA. Brzmi jak nazwa jednego z cyklonów, którym do lat 70-tych XX wieku nadawano żeńskie imiona (później zaczęto stosować imiona żeńskie i męskie na przemian). Skojarzenie wydaje się dość trafione, ponieważ DORA zrobi spore zamieszanie w sektorze finansowym, a więc dotknie w praktyce większość z nas.

DORA, czyli Digital Operational Resilience Act

W związku z licznymi zmianami technologicznymi zachodzącymi w sektorze finansowym, we wrześniu 2020 roku Komisja Europejska opracowała unijny pakiet przepisów wchodzących w skład strategii Digital Finance, której celem jest wspieranie rozwoju finansów cyfrowych przy jednoczesnym łagodzeniu związanych z nimi ryzyk. Obejmuje on m.in. projekt rozporządzenia związanego z operacyjną odpornością cyfrową sektora finansowego, tzw. DORA (Digital Operational Resilience Act)[1]. DORA ma przyspieszyć strategiczne zmiany w sposobie zarządzania ryzykiem cyfrowym. Ma również zapewnić, że kierownictwo wyższego szczebla firm będą w stanie skutecznie ocenić wpływ zakłóceń operacyjnych na działalność biznesową i zrozumieć czynniki łagodzące, którymi dysponuje[2].

DORA ma w założeniu obejmować podmioty finansowe regulowane na szczeblu unijnym, takie jak: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne,  domy maklerskie, centralne depozyty papierów wartościowych, zarządzających alternatywnymi funduszami inwestycyjnymi, dostawców usług w zakresie udostępniania informacji, zakłady ubezpieczeń i zakłady reasekuracji, pośredników ubezpieczeniowych, instytucje pracowniczych programów emerytalnych, agencje ratingowe, biegłych rewidentów i firmy audytorskie. W projekcie rozporządzenia zaproponowano też bezpośredni nadzór nad kluczowymi zewnętrznymi dostawcami usług z zakresu technologii informacyjnych i telekomunikacyjnych (ICT). Może oznaczać to konsekwencje dla firm technologicznych, w tym w szczególności dostawców usług chmurowych.

Główne kierunki

Cyfrowa odporność operacyjna ma na celu zagwarantowanie ciągłości i utrzymanie jakości świadczonych usług w obliczu zakłóceń wpływających na  ICT firm. Jest to zdolność do budowania, testowania i ciągłego doskonalenia integralności technologicznej i operacyjnej organizacji. Podnoszonych jest pięć głównych kwestii:

  • zarządzanie ryzykiem ICT – organy zarządzające podmiotami finansowymi są odpowiedzialne za zarządzanie ryzykiem związanym z wykorzystywaniem ICT, a także monitoring, kontrolę i wykrywanie wszelkich potencjalnie niebezpiecznych zdarzeń;
  • zgłaszanie incydentów teleinformatycznych – nieprawidłowości związane z wykorzystaniem nowych technologii powinny być monitorowane, klasyfikowane, a następnie zgłaszane zgodnie z procedurami opracowanymi przez Europejskie Urzędy Nadzoru;
  • testowanie operacyjnej odporności cyfrowej – konieczne jest przeprowadzanie okresowych przeglądów rozwiązań stosowanych w obszarze cyberbezpieczeństwa;
  • nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT – nowe obowiązki zostaną nałożone nie tylko na odbiorców usług, ale też bezpośrednio na ich dostawców;
  • udostępnienie informacji i danych wywiadowczych – podmioty finansowe będą wymieniały się informacjami w związku z cyberzagrożeniami i lukami w tym obszarze (przy znacznie ograniczonej niepewności co do zgodności takiej działalności z ochroną danych osobowych, przepisami antymonopolowymi i zasadami dotyczącymi odpowiedzialności).

Od kiedy nowe przepisy

Jak najszybciej należy rozpocząć przygotowania do spełnienia nowych wymagań. Okres wdrożenia niezbędnych zmian został zaplanowany na 24 miesiące od daty publikacji rozporządzenia, co nastąpi prawdopodobnie w pierwszym kwartale 2023[3] (termin ten jest przekładany od przynajmniej pół roku). Czasu nie będzie za wiele. KNF już zapowiedział, że w związku z wejściem w życie DORA (a także NIS2) „zmianie ulegnie formuła sprawowania bieżącego nadzoru w zakresie ryzyka związanego z wykorzystywaniem technologii IT i ryzyka w obszarze cyberbezpieczeństwa, w kierunku zapewnienia większej kontroli oczekiwanych działań dostosowawczych”[4]. Przygotowany zostanie jednolity model oceny ryzyka. Zasilany będzie danymi pochodzącymi z cyklicznych ankiet (przedstawionych obecnie do konsultacji) zawierających kluczowe wskaźniki ryzyka dla obszaru IT i bezpieczeństwa informacji, wypełnianych przez podmioty nadzorowane.

[1] Propozycja zapisów opublikowana pod adresem https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0595&from=EN Pierwsza wersja powstała we wrześniu 2020.

[2] Podobne regulacje powstają też w innych częściach świata. System Rezerw Federalnych w USA opublikował „Sound Practices to strengthen Operational Resilience” we październiku 2020, a Bank Rozliczeń Międzynarodowych (dokładniej Basel Committee on Banking Supervision) wydał dokument „Principles for Operational Resilience” w marcu 2021.

[3] https://www.europarl.europa.eu/RegData/etudes/ATAG/2022/738197/EPRS_ATA(2022)738197_PL.pdf

[4] Pismo UKNF z 31.10.2022 do podmiotów nadzorowanych

Share this article
0
Tags: , , ,

Written by

The author didnt add any Information to his profile yet

Leave a Comment

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij