Historia rozporządzenia unijnego DORA, czyli Digital Operational Resilience Act, jest częścią szerszych działań Unii Europejskiej mających na celu wzmocnienie odporności cyfrowej w sektorze finansowym.
Koncepcja odporności operacyjnej w sektorze finansowym zyskała na znaczeniu na przestrzeni lat, zwłaszcza w kontekście rosnącej liczby zaawansowanych cyberataków i coraz większej zależności
od technologii cyfrowych. Instytucje UE zaczęły intensywniej badać potrzebę stworzenia zharmonizowanych przepisów regulujących cyberbezpieczeństwo w sektorze finansowym.
Przed wprowadzeniem rozporządzenia unijnego DORA (Digital Operational Resilience Act), istniały już inne regulacje prawa Unii Europejskiej dotyczące cyberbezpieczeństwa i odporności cyfrowej, zwłaszcza w sektorze finansowym. Te regulacje były częścią szerszego kontekstu prawodawczego,
który miał na celu zarządzanie ryzykiem cyfrowym i ochronę danych. Oto kilka przykładów:
Dyrektywa NIS (Network and Information Systems): uchwalona w 2016 roku, Dyrektywa NIS była pierwszą unijną regulacją mającą na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa
w państwach członkowskich. Dotyczyła ona podmiotów z sektora krytycznej infrastruktury, w tym niektórych z sektora finansowego.
Rozporządzenie ogólne o ochronie danych (RODO): wprowadzone w 2018 roku, RODO stanowiło kompleksowe podejście do ochrony danych osobowych w całej Unii Europejskiej. Chociaż nie było skoncentrowane wyłącznie na sektorze finansowym, miało znaczący wpływ na sposób, w jaki instytucje finansowe przetwarzają dane osobowe, w tym wymóg zabezpieczenia tych danych.
Dyrektywy dotyczące usług płatniczych (PSD i PSD2): te dyrektywy, szczególnie PSD2, wprowadzały wymogi dotyczące bezpieczeństwa cybernetycznego dla instytucji płatniczych, promując innowacje
i zabezpieczając płatności elektroniczne.
Regulacje sektorowe: istotne były także różne specyficzne dla sektora przepisy, takie jak te dotyczące banków, firm ubezpieczeniowych i innych instytucji finansowych, zawierały elementy związane
z zarządzaniem ryzykiem cyfrowym i bezpieczeństwem informacji.
Wytyczne i rekomendacje od organów nadzorczych: Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) wydali szereg wytycznych
i rekomendacji dotyczących zarządzania ryzykiem cyfrowym i bezpieczeństwa informacji w sektorze finansowym.
W 2020 roku Komisja Europejska przedstawiła pakiet finansów cyfrowych, który obejmował propozycję rozporządzenia DORA. Pakiet ten miał na celu wspieranie innowacji cyfrowych w sektorze finansowym, jednocześnie zapewniając odpowiednią ochronę konsumentów i stabilność rynku. W ramach tego pakietu, DORA zostało zaprojektowane w celu ujednolicenia i wzmocnienia praktyk zarządzania ryzykiem cyfrowym w całym sektorze finansowym UE. Propozycja ta skupiała się na zapewnieniu, aby wszystkie podmioty finansowe mogły skutecznie przeciwstawić się cyberzagrożeniom i zapewnić ciągłość działania.
Po przedstawieniu propozycji rozporządzenia rozpoczęły się szerokie konsultacje i negocjacje między różnymi instytucjami UE, w tym Parlamentem Europejskim i Radą UE, a także zainteresowanymi stronami, w tym przedstawicielami sektora finansowego i ekspertami
ds. cyberbezpieczeństwa.
Proces ten doprowadził do finalizacji tekstu rozporządzenia, z uwzględnieniem różnych opinii
i rekomendacji. Rozporządzenie DORA zostało ostatecznie przyjęte i weszło w życie, stając się ważnym elementem unijnej ramy regulacyjnej dotyczącej bezpieczeństwa cyfrowego.
Po przyjęciu, rozporządzenie DORA jest sukcesywnie wdrażane przez państwa członkowskie i podmioty sektora finansowego. Proces ten obejmuje dostosowanie wewnętrznych procedur i systemów, szkolenia pracowników oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności z wymogami rozporządzenia. DORA stanowi kluczowy element strategii UE
w zakresie zarządzania ryzykiem cyfrowym, odzwierciedlając rosnącą świadomość zagrożeń cybernetycznych oraz potrzebę zwiększenia odporności i stabilności sektora finansowego.
Jest to odpowiedź na dynamicznie rozwijające się środowisko technologiczne i cybernetyczne, które wymaga skoordynowanego i kompleksowego podejścia na poziomie transgranicznym.
Rozporządzenie DORA, jest inicjatywą Unii Europejskiej, mającą na celu wzmocnienie odporności operacyjnej sektora finansowego wobec zagrożeń cyfrowych. DORA zostało zaprojektowane, aby upewnić się, że podmioty z sektora finansowego są odpowiednio przygotowane do radzenia sobie z różnymi rodzajami cyberzagrożeń i mogą szybko wrócić do normalnego funkcjonowania po wystąpieniu incydentu cybernetycznego. Ustanawia standardy techniczne, które podmioty finansowe i ich krytyczni zewnętrzni dostawcy usług technologicznych muszą wdrożyć w swoich systemach ICT do 17 stycznia 2025 roku. Oto kilka kluczowych aspektów DORA:
- Zakres stosowania: DORA dotyczy szerokiego zakresu podmiotów działających w sektorze finansowym, w tym banków, firm ubezpieczeniowych, inwestycyjnych, zarządzających aktywami, jak również dostawców usług finansowych,
- Zarządzanie ryzykiem cyfrowym: Rozporządzenie wymaga od instytucji finansowych wdrożenia solidnych ram zarządzania ryzykiem cyfrowym, aby zapewnić, że są one przygotowane do identyfikacji, zapobiegania, łagodzenia i reagowania na cyberzagrożenia,
- Testy odporności: DORA nakłada na podmioty zobowiązanie do regularnego przeprowadzania testów odporności, w tym testów penetracyjnych, aby ocenić ich zdolność do wytrzymywania ataków cybernetycznych,
- Zarządzanie incydentami: Podmioty będą musiały wdrożyć odpowiednie mechanizmy
do zarządzania incydentami cyfrowymi oraz procedury zgłaszania tych incydentów do odpowiednich organów nadzorczych,
- Wymiana informacji: DORA promuje współpracę i wymianę informacji na temat cyberzagrożeń
i najlepszych praktyk między instytucjami finansowymi a organami nadzorczymi,
- Rola dostawców usług zewnętrznych: Rozporządzenie uwzględnia również rolę dostawców usług zewnętrznych, w tym dostawców chmury, którzy odgrywają kluczową rolę w sektorze finansowym, wymagając od nich przestrzegania określonych standardów bezpieczeństwa.
DORA ma na celu stworzenie jednolitego, unijnego ramy regulacyjnego dla cyfrowej odporności operacyjnej w sektorze finansowym, co jest istotne w obliczu rosnącej zależności od technologii cyfrowych i zagrożeń związanych z cyberbezpieczeństwem. Poprzez ujednolicenie podejścia
na poziomie Unii Europejskiej, DORA ma na celu nie tylko zwiększenie odporności na cyberataki,
ale również poprawę integralności i stabilności rynku finansowego w Europie.
Celem DORA jest zatem zapewnienie, że sektor finansowy może skutecznie reagować na i odzyskiwać się po incydentach cyfrowych, minimalizując tym samym potencjalne negatywne skutki dla
ich klientów, rynków finansowych i samej gospodarki. Jest to szczególnie istotne w obliczu coraz bardziej złożonych i rozwiniętych zagrożeń cyfrowych.
Historia rozporządzenia unijnego DORA, czyli Digital Operational Resilience Act, jest częścią szerszych działań Unii Europejskiej mających na celu wzmocnienie odporności cyfrowej w sektorze finansowym.
Koncepcja odporności operacyjnej w sektorze finansowym zyskała na znaczeniu na przestrzeni lat, zwłaszcza w kontekście rosnącej liczby zaawansowanych cyberataków i coraz większej zależności
od technologii cyfrowych. Instytucje UE zaczęły intensywniej badać potrzebę stworzenia zharmonizowanych przepisów regulujących cyberbezpieczeństwo w sektorze finansowym.
Przed wprowadzeniem rozporządzenia unijnego DORA (Digital Operational Resilience Act), istniały już inne regulacje prawa Unii Europejskiej dotyczące cyberbezpieczeństwa i odporności cyfrowej, zwłaszcza w sektorze finansowym. Te regulacje były częścią szerszego kontekstu prawodawczego,
który miał na celu zarządzanie ryzykiem cyfrowym i ochronę danych. Oto kilka przykładów:
Dyrektywa NIS (Network and Information Systems): uchwalona w 2016 roku, Dyrektywa NIS była pierwszą unijną regulacją mającą na celu zwiększenie ogólnego poziomu cyberbezpieczeństwa
w państwach członkowskich. Dotyczyła ona podmiotów z sektora krytycznej infrastruktury, w tym niektórych z sektora finansowego.
Rozporządzenie ogólne o ochronie danych (RODO): wprowadzone w 2018 roku, RODO stanowiło kompleksowe podejście do ochrony danych osobowych w całej Unii Europejskiej. Chociaż nie było skoncentrowane wyłącznie na sektorze finansowym, miało znaczący wpływ na sposób, w jaki instytucje finansowe przetwarzają dane osobowe, w tym wymóg zabezpieczenia tych danych.
Dyrektywy dotyczące usług płatniczych (PSD i PSD2): te dyrektywy, szczególnie PSD2, wprowadzały wymogi dotyczące bezpieczeństwa cybernetycznego dla instytucji płatniczych, promując innowacje
i zabezpieczając płatności elektroniczne.
Regulacje sektorowe: istotne były także różne specyficzne dla sektora przepisy, takie jak te dotyczące banków, firm ubezpieczeniowych i innych instytucji finansowych, zawierały elementy związane
z zarządzaniem ryzykiem cyfrowym i bezpieczeństwem informacji.
Wytyczne i rekomendacje od organów nadzorczych: Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) wydali szereg wytycznych
i rekomendacji dotyczących zarządzania ryzykiem cyfrowym i bezpieczeństwa informacji w sektorze finansowym.
W 2020 roku Komisja Europejska przedstawiła pakiet finansów cyfrowych, który obejmował propozycję rozporządzenia DORA. Pakiet ten miał na celu wspieranie innowacji cyfrowych w sektorze finansowym, jednocześnie zapewniając odpowiednią ochronę konsumentów i stabilność rynku. W ramach tego pakietu, DORA zostało zaprojektowane w celu ujednolicenia i wzmocnienia praktyk zarządzania ryzykiem cyfrowym w całym sektorze finansowym UE. Propozycja ta skupiała się na zapewnieniu, aby wszystkie podmioty finansowe mogły skutecznie przeciwstawić się cyberzagrożeniom i zapewnić ciągłość działania.
Po przedstawieniu propozycji rozporządzenia rozpoczęły się szerokie konsultacje i negocjacje między różnymi instytucjami UE, w tym Parlamentem Europejskim i Radą UE, a także zainteresowanymi stronami, w tym przedstawicielami sektora finansowego i ekspertami
ds. cyberbezpieczeństwa.
Proces ten doprowadził do finalizacji tekstu rozporządzenia, z uwzględnieniem różnych opinii
i rekomendacji. Rozporządzenie DORA zostało ostatecznie przyjęte i weszło w życie, stając się ważnym elementem unijnej ramy regulacyjnej dotyczącej bezpieczeństwa cyfrowego.
Po przyjęciu, rozporządzenie DORA jest sukcesywnie wdrażane przez państwa członkowskie i podmioty sektora finansowego. Proces ten obejmuje dostosowanie wewnętrznych procedur i systemów, szkolenia pracowników oraz wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności z wymogami rozporządzenia. DORA stanowi kluczowy element strategii UE
w zakresie zarządzania ryzykiem cyfrowym, odzwierciedlając rosnącą świadomość zagrożeń cybernetycznych oraz potrzebę zwiększenia odporności i stabilności sektora finansowego.
Jest to odpowiedź na dynamicznie rozwijające się środowisko technologiczne i cybernetyczne, które wymaga skoordynowanego i kompleksowego podejścia na poziomie transgranicznym.
Rozporządzenie DORA, jest inicjatywą Unii Europejskiej, mającą na celu wzmocnienie odporności operacyjnej sektora finansowego wobec zagrożeń cyfrowych. DORA zostało zaprojektowane, aby upewnić się, że podmioty z sektora finansowego są odpowiednio przygotowane do radzenia sobie z różnymi rodzajami cyberzagrożeń i mogą szybko wrócić do normalnego funkcjonowania po wystąpieniu incydentu cybernetycznego. Ustanawia standardy techniczne, które podmioty finansowe i ich krytyczni zewnętrzni dostawcy usług technologicznych muszą wdrożyć w swoich systemach ICT do 17 stycznia 2025 roku. Oto kilka kluczowych aspektów DORA:
- Zakres stosowania: DORA dotyczy szerokiego zakresu podmiotów działających w sektorze finansowym, w tym banków, firm ubezpieczeniowych, inwestycyjnych, zarządzających aktywami, jak również dostawców usług finansowych,
- Zarządzanie ryzykiem cyfrowym: Rozporządzenie wymaga od instytucji finansowych wdrożenia solidnych ram zarządzania ryzykiem cyfrowym, aby zapewnić, że są one przygotowane do identyfikacji, zapobiegania, łagodzenia i reagowania na cyberzagrożenia,
- Testy odporności: DORA nakłada na podmioty zobowiązanie do regularnego przeprowadzania testów odporności, w tym testów penetracyjnych, aby ocenić ich zdolność do wytrzymywania ataków cybernetycznych,
- Zarządzanie incydentami: Podmioty będą musiały wdrożyć odpowiednie mechanizmy
do zarządzania incydentami cyfrowymi oraz procedury zgłaszania tych incydentów do odpowiednich organów nadzorczych,
- Wymiana informacji: DORA promuje współpracę i wymianę informacji na temat cyberzagrożeń
i najlepszych praktyk między instytucjami finansowymi a organami nadzorczymi,
- Rola dostawców usług zewnętrznych: Rozporządzenie uwzględnia również rolę dostawców usług zewnętrznych, w tym dostawców chmury, którzy odgrywają kluczową rolę w sektorze finansowym, wymagając od nich przestrzegania określonych standardów bezpieczeństwa.
DORA ma na celu stworzenie jednolitego, unijnego ramy regulacyjnego dla cyfrowej odporności operacyjnej w sektorze finansowym, co jest istotne w obliczu rosnącej zależności od technologii cyfrowych i zagrożeń związanych z cyberbezpieczeństwem. Poprzez ujednolicenie podejścia
na poziomie Unii Europejskiej, DORA ma na celu nie tylko zwiększenie odporności na cyberataki,
ale również poprawę integralności i stabilności rynku finansowego w Europie.
Celem DORA jest zatem zapewnienie, że sektor finansowy może skutecznie reagować na i odzyskiwać się po incydentach cyfrowych, minimalizując tym samym potencjalne negatywne skutki dla
ich klientów, rynków finansowych i samej gospodarki. Jest to szczególnie istotne w obliczu coraz bardziej złożonych i rozwiniętych zagrożeń cyfrowych.