Q&A: Rozporządzenie DORA - odpowiadamy na najczęściej zadawane pytania!

Rozporządzenie DORA ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka związanego z ICT (ang. information and communication technology) w ramach sektora finansowego, jako części wymogów dotyczących ryzyka operacyjnego zawartych dotychczas osobno w różnych unijnych aktach prawnych. Rozporządzenie DORA ma funkcjonować jako zbiór zasad dotyczących odporności cyfrowej operacji, harmonizując działania na szczeblu europejskim, zapewniając poprawę i wzrost wytrzymałości unijnego systemu finansowego.

DORA jest rozporządzeniem, a zatem nie wymaga implementacji do polskiego porządku prawnego, co oznacza, że będzie obowiązywać bezpośrednio. Należy jednak wziąć pod uwagę, że poszczególne wytyczne zostaną doprecyzowane rozporządzeniami technicznymi oraz potencjalnymi stanowiskami organów nadzoru.

Rozporządzenie stosuje się od dnia 17 stycznia 2025 r.

Usługi ICT to usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły, za pośrednictwem systemów ICT, na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.

Instytucje sektora finansowego, takie jak banki, firmy ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne.

Podmioty z obszaru cyfrowych finansów, w tym FinTech (technologia finansowa), m.in. dostawcy usług w zakresie kryptoaktywów (cyfrowych aktywów, takich jak kryptowaluty), instytucje płatnicze, instytucje pieniądza elektronicznego.

Dostawcy technologii, w tym dostawcy usług chmury obliczeniowej (usługi polegające na przechowywaniu i przetwarzaniu danych w zdalnych serwerach) i inni dostawcy usług ICT (technologii informacyjno-komunikacyjnych).

Podmioty infrastruktury rynku finansowego, takie jak Giełda Papierów Wartościowych w Warszawie (GPW), Krajowy Depozyt Papierów Wartościowych (KDPW), Krajowa Izba Rozliczeniowa (KDPW CCP), agencje ratingowe (firmy oceniające wiarygodność finansową).

Projekty RTS w odniesieniu do poszczególnych obszarów powinny zostać przedstawione Komisji Europejskiej częściowo do 17 stycznia, a częściowo do 17 lipca 2024 r.

Tak, zgodnie z motywem 31. Choć świadczenie usług ICT wewnątrz grupy wiąże się z konkretnym ryzykiem i konkretnymi korzyściami, nie należy go automatycznie uznawać za mniej ryzykowne niż świadczenie usług ICT przez dostawców spoza grupy finansowej, a tym samym powinno ono być objęte tymi samymi ramami regulacyjnymi. Niemniej jednak w przypadku, gdy usługi ICT są świadczone w ramach tej samej grupy finansowej, podmioty finansowe mogą mieć większą kontrolę nad dostawcami wewnątrz grupy, co należy uwzględnić w ogólnej ocenie ryzyka.

Tak, na mocy rozporządzenia DORA właściwe organy nadzoru finansowego uzyskają bezpośrednie uprawnienia nadzorcze wobec dostawców, łącznie z możliwością nakładania kar finansowych. Europejskie Urzędy Nadzoru wyznaczą wiodący organ nadzorczy w odniesieniu do każdego z kluczowych zewnętrznych dostawców usług ICT.

Dostawcy kluczowych usług ICT będą wyznaczani (jeśli spełnią określone w art. 31 kryteria) przez Europejskie Urzędy Nadzoru, za pośrednictwem Wspólnego Komitetu i na podstawie zalecenia Forum Nadzoru.

Rozporządzenie DORA nakłada dodatkowe obowiązki, które powinny być uwzględnione w umowie outsourcingowej:

• Zobowiązanie zewnętrznego dostawcy ICT do uczestnictwa i pełnej współpracy w teście penetracyjnym podmiotu finansowego,
• Ustanowienie obowiązkowego okresu przejściowego na czas przeniesienia usługi do innego wykonawcy lub do własnej infrastruktury podmiotu finansowego,
• Zapewnienie nieograniczonego prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną osobę trzecią przez właściwy organ.
  

Rozporządzenie DORA włączyło pojęcie krytycznych dostawców ICT (w tym dostawców usług chmurowych) oraz rozszerzyło wymogi EBA w zakresie outsourcingu, ponieważ wymaga od firm posiadania strategii zarządzania ryzykiem stron trzecich.

Obowiązki leżące po stronie podmiotu finansowego (np. instytucji kredytowej zawierającej umowę z dostawcą usług ICT) zostały szczegółowo opisane w akcie prawnym. Po stronie dostawcy usług ICT natomiast mogą leżeć obowiązki sprawozdawcze, które powinny znaleźć się wśród ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje

Stosownie do art. 5 ust. 2 DORA organ zarządzający podmiotu finansowego ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT.

Tak. Wymogi rozporządzenia DORA zapewne częściowo są już zaadresowane w ramach obowiązujących dokumentów i procesów w organizacji, dlatego w wielu przypadkach będzie bardziej uzasadnione, aby zaktualizować dotychczasową dokumentację, aniżeli tworzyć od podstaw nową. Kluczowym jest, aby wszystkie wymogi rozporządzenia DORA znalazły odzwierciedlenie w dokumentacji.

Tak. W oparciu o profil ryzyka danego podmiotu finansowego i z uwzględnieniem okoliczności operacyjnych właściwy organ może, w razie potrzeby, zwrócić się do podmiotu finansowego o zmniejszenie lub zwiększenie częstotliwości przeprowadzania tych testów.

Tak, ponieważ podmioty finansowe określają wszystkie istotne bazowe systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje oraz wszystkie usługi ICT, w tym systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje i usługi zlecone w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będące przedmiotem umowy z takimi dostawcami.

W przypadku gdy zakres TLPT obejmuje zewnętrznych dostawców usług ICT, podmiot finansowy stosuje niezbędne środki i zabezpieczenia w celu zapewnienia udziału takich zewnętrznych dostawców usług ICT w TLPT i przez cały czas ponosi pełną odpowiedzialność za zapewnianie zgodności z niniejszym rozporządzeniem.

Dodatkowo, umowy z dostawcami dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje muszą zawierać obowiązek uczestnictwa zewnętrznych dostawców usług ICT w TLPT (ang. threat-led penetration testing - test penetracyjny do wyszukiwania zagrożeń) danego podmiotu finansowego i ich pełnej współpracy w tym zakresie.

Tak, zgodnie z motywem 20 DORA, rozporządzenie obejmuje dostawców usług chmurowych.

Po odpowiedzi na inne pytania zapraszamy Państwa na naszą stronę dotyczącą rozporządzenia DORA, na której regularnie publikujemy wszystkie aktualizacje dotyczące rozporządzenia, jak również zamieszczamy informacje o planowanych webinarach na ten temat organizowanych przez Deloitte.