Co to jest rozporządzenie DORA?
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), to jeden z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.
Od kiedy należy stosować rozporządzenie DORA?
Rozporządzenie wejdzie w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA będą mieli czas do 17 stycznia 2025 roku.
Jakie podmioty muszą się przygotować na wejście w życie DORA?
- Tradycyjne instytucje sektora finansowego, m.in. banki, firmy ubezpieczeniowe, instytucje kredytowe, firmy inwestycyjne.
- Podmioty z obszaru cyfrowych finansów, w tym FinTech, m.in. dostawcy usług w zakresie kryptoaktywów, instytucje płatnicze, instytucje pieniądza elektronicznego.
- Dostawcy technologii, w tym dostawcy usług chmury obliczeniowej i inni dostawcy usług ICT
Jak Deloitte może pomóc?
Oferujemy usługi, które mogą wesprzeć Twoją organizację w każdym aspekcie przygotowania do obowiązywania DORA: od analizy luk, audytu prawnego aż po wdrożenie niezbędnych rozwiązań i narzędzi. Podczas gdy duże instytucje sektora finansowego mogą już obecnie stosować wiele z wymogów rozporządzenia DORA w zakresie zarządzania ryzykiem ICT, wszystkie podmioty objęte zakresem obowiązywania rozporządzenia powinny ocenić, czy ich strategie a także plany reagowania i naprawy również odpowiadają nowym przepisom w poszczególnych obszarach.
- Ramy zarządzania ryzykiem: Aby spełnić wymagania DORA, organizacje będą musiały mieć ustalone i sprawdzone procesy zarządzania ryzykiem. Deloitte pomoże dostosować Twoją organizację, w tym w szczególności strategie biznesowe celem stworzenia i utrzymania kompleksowych i skutecznych ram zarządzania ryzykiem. Dodatkowo, możemy zapewnić wsparcie w identyfikacji wymaganego zakresu i intensywności stosowania rozporządzenia w Twojej organizacji oraz wdrożenia jego wymogów w zgodzie z obowiązującymi zasadami Governance.
- Zgłaszanie incydentów: DORA ma na celu harmonizację procesów klasyfikacji i raportowania incydentów. Kluczowe znaczenie ma wczesne wykrywanie incydentów i terminowe reagowanie. Pomagamy naszym klientom dostosować się do nowych unijnych zasad sprawozdawczości, a także dostosować wewnętrzne procesy w celu optymalizacji alokacji zasobów. Zapewniamy również wsparcie w kontaktach z organem nadzoru.
- Testy odporności: DORA wymaga od podmiotów z sektora finansowego testowania swoich systemów w oparciu o związane z nimi ryzyko. Obejmuje to skanowanie luk w zabezpieczeniach i testy penetracyjne, a także testy ciągłości działania. Deloitte zapewnia najlepsze w swojej klasie usługi testów odporności dzięki naszym wysoko wykwalifikowanym specjalistom i zapleczu technologicznemu.
- Udostępnianie informacji o zagrożeniach: Celem ataków często jednocześnie pada wiele organizacji z branży finansowej. Wymóg w zakresie dzielenia się informacjami o zagrożeniach pomoże całemu sektorowi stać się bardziej świadomym i proaktywnym w przygotowaniu do rosnącej liczby i różnorodności cyberataków. Pomożemy naszym klientom w opracowaniu i zintegrowaniu procesu udostępniania informacji o zagrożeniach.
- Zarządzanie ryzykiem stron trzecich (TPRM): Żadna organizacja nie działa w odosobnieniu - otoczenie współczesnego przedsiębiorstwa tworzą setki stron trzecich, w tym dostawcy usług ICT objęci rozporządzeniem DORA. Specjaliści z zespołu Risk Advisory pomagają ocenić dojrzałość organizacji w obszarze TPRM, wspierają istniejące struktury zarządzania ryzykiem stron trzecich (m.in. procesy, technologie czy procedury), proponują usprawnienia jak również dostarczają technologię oraz doświadczenie do współpracy z kluczowymi interesariuszami w celu ustanowienia takich struktur od zera. Ramy TPRM Deloitte opierają się na wiodących w branży praktykach i globalnych wymogach regulacyjnych. Wdrożenie kompleksowej platformy do zarządzania ryzykiem stron trzecich pozwala na poprawę wydajności procesów zarówno na poziomie korporacyjnym jak i jednostkowym. Mobilne gromadzenie danych, prezentowanych w jednolity sposób pozwala na tworzenie zoptymalizowanych pulpitów nawigacyjnych do raportowania i analizy wizualnej, a odpowiednio skonstruowana oraz zarządzana relacja kontraktowa zapewnia stabilność i bezpieczeństwo wykorzystywania usług ICT świadczonych przez podmioty trzecie. Eksperci Deloitte wspierają organizacje również w przeglądzie istniejących lub przyszłych umów ICT, dostosowaniu ich treści do wymogów DORA oraz zarządzaniu zmianą relacji umownych w sposób zapewniający ciągłość i stabilność relacji z kontrahentami.