Rozporządzenie DORA i narzędzie Deloitte DORA Maturity Assessment Tool

Co to jest rozporządzenie DORA?

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), to jeden z elementów unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych, którego celem jest aktualizacja otoczenia regulacyjnego w obszarze technologii finansowych, a także zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.

Od kiedy należy stosować rozporządzenie DORA?

Rozporządzenie weszło w życie 16 stycznia 2023 roku. Na przygotowanie się do nowych wymogów adresaci DORA będą mieli czas do 17 stycznia 2025 roku.

Jakie podmioty muszą się przygotować na wejście w życie DORA?

Rozporządzenie to dotyczy szerokiego zakresu podmiotów działających w sektorze finansowym w UE, w tym:

1. Banki – jako instytucje kredytowe, banki są bezpośrednio objęte przepisami Rozporządzenia DORA, które wymagają od nich zapewnienia wysokiego poziomu cyberbezpieczeństwa i zarządzania ryzykiem operacyjnym.
2. Instytucje ubezpieczeniowe – podobnie jak banki, zakłady ubezpieczeń zobowiązane są spełniać wymagania dotyczące odporności cyfrowej, co obejmuje zarządzanie ryzykiem, testowanie odporności i raportowanie incydentów.
3. Firmy inwestycyjne – podmioty oferujące usługi inwestycyjne również muszą dostosować się do wymogów Rozporządzenia DORA, w szczególności w kontekście zarządzania ryzykiem cyfrowym i operacyjnym.
4. Dostawcy usług płatniczych – rozporządzenie obejmuje również firmy świadczące usługi płatności, zmuszając je do wzmocnienia swoich systemów i procedur w zakresie bezpieczeństwa informacji.
5. Zarządzający aktywami – menedżerowie funduszy inwestycyjnych i inne podmioty zarządzające aktywami muszą przygotować się na implementację procedur i systemów zapewniających cyfrową odporność operacyjną.
6. Podmioty krytyczne infrastruktury finansowej – w tym centralne depozytariusze papierów wartościowych i inne podmioty kluczowe dla funkcjonowania rynków finansowych.
7. Dostawcy usług informatycznych dla sektora finansowego – rozporządzenie DORA wprowadza również wymogi dla dostawców usług informatycznych, w tym chmury obliczeniowej, którzy są kluczowi dla działalności podmiotów finansowych. Oni również muszą spełniać określone standardy odporności i bezpieczeństwa.

Wprowadzenie Rozporządzenia DORA ma na celu nie tylko podniesienie poziomu cyberbezpieczeństwa w sektorze finansowym, ale również ujednolicenie podejścia do zarządzania ryzykiem operacyjnym i cybernetycznym w całej Unii Europejskiej. Podmioty objęte DORA będą musiały zapewnić, że ich strategie, procesy oraz systemy IT są przygotowane na różnorodne scenariusze, w tym na poważne incydenty cybernetyczne, oraz że są w stanie efektywnie zarządzać i minimalizować skutki takich zdarzeń.

Narzędzie do oceny dojrzałości DORA

W Deloitte opracowaliśmy specjalistyczne autorskie narzędzie zapewniające szczegółowy wgląd w cyfrową odporność Twojej organizacji, zaprojektowane z uwzględnieniem wszystkich kluczowych aspektów Rozporządzenia DORA.

Wynikowa analiza GAP zapewnia:

• Wykres pajęczynowy z wynikami, który w przejrzysty sposób przedstawia mocne i słabe strony każdej domeny.
• Mapy cieplne umożliwiające szybkie identyfikowanie priorytetów w poszczególnych obszarach.
• Przegląd ocen według dziedzin w celu bardziej szczegółowego przyjrzenia się poszczególnym aspektom rozporządzenia i konkretnej sytuacji.

Sprawdź się z samooceną dojrzałości DORA

Choć termin na wdrożenie upływa 17 stycznia 2025 r., co może wydawać się stosunkowo długim horyzontem czasowym, to w celu zapewnienia skutecznej realizacji wszystkich obowiązków określonych w DORA, konieczne jest, aby odpowiednie instytucje jak najszybciej rozpoczęły przygotowania.