Rok 2024 jest kluczowy dla instytucji finansowych objętych rozporządzeniem w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Nowe przepisy już dzisiaj wymagają by zaplanować proces wdrażania tego istotnego rozporządzenia. Planując wdrożenie DORA warto spojrzeć na sytuację w Wielkiej Brytanii, gdzie instytucje już o dwa lata wyprzedzają czas wdrażania DORA do własnego modelu działania. Zapoznaj się z pięcioma kluczowymi wnioskami z modelu brytyjskiego, które mogą być pomocne by spełnić szereg wymagań stawianych przez nową regulację.
Implementacja Rozporządzenia DORA (nr 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego) Parlamentu Europejskiego i Rady UE powinna zacząć się już w tym roku. Rozporządzenie weszło w życie w styczniu 2023 r., a dwuletni okres na jego wdrożenie zakończy się 17 stycznia 2025 r. W tym czasie Europejskie Urzędy Nadzoru opracują szeroki zakres aktów wykonawczych drugiego stopnia – regulacyjnych standardów technicznych (RTS) oraz wykonawczych standardów technicznych (ITS).
DORA będzie miała wpływ niemalże na wszystkie regulowane instytucje w sektorze usług finansowych w UE. Jednak wiele z nich nie opracowało jeszcze strategii jej wdrożenia, a ponieważ do ostatecznego terminu spełnienia wymogów DORA pozostał niewiele ponad rok, instytucje zobowiązane czeka jeszcze wiele do zrobienia w perspektywie krótkoterminowej, by rzetelnie przygotować się do tego wdrożenia.
Brytyjskie instytucje finansowe wyprzedzają o dwa lata wdrażanie własnych ram odporności operacyjnej. Przedsiębiorstwa z UE, które obejmuje DORA, powinny wykorzystać ich doświadczenie i czerpać inspirację z rynku brytyjskiego przy opracowywaniu własnej strategii wdrażania.
Brytyjskie i europejskie ramy operacyjnej odporności cyfrowej są regulowane w tym samym obszarze, ale różnią się w wielu aspektach. Poniżej niektóre z ich najważniejszych różnic:
Powyżej wskazane różnice nie wykluczają jednak wyciągania wniosków przez instytucje UE z brytyjskiego wdrożenia. W rzeczywistości, wiele innych aspektów tych dwóch systemów jest takich samych lub podobnych:
Przejdźmy teraz od ogółu do szczegółu. Podsumowaliśmy pięć konkretnych podejść, które sprawdziły się w przypadku brytyjskich instytucji finansowych i którymi europejskie przedsiębiorstwa mogłyby się zainspirować przy wdrażaniu zmian wymaganych przez rozporządzenie DORA.
Instytucje finansowe objęte DORA powinny odzwierciedlać dotychczasowe doświadczenia swoich odpowiedników w Wielkiej Brytanii. Umożliwi im to optymalizację strategii wdrażania i ułatwi wszystkie powiązane kroki w celu spełnienia wymogów rozporządzenia do końca okresu wdrażania, przypadającego na styczeń 2025 r. Wykorzystanie brytyjskich doświadczeń może również odegrać ważną rolę w promowaniu spójności praktyk stosowanych przez instytucje w kluczowych jurysdykcjach, co powinno nie tylko wspierać efektywność operacyjną sektora usług finansowych, ale także jego bezpieczeństwo i odporność w czasach kryzysu.
W pierwszej kolejności instytucje powinny przeprowadzić szczegółową analizę luki w procesach istniejących w ich organizacji względem wymagań nałożonych przez DORA. Wraz z publikacją nowych standardów technicznych konieczne będzie iteracyjne i elastyczne podejście do projektu wdrożeniowego w tym obszarze, aby z sukcesem dotrzymać terminu wyznaczonego na styczeń 2025 r.
Artykuł pierwotnie został opublikowany na stronie: Wdrożenie rozporządzenia DORA: instytucje UE mogą czerpać inspirację z modelu brytyjskiego.