Wspólne zasady dla całego rynku, zwiększenie bezpieczeństwa usług oraz wymiana informacji o zagrożeniach ze strony cyberprzestępców – to główne elementy rozporządzenia DORA.

Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (ang. Digital Operational Resilience Act - DORA) ma na celu dopilnowanie, by firmy z tego sektora były w stanie wytrzymywać zakłócenia operacyjne oraz cyberataki (to tzw. operacyjna odporność cyfrowa). Regulacja wprowadza tym samym szereg zharmonizowanych obowiązków dla przedsiębiorców z szeroko pojętego rynku finansowego oraz podmiotów świadczących dla nich usługi ICT (np. gromadzenia, przetwarzania i przesyłania informacji za pomocą internetu).
Tekst DORA został opublikowany w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 r. (Dz.U.UE.L.2022.333.1). Jej postanowienia zaczynają obowiązywać równo za dwa lata - od 17 stycznia 2025 r.
Adwokat Michał Kulesza, partner w kancelarii Rymarz Zdort Maruta, opowiada, że w ostatnich latach weszło w życie wiele przepisów wzmacniających pozycję konsumenta na rynku finansowym. Zwracano uwagę, by klient był odpowiednio informowany np. o opłatach i ryzyku inwestycyjnym.
- DORA skupia się zaś przede wszystkim na stronie technicznej, czyli odporności operacyjnej na cyberzagrożenia. To pierwsze tak duże rozporządzenie, które będzie bezpośrednio stosowane i ma wzmacniać bezpieczeństwo całego sektora finansowego w UE - mówi adwokat.
Z kolei dr Michał Mostowik, adwokat w kancelarii Deloitte Legal, przyznaje, że konsumenci mogą nie dostrzec większych zmian w związku z DORA.
- Jednak stworzenie ram prawnych dotyczących bezpieczeństwa instytucji finansowych w całej Unii Europejskiej niewątpliwie pozytywnie wpłynie na jakość świadczonych klientom usług - uważa dr Mostowik.

Zarządzanie ryzykiem

Najważniejszym obowiązkiem wprowadzanym przez DORA jest konieczność usprawnienia zarządzania ryzykiem operacyjnym. Firmy będą musiały na bieżąco identyfikować możliwe zagrożenia ze strony cyberprzestępców, zapewniać bezpieczeństwo sieci, wybierać oprogramowanie zapewniające możliwie najwyższą ochronę i testować system po wystąpieniu incydentów. Odpowiedzialność za wypełnienie tego obowiązku mają ponosić zarządy spółek.
Przedsiębiorstwa z branży finansowej będą też zobowiązane do notyfikowania do organu nadzorczego (w Polsce najprawdopodobniej będzie to Komisja Nadzoru Finansowego) występujących incydentów dotyczących bezpieczeństwa systemów informatycznych.
- Nie chodzi jednak o to, aby nadzorca mógł na tej podstawie nałożyć karę na firmę. Ważniejsze jest, aby organ nadzoru i reszta rynku mieli szansę się dowiedzieć, z jakimi wyzwaniami mierzą się inne podmioty finansowe - wyjaśnia dr Michał Mostowik. Taka wymiana informacji ma być pomocna przy doborze odpowiednich narzędzi i zabezpieczeń względem najnowszych cyberzagrożeń.
DORA nie precyzuje, jak ta wymiana informacji ma funkcjonować w praktyce. Niemniej już teraz przedsiębiorstwa doświadczające ataków hakerskich informują o zagrożeniach Komisję Nadzoru Finansowego albo CERT Polska, więc można się spodziewać, że będzie to wyglądało podobnie.

Proporcjonalne wymogi

Nowe obowiązki mają dotyczyć nie tylko firm bezpośrednio oferujących usługi finansowe, lecz także ich dostawców. Do tej pory to rynek regulował, jak wysoki poziom bezpieczeństwa mają zapewnić dostawcy.
- Im bardziej chcieli być konkurencyjni, tym więcej wdrażali procedur bezpieczeństwa i bardziej trzymali się najnowocześniejszych standardów. DORA sprawi, że dostawcy też stają się podmiotami nadzorowanymi i muszą spełniać proporcjonalne dla siebie wymogi - podkreśla Michał Kulesza.
Rozporządzenie zawiera kilka wyłączeń. Jego przepisy nie znajdą zastosowania do mniejszych zarządzających alternatywnymi funduszami inwestycyjnymi i ubezpieczycieli oraz agentów ubezpieczeniowych z sektora MŚP. Podmioty objęte regulacjami będą zaś miały obowiązki proporcjonalne do swojej roli oraz wielkości na rynku.
- Przykładowo wszystkie firmy objęte rozporządzeniem będą musiały zarządzać ryzykiem ICT, ale tylko te wskazane przez organ nadzorczy będą przeprowadzać testy penetracyjne, czyli najbardziej kosztowne i inwazyjne próby złamania własnych systemów zabezpieczeń - tłumaczy dr Michał Mostowik.
Mniejsze firmy nie będą też obarczone niektórymi obowiązkami sprawozdawczymi. A przynajmniej tak ma być w teorii. Eksperci przyznają, że przepisy zawierają pewne ułatwienia dla niektórych podmiotów. Ale w praktyce można sobie wyobrazić, że każdy dostawca usług dla sektora finansowego może być przez te firmy zobowiązany, by dostosować się do wszystkich standardów i wymogów wynikających z rozporządzenia DORA.
Choć DORA została już opublikowana, to jednak wiele wynikających z niej obowiązków może nadal budzić wątpliwości. Jest tak dlatego, że rozporządzenie ma zostać uzupełnione o regulacyjne standardy techniczne, doprecyzowujące wiele kwestii (tzw. RTS). Zostaną w nich zawarte takie elementy jak np. treść zgłoszeń poważnych incydentów, kwestie mające znaleźć się w procedurach bezpieczeństwa, obowiązkowe elementy oceny kontrahenta przy zlecaniu podwykonawstwa istotnych funkcji systemu informatycznego czy minimalne elementy umów z dostawcami usług. ©℗
DORA dla całego rynku usług finansowych / Dziennik Gazeta Prawna - wydanie cyfrowe