Od 17 stycznia 2025 roku zacznie obowiązywać rozporządzenie DORA (UE 2022/2554), które ma na celu wzmocnienie operacyjnej odporności cyfrowej sektora finansowego. Nowe przepisy obejmują m.in. zarządzanie ryzykiem ICT, współpracę z dostawcami technologii, zgłaszanie incydentów oraz testowanie systemów.
Wejście w życie DORA oznacza uchylenie dotychczasowych wytycznych KNF i EIOPA w zakresie bezpieczeństwa ICT i outsourcingu do chmury. Choć regulacja wywoływała liczne dyskusje interpretacyjne, jej głównym celem jest uporządkowanie i ujednolicenie praktyk zarządzania ryzykiem cyfrowym w całej Unii Europejskiej.
DORA obejmuje zarówno duże instytucje finansowe, jak i mniejsze podmioty. W Polsce, w ramach Polskiej Izby Ubezpieczeń, powołano Zespół ds. DORA, który opracował standardowe klauzule umowne i wspólną interpretację nowych obowiązków.
Od 2025 roku zakłady ubezpieczeń będą musiały m.in.:
- zgłaszać poważne incydenty ICT i składać szczegółowe raporty,
- raportować umowy na usługi ICT wspierające krytyczne funkcje,
- prowadzić rejestr informacji zgodnie z nowymi wytycznymi.
Termin przekazania pełnej ewidencji umów ICT do KNF najprawdopodobniej przypadnie na kwiecień 2025 roku, a dane powinny być aktualne na dzień 31 marca.
DORA wprowadza bardziej szczegółowe zasady dotyczące outsourcingu, oceny ryzyka oraz postanowień umownych. Choć rynek finansowy już wcześniej podlegał regulacjom w tym zakresie, nowe przepisy precyzyjnie określają obowiązki związane z zarządzaniem ryzykiem koncentracji oraz relacjami z podwykonawcami.
Dodatkowym wyzwaniem dla instytucji finansowych są opóźnienia w opracowywaniu standardów technicznych, które wpłynęły na harmonogramy wdrażania nowych regulacji.
Nowe przepisy nakładają obowiązek budowy i utrzymania kompleksowych ram zarządzania ryzykiem ICT. Instytucje będą musiały regularnie analizować swoje systemy, monitorować incydenty oraz wdrażać wnioski z wcześniejszych doświadczeń.
Mimo licznych wyzwań, DORA przyczynia się do zwiększenia odporności cyfrowej sektora finansowego i ujednolicenia standardów bezpieczeństwa w całej UE.
