Czy słyszeliście już o DORA? To skrót od Digital Operational Resilience Act, czyli unijnego rozporządzenia, które właśnie weszło w życie i ma sporo namieszać w świecie finansów. Chodzi o cyberbezpieczeństwo – temat, który staje się coraz ważniejszy, szczególnie dla instytucji finansowych, takich jak banki, firmy inwestycyjne, zakłady ubezpieczeń czy platformy płatnicze. W końcu to właśnie tam przechowujemy nasze cenne dane i pieniądze!
No dobrze, ale po co nam to całe DORA? Cyberprzestępcy nie śpią, a ich metody stają się coraz bardziej wyrafinowane. Każdego dnia słyszymy o kolejnych atakach hakerskich i wyciekach danych, które mogą mieć katastrofalne skutki zarówno dla firm, jak i dla ich klientów. Dlatego Unia Europejska postanowiła zaostrzyć zasady gry i wprowadzić jednolite standardy cyberbezpieczeństwa dla całego sektora finansowego. I tak właśnie powstała DORA! Już od 17 stycznia 2025 roku podmioty finansowe i ich dostawcy ICT muszą przestrzegać regulacji DORA. Za ich naruszenie grożą kary – nawet do 10 proc. obrotu!
Kogo dotyczy DORA i co się zmienia?
DORA obowiązuje wszystkie instytucje finansowe, bez względu na ich rozmiar czy rodzaj działalności. To oznacza, że banki, firmy ubezpieczeniowe, fintechy, a nawet dostawcy kryptowalut muszą dostosować swoje systemy i procedury do nowych wymogów.
A co konkretnie się zmienia? DORA wprowadza szereg kluczowych zmian, które mają utrudnić życie hakerom i zwiększyć bezpieczeństwo nas wszystkich:
- Bardziej rygorystyczne zarządzanie ryzykiem ICT: instytucje finansowe będą musiały wdrożyć systemy, które pomogą im identyfikować, oceniać i minimalizować ryzyka związane z technologiami informatycznymi. To trochę jak z budową domu – bez solidnych fundamentów cała konstrukcja może się zawalić.
- Obowiązek zgłaszania incydentów: jeśli dojdzie do wycieku danych, cyberataku lub innej awarii systemu, instytucje będą musiały szybko poinformować o tym właściwe organy. Dzięki temu będzie można szybciej reagować i minimalizować straty.
- Regularne testy bezpieczeństwa: instytucje będą musiały regularnie sprawdzać, czy ich systemy są odporne na ataki. W praktyce oznacza to cykliczne testy penetracyjne, które mają symulować prawdziwe ataki hakerskie i pomóc w identyfikacji słabych punktów.
- Większa współpraca z dostawcami usług ICT: DORA nakłada na instytucje finansowe obowiązek weryfikacji umów z firmami, które dostarczają im usługi IT. Chodzi o to, żeby wszyscy dbali o bezpieczeństwo i stosowali te same standardy. Wdrożenie DORA może być skomplikowane, dlatego warto skorzystać z partnera, który pomoże w wyborze specjalistów od cyberbezpieczeństwa. Elite Corp umożliwia dostęp do sprawdzonych rozwiązań i wsparcia we wdrożeniu wymogów DORA poprzez naszych partnerów.
Jaka kara grozi za naruszenie przepisów DORA?
Za naruszenie przepisów DORA instytucjom finansowym grożą kary finansowe w wysokości do 10% obrotu. Dostawcy usług ICT, którzy nie przestrzegają regulacji, mogą zostać ukarani grzywną do 1% dziennego obrotu za każdy dzień występowania nieprawidłowości.
Należy jednak pamiętać, że w Polsce wciąż brakuje ustawy, która precyzowałaby kwestie kar za nieprzestrzeganie DORA. Przepisy rozporządzenia stosuje się bezpośrednio, ale w niektórych przypadkach, jak np. wysokość kar, wymagają one doprecyzowania na poziomie krajowym.
Wyzwania i szanse
DORA to bez wątpienia krok w dobrym kierunku, ale wprowadzenie nowych przepisów zawsze wiąże się z pewnymi wyzwaniami:
- Brak polskiej ustawy wdrażającej DORA: chociaż przepisy rozporządzenia stosuje się bezpośrednio, to wciąż brakuje polskiej ustawy, która by doprecyzowała niektóre aspekty. To może utrudnić instytucjom finansowym spełnienie wszystkich wymogów.
- Koszty wdrożenia: spełnienie wszystkich wymogów DORA może być kosztowne, szczególnie dla mniejszych instytucji.
- Luka kompetencyjna: na rynku brakuje specjalistów ds. cyberbezpieczeństwa, którzy potrafiliby wdrożyć i zarządzać nowymi systemami.
Mimo tych wyzwań, DORA niesie ze sobą szansę na realną poprawę bezpieczeństwa w sektorze finansowym. Możemy spać spokojniej, wiedząc, że nasze dane i pieniądze są lepiej chronione.
Co dalej?
Wprowadzenie DORA to dopiero początek. Przed nami dużo pracy, aby zapewnić realne bezpieczeństwo w świecie cyfrowych finansów. Firmy muszą inwestować w nowe technologie, szkolić pracowników i współpracować ze sobą, aby skutecznie przeciwdziałać cyberzagrożeniom.
A wy, co sądzicie o DORA?