Rozporządzenie o Operacyjnej Odporności Cyfrowej (Digital Operational Resilience Act – DORA) to unijne rozporządzenie mające na celu wzmocnienie zdolności podmiotów finansowych do zapobiegania, minimalizowania i odzyskiwania sprawności po zakłóceniach w gospodarce cyfrowej. Rozporządzenie to jest bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej, w tym w Polsce.

DORA opiera się na pięciu kluczowych filarach, które mają zasadnicze znaczenie dla budowania operacyjnej odporności cyfrowej.

Rozporządzenie o Operacyjnej Odporności Cyfrowej (DORA)

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
• Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011

Geneza Powstania i Cele DORA w Unijnym Krajobrazie Regulacyjnym

Rozporządzenie DORA ma na celu zwiększenie zdolności podmiotów finansowych do przeciwdziałania, minimalizowania i przywracania działalności w obliczu współczesnych zagrożeń dla gospodarki cyfrowej. Geneza DORA wiąże się z rosnącą częstotliwością i złożonością cyberataków wymierzonych w instytucje finansowe.

W obliczu coraz bardziej wyrafinowanych metod wykorzystywania luk w zabezpieczeniach przez cyberprzestępców, znacznie wzrosło ryzyko zakłóceń na dużą skalę. Dostrzegając kluczowe znaczenie operacyjnej odporności dla utrzymania stabilności finansowej, Komisja Europejska zaproponowała DORA jako część swojej Strategii Cyfrowych Finansów.

Ta inicjatywa legislacyjna ma na celu stworzenie jednolitego, standardowego i spójnego podejścia do odporności cyfrowej we wszystkich państwach członkowskich UE. Głównym celem DORA jest harmonizacja przepisów dotyczących odporności operacyjnej w sektorze finansowym we wszystkich krajach członkowskich UE.

Rozporządzenie to wypełnia lukę w dotychczasowych regulacjach, koncentrując się na ryzykach związanych z technologiami informacyjno-komunikacyjnymi (ICT) oraz na odporności operacyjnej, wykraczając poza tradycyjne podejście oparte na alokacji kapitału.

Kluczowe Filary DORA

Wzmocnienie Cyfrowej Odporności przez DORA

DORA opiera się na pięciu kluczowych filarach, które razem tworzą kompleksową strukturę mającą na celu wzmocnienie cyfrowej odporności operacyjnej:

• Zarządzanie ryzykiem ICT i ład korporacyjny: Ten filar wymaga od podmiotów finansowych ustanowienia solidnych i elastycznych ram zarządzania ryzykiem ICT, które obejmują strategie, polityki i procedury mające na celu identyfikację, ocenę, monitorowanie i zarządzanie ryzykiem związanym z ICT.
• Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i raportowanie: Podmioty finansowe są zobowiązane do wdrożenia procesów monitorowania, zarządzania i raportowania incydentów związanych z ICT, w tym cyberataków. Wymagane jest terminowe zgłaszanie poważnych incydentów do właściwych organów nadzorczych.
• Testowanie odporności operacyjnej cyfrowej: Ten filar nakłada na podmioty finansowe obowiązek regularnego testowania ich systemów ICT w celu oceny ich odporności na różnego rodzaju zakłócenia i zagrożenia, w tym przeprowadzania zaawansowanych testów penetracyjnych opartych na analizie zagrożeń (TLPT) dla wybranych podmiotów.
• Zarządzanie ryzykiem ICT stron trzecich: W związku z rosnącą zależnością od zewnętrznych dostawców usług ICT, DORA wprowadza zasady zarządzania ryzykiem związanym z tymi podmiotami, w tym wymagania dotyczące należytej staranności, umów oraz monitorowania.
• Ustalenia dotyczące wymiany informacji: DORA zachęca do wymiany informacji i danych wywiadowczych na temat cyberzagrożeń między podmiotami finansowymi w celu zwiększenia ogólnej odporności sektora finansowego.

Dora – Zakres Zastosowania

DORA ma szeroki zakres zastosowania i obejmuje różnorodne podmioty finansowe działające na terenie Unii Europejskiej. Przykłady takich podmiotów to instytucje kredytowe, instytucje płatnicze, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji oraz dostawcy usług w zakresie kryptoaktywów.

Ponadto, DORA ma zastosowanie również do krytycznych dostawców usług ICT trzecich stron (TPP). Należy zauważyć, że zasada proporcjonalności (Artykuł 4) przewiduje pewne wyjątki i uproszczone wdrożenie dla mniejszych przedsiębiorstw.

Dora – Kluczowe Definicje i Ich Implikacje

Zrozumienie kluczowych definicji zawartych w DORA jest niezbędne do prawidłowej interpretacji i wdrożenia jego wymagań. „Cyfrowa odporność operacyjna” oznacza zdolność podmiotu finansowego do budowania, zapewniania i przeglądu swojej integralności i niezawodności operacyjnej.

„Ryzyko ICT” obejmuje wszelkie racjonalnie identyfikowalne okoliczności związane z wykorzystaniem sieci i systemów informacyjnych, które, jeśli się zmaterializują, mogą naruszyć bezpieczeństwo tych systemów. „Incydent związany z ICT” to pojedyncze zdarzenie lub seria powiązanych zdarzeń, nieplanowanych przez podmiot finansowy, które naruszają bezpieczeństwo sieci i systemów informacyjnych.

„Poważny incydent związany z ICT” to incydent, który ma wysoki negatywny wpływ na sieci i systemy informacyjne wspierające krytyczne lub ważne funkcje podmiotu finansowego. „Znaczące cyberzagrożenie” to cyberzagrożenie, którego charakterystyka techniczna wskazuje, że może potencjalnie doprowadzić do poważnego incydentu związanego z ICT.

„Dostawca usług ICT trzeciej strony” to przedsiębiorstwo świadczące usługi ICT. Dokładne definicje tych i innych kluczowych terminów, zawarte w Artykule 3 DORA, mają kluczowe znaczenie dla określenia zakresu obowiązków podmiotów finansowych i dostawców ICT. Na przykład, definicja „krytycznej lub ważnej funkcji” jest kluczowa dla zarządzania ryzykiem związanym z usługami świadczonymi przez strony trzecie.

Rola Komisji Nadzoru Finansowego (KNF) w Nadzorze nad DORA

Strategiczne Priorytety i Mechanizmy KNF w Nadzorze nad DORA

KNF jako Wyznaczony Organ Właściwy dla DORA w Polsce

Komisja Nadzoru Finansowego (KNF) jest głównym organem odpowiedzialnym za nadzorowanie wdrożenia i egzekwowania rozporządzenia DORA w Polsce. KNF aktywnie przygotowuje się do swojej roli nadzorczej od pierwszego dnia obowiązywania DORA, tj. od 17 stycznia 2025 roku. To proaktywne podejście KNF świadczy o jej zaangażowaniu w zapewnienie zgodności od samego początku, nawet w sytuacji, gdy krajowe przepisy transponujące DORA nie zostały jeszcze w pełni wdrożone.

DORA – Uprawnienia Nadzorcze i Mechanizmy Egzekwowania Dostępne KNF

KNF dysponuje szerokimi uprawnieniami do nadzorowania i egzekwowania DORA, w tym prawem dostępu do dokumentów i danych, przeprowadzania inspekcji na miejscu oraz żądania wyjaśnień. KNF ma również uprawnienia do nakładania środków naprawczych, takich jak nakazanie zaprzestania działań niezgodnych z przepisami. Ponadto, KNF może nakładać kary finansowe za nieprzestrzeganie DORA.

Warto również zauważyć, że KNF ma możliwość publicznego informowania o przypadkach nieprzestrzegania przepisów. Te znaczące uprawnienia KNF mają na celu zapewnienie przestrzegania DORA, a podmioty finansowe powinny być świadome potencjalnych konsekwencji braku zgodności.

Strategiczne Priorytety KNF w Zakresie Cyfrowej Odporności Operacyjnej DORA

KNF uwzględniła skuteczne nadzorowanie ryzyka ICT w swoich priorytetach nadzorczych na rok 2025. Podkreśla to znaczenie, jakie KNF przywiązuje do zapewnienia stabilności unijnego systemu finansowego i bezpieczniejszego korzystania z usług cyfrowych.

KNF zwraca również uwagę na kluczową rolę ICT w prawidłowym funkcjonowaniu rynku finansowego. Strategiczne podejście KNF odzwierciedla priorytetowe znaczenie, jakie organ nadzoru przypisuje cyfrowej odporności operacyjnej jako integralnemu elementowi stabilności finansowej.

Szczegółowe Wymagania i Oczekiwania KNF w Zakresie DORA

Zgodność z DORA według wymagań KNF

Analiza Oficjalnych Stanowisk i Opinii KNF dotyczących Wdrożenia DORA

KNF wydała oficjalne oświadczenia dotyczące bezpośredniego stosowania DORA od 17 stycznia 2025 roku, niezależnie od opóźnień w krajowej legislacji. KNF wyraźnie oczekuje, że podmioty finansowe będą gotowe do stosowania DORA od pierwszego dnia.

Ponadto, KNF wymaga spełnienia warunków określonych w oświadczeniu Europejskich Urzędów Nadzoru (ESA) dotyczącym stosowania DORA. Stanowisko KNF podkreśla natychmiastowy i nieunikniony charakter obowiązku zgodności z DORA, co skłania podmioty finansowe do priorytetowego traktowania swojej gotowości.

DORA – Obowiązki Związane ze Zgłaszaniem KNF Poważnych Incydentów Związanych z ICT i Znaczących Cyberzagrożeń

KNF aktywnie przygotowuje się do przyjmowania zgłoszeń na podstawie DORA poprzez dedykowane systemy informatyczne. Obowiązki sprawozdawcze będą realizowane elektronicznie za pomocą systemów wskazanych przez KNF. KNF oczekuje otrzymywania wstępnych powiadomień, raportów śródokresowych i raportów końcowych dotyczących poważnych incydentów związanych z ICT.

Istnieje również możliwość dobrowolnego zgłaszania KNF znaczących cyberzagrożeń. KNF stworzyła specjalne elektroniczne kanały do zgłaszania incydentów, co podkreśla potrzebę terminowego i wyczerpującego przekazywania informacji.

DORA – Wymagania Dotyczące Prowadzenia i Przekazywania KNF Rejestru Informacji o Ustaleniach Umownych z Dostawcami Usług ICT Trzecich Stron

Podmioty finansowe są zobowiązane do prowadzenia kompleksowego rejestru ustaleń umownych z dostawcami usług ICT trzecich stron (TPP). Właściwe organy muszą przekazać te rejestry do ESA do 30 kwietnia 2025 roku. KNF planuje zażądać przekazania tych rejestrów na początku kwietnia 2025 roku, z danymi aktualnymi na dzień 31 marca 2025 roku.

Rejestry te służą do wewnętrznego monitorowania, nadzoru i wyznaczania krytycznych dostawców usług ICT TPP. KNF przywiązuje dużą wagę do rejestru informacji jako kluczowego narzędzia do zarządzania ryzykiem związanym z usługami świadczonymi przez strony trzecie oraz do wkładu w ogólnounijną strukturę nadzoru.

DORA – Stanowisko KNF w Sprawie Stosowania Zasady Proporcjonalności

KNF weryfikuje stosowanie zasady proporcjonalności przez podmioty finansowe podczas przeglądu spójności ram zarządzania ryzykiem ICT. KNF bierze pod uwagę wielkość, profil ryzyka oraz złożoność działalności poszczególnych podmiotów finansowych. Chociaż DORA jest jednolitym rozporządzeniem, KNF będzie nadzorować jego stosowanie w sposób uwzględniający specyfikę każdego podmiotu finansowego.

Systemy Sprawozdawcze i Kanały Komunikacji Utworzone przez KNF dla Zgodności z DORA

KNF utworzyła „System Sprawozdawczości DORA” do wymiany formularzy sprawozdawczych i komunikacji. Dostępny jest również „System do Obsługi Incydentów DORA” do zgłaszania poważnych incydentów związanych z ICT i znaczących cyberzagrożeń. Ponadto, dla zapytań dotyczących DORA udostępniono dedykowany adres e-mail ([email protected]) oraz infolinię. KNF wdrożyła specjalne systemy i kanały w celu ułatwienia komunikacji i raportowania na podstawie DORA, kładąc nacisk na elektroniczne składanie dokumentów.

Wpływ DORA na Istniejące Wytyczne i Regulacje KNF

Dostosowanie Polskich Regulacji KNF do DORA

Związek Między DORA a Poprzednimi Rekomendacjami KNF (np. Rekomendacja D)

DORA i jej Regulacyjne Standardy Techniczne (RTS) zastąpiły dotychczasowe regulacje sektorowe. KNF planuje uchylić regulacje sektorowe, w tym znaną „Rekomendację D” dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. KNF podjęła już kroki w celu uchylenia tych rekomendacji.

DORA oznacza przejście do jednolitego unijnego frameworka, co prowadzi do dezaktualizacji niektórych dotychczasowych krajowych wytycznych. Podmioty finansowe powinny priorytetowo traktować wymagania DORA w stosunku do zastąpionych rekomendacji krajowych.

Wycofanie Komunikatu KNF w Sprawie Przetwarzania Informacji w Chmurze Obliczeniowej i Jego Implikacje w Kontekście DORA

KNF wycofała swój Komunikat dotyczący przetwarzania informacji w chmurze obliczeniowej (Komunikat chmurowy) z dniem 17 stycznia 2025 roku. Wycofanie to wynika z pokrywania się zakresu tematycznego z DORA i jej aktami wykonawczymi. Podmioty, które wcześniej podlegały Komunikatowi chmurowemu, ale nie są objęte zakresem DORA, są teraz zwolnione z tych wymagań.

Należy zauważyć, że zastosowanie DORA nie ogranicza się do usług chmurowych i obejmuje również chmury prywatne. Wycofanie Komunikatu chmurowego wskazuje, że przepisy DORA dotyczące zarządzania ryzykiem ICT, w tym outsourcingu, stanowią obecnie podstawową ramę regulacyjną dla korzystania z chmury w sektorze finansowym.

Dostosowanie Krajowych Regulacji do Wymagań DORA

Polska jest w trakcie dostosowywania swojego ustawodawstwa krajowego do DORA. Opublikowano projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego, wdrażający do prawa krajowego rozporządzenie DORA oraz towarzyszącą mu dyrektywę.

Projekt ten wyznacza KNF jako organ właściwy oraz określa jej uprawnienia nadzorcze i potencjalne kary. Należy podkreślić, że pomimo braku w pełni wdrożonego ustawodawstwa krajowego, DORA jest bezpośrednio stosowana. Trwające prace legislacyjne w Polsce mają na celu dalsze umocnienie roli KNF i ustanowienie krajowych ram dla egzekwowania przepisów i nakładania kar.

Harmonogram Wdrożenia DORA w Polsce

Harmonogram i Wdrożenie DORA w Polsce – kluczowe daty

DORA – Kluczowe Daty Wejścia w Życie i Stosowania

DORA weszła w życie 16 stycznia 2023 roku. Rozporządzenie jest stosowane od 17 stycznia 2025 roku. Dwuroczny okres przejściowy umożliwił podmiotom finansowym przygotowanie się do wdrożenia wymagań DORA.

DORA – Oczekiwania KNF dotyczące Gotowości Podmiotów Finansowych do 17 Stycznia 2025 Roku

KNF wyraźnie oczekuje pełnej gotowości do daty rozpoczęcia stosowania rozporządzenia. KNF podkreśla, że opóźnienia w krajowej legislacji nie stanowią usprawiedliwienia dla braku zgodności. Stanowcze stanowisko KNF wskazuje na obowiązkowe stosowanie DORA od określonej daty.

DORA – Terminy Pierwszych Zgłoszeń i Przekazania Rejestru Informacji do KNF

Pierwsze obowiązki sprawozdawcze na podstawie DORA rozpoczęły się 17 stycznia 2025 roku. Termin przekazania przez KNF rejestru informacji do ESA upływa 30 kwietnia 2025 roku. KNF przewiduje, że zażąda od podmiotów finansowych przekazania rejestrów na początku kwietnia 2025 roku, z danymi aktualnymi na dzień 31 marca 2025 roku.

Te konkretne terminy podkreślają natychmiastowe działania, jakie muszą podjąć podmioty finansowe w Polsce, aby spełnić swoje obowiązki wynikające z DORA pod nadzorem KNF.

Tabela 1 przedstawia kluczowe daty wdrożenia DORA w Polsce:

DORA – Wyzwania i Zagadnienia dla Podmiotów Finansowych w Polsce

Strategie Zgodności z DORA dla Bezpieczeństwa Finansowego w Polsce

Nawigowanie po Złożoności Wymagań Zgodności z DORA

Szeroki zakres i szczegółowe wymagania DORA mogą stanowić wyzwanie dla podmiotów finansowych. Wymagana jest holistyczna strategia cyberbezpieczeństwa i odporności operacyjnej. Ogrom wymagań DORA i ich wzajemne powiązania sprawiają, że konieczne jest strategiczne i dobrze skoordynowane podejście do zapewnienia zgodności.

DORA – Adresowanie Ryzyka Koncentracji ICT i Zależności od Stron Trzecich

Szczególny nacisk kładziony jest na zarządzanie ryzykiem związanym z poleganiem na ograniczonej liczbie dostawców usług ICT trzecich stron (ryzyko koncentracji ICT). Wymagana jest dogłębna należyta staranność, solidne umowy i monitorowanie dostawców zewnętrznych. Niezbędne jest również posiadanie strategii wyjścia i planów awaryjnych dla krytycznych usług świadczonych przez strony trzecie.

Rosnąca zależność sektora finansowego od zewnętrznych dostawców technologii sprawia, że zarządzanie ryzykiem związanym z tymi podmiotami jest kluczowym elementem DORA. Podmioty finansowe muszą zapewnić, że ich dostawcy spełniają rygorystyczne standardy.

Wdrożenie Solidnych Programów Testowania Odporności Operacyjnej Cyfrowej DORA

Konieczne jest regularne testowanie systemów ICT, od podstawowych ocen podatności po zaawansowane testy penetracyjne oparte na analizie zagrożeń (TLPT) dla znaczących podmiotów. Wymagane jest również testowanie planów ciągłości działania i odzyskiwania po awarii.

Wyniki testów należy raportować właściwym organom. DORA nakłada obowiązek proaktywnego i rygorystycznego testowania cyfrowej odporności w celu identyfikacji luk w zabezpieczeniach i zapewnienia zdolności do przeciwdziałania zakłóceniom.

DORA – Zapewnienie Skutecznej Komunikacji i Raportowania Incydentów do KNF

Istotne jest ustanowienie jasnych planów komunikacji dla interesariuszy wewnętrznych i zewnętrznych podczas incydentów związanych z ICT. Istnieją szczegółowe terminy i wymagania informacyjne dotyczące zgłaszania poważnych incydentów do KNF.

KNF ustanowiła specjalne systemy do zgłaszania incydentów. Jasna i terminowa komunikacja z KNF podczas i po incydentach związanych z ICT ma kluczowe znaczenie dla zgodności z przepisami i skutecznego nadzoru.

Kary i Konsekwencje Braku Zgodności z DORA – Egzekwowane przez KNF

Kary Finansowe za Niezgodność z DORA

Przegląd Potencjalnych Kar Finansowych i Sankcji za Niespełnienie Wymagań DORA

KNF ma uprawnienia do nakładania znaczących kar finansowych za nieprzestrzeganie DORA. Kary mogą wynosić do 2% całkowitego rocznego światowego obrotu dla podmiotów finansowych i do 5 milionów euro dla krytycznych dostawców usług ICT TPP.

Istnieje również możliwość nakładania kar na osoby fizyczne, takie jak członkowie zarządu. Potencjalne kary finansowe za brak zgodności z DORA są znaczne, co podkreśla wagę przestrzegania przepisów.

DORA – Uprawnienia KNF do Nakładania Środków Naprawczych i Publicznego Informowania o Braku Zgodności

KNF może nakazać zaprzestanie działań niezgodnych z przepisami i zażądać naprawienia uchybień związanych z rozporządzeniem DORA. KNF ma również prawo do wydawania publicznych oświadczeń identyfikujących podmioty nieprzestrzegające przepisów.

DORA – Ryzyko Finansowe, Prawne i Reputacyjne Związane z Brakiem Zgodności

Brak zgodności z DORA wiąże się z poważnym ryzykiem, które wykracza poza kary finansowe. Obejmuje potencjalne wyzwania prawne oraz szkody w reputacji i zaufaniu klientów.

Tabela 2 przedstawia potencjalne kary za brak zgodności z DORA w Polsce:

Wnioski i Rekomendacje

Zgodność DORA dla Instytucji Finansowych

Podsumowanie Kluczowych Obowiązków Podmiotów Finansowych w Polsce w Kontekście DORA i Nadzoru KNF

Podmioty finansowe w Polsce, podlegające nadzorowi KNF, mają kluczowe obowiązki w zakresie pięciu filarów DORA. Muszą ustanowić i utrzymywać solidne ramy zarządzania ryzykiem ICT, wdrożyć efektywne procesy zarządzania incydentami i raportowania, regularnie testować swoją odporność operacyjną cyfrową, zarządzać ryzykiem związanym z usługami świadczonymi przez strony trzecie oraz uczestniczyć w wymianie informacji o cyberzagrożeniach. Niezbędne jest przestrzeganie szczegółowych wymagań KNF dotyczących raportowania i terminów.

Strategiczne Rekomendacje dotyczące Osiągnięcia i Utrzymania Zgodności z DORA

Zaleca się, aby podmioty finansowe przeprowadziły dogłębną analizę luk w celu oceny swojego aktualnego poziomu zgodności z DORA. Należy opracować kompleksowy plan wdrożenia z jasnymi harmonogramami i podziałem odpowiedzialności. Priorytetem powinno być ustanowienie solidnych ram zarządzania ryzykiem ICT, procesów raportowania incydentów oraz programów testowania odporności.

Należy również starannie zarządzać dostawcami usług ICT trzecich stron, w tym przeprowadzać należytą staranność i stosować zabezpieczenia umowne. Warto rozważyć nawiązanie współpracy w zakresie wymiany informacji w zaufanych społecznościach.

Należy utrzymywać otwartą komunikację z KNF i korzystać z udostępnionych systemów sprawozdawczych. Kluczowe jest również ciągłe monitorowanie i dostosowywanie się do ewoluujących zagrożeń i oczekiwań regulacyjnych.

Tabela 3 przedstawia kluczowe obowiązki sprawozdawcze wobec KNF na podstawie DORA: