KRWLEGAL rekomendowana w rankingach IFLR1000 · Rzeczpospolita · The Legal 500

Co należy robić, żeby pozostać w zgodzie z DORA? – Między innymi SZKOLIĆ!

Rozporządzenie DORA oraz powiązane akty wykonawcze, w szczególności RTS 1774, nakładają na podmioty finansowe oraz ich zewnętrznych dostawców usług ICT wiele nowych obowiązków.

15 kwietnia 2025

Obok zarządzania ryzykiem związanym z ICT, reagowaniem na incydenty etc. znalazły się również obowiązki wpływające na bezpieczeństwo i operacyjną odporność cyfrową podmiotów finansowych mniej oczywisty sposób.

Co należy zrobić, żeby wesprzeć organizację w ograniczaniu liczby występujących incydentów, błędów, pomyłek oraz jak radzić sobie z wieloma ryzykami związanymi z ICT? Odpowiedź jest prosta: szkolić!

Jakie główne obowiązki dotyczące szkoleń i podnoszenia świadomości można zidentyfikować w DORA oraz RTS 1774?

  • Należy opracować programy szkoleń i podnoszenia świadomości – nie wystarczy raz przeszkolić dwóch pracowników odpowiedzialnych stanowiskowo za bezpieczeństwo informacji, należy opracować cały program szkoleń i podnosić systematycznie kompetencje swojego personelu;
  • Należy ocenić potrzeby szkoleniowe oraz określić profil ryzyka związanego z ICT – to właśnie w odniesieniu do tych kryteriów możliwe będzie dalsze podjęcie decyzji co do rodzaju i zakresu działań uświadamiających oraz generalnego kształtu programu szkoleniowego;
  • Należy, z uwzględnieniem kryteriów wskazanych w DORA, objąć swoich zewnętrznych dostawców usług ICT programem szkoleń i podnoszenia świadomości oraz odpowiednio uregulować tę kwestię w umowach z tymi dostawcami;
  • Organ zarządzający podmiotu finansowego powinien przydzielać odpowiedni budżet, aby zaspokoić potrzeby szkoleniowe podmiotu finansowego;
  • Członkowie organu zarządzającego powinni aktualizować swoją wiedzę i umiejętności wystarczające do zrozumienia i oceny ryzyka związanego z ICT i jego wpływu na operacje podmiotu finansowego – również poprzez udział w specjalnych szkoleniach;
  • Należy opracować w ramach programów szkoleniowych dla personelu obowiązkowe moduły, obejmujące programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej – zarówno dla pracowników operacyjnych jak i kadry kierowniczej;
  • Poziom złożoności szkoleń i działań uświadamiających powinien być współmierny do funkcji pełnionych przez osoby objęte programem szkoleń.

Ważne: program szkoleń i podnoszenia świadomości określony przez DORA musi dotyczyć kompetencji i wiedzy z zakresu operacyjnej odporności cyfrowej, bezpieczeństwa ICT oraz umiejętności i wiedzy fachowej niezbędnej do realizacji zadań związanych z utrzymywaniem bezpieczeństwa informacji i cyberodporności podmiotu finansowego na najwyższym poziomie.

Jak w praktyce wiele podmiotów radzi sobie z licznymi obowiązkami dotyczącymi szkoleń i podnoszenia świadomości? Z pomocą przychodzą międzynarodowe standardy bezpieczeństwa informacji, takie jak ISO 27001 czy NIST. Podmioty, które świadomie zarządzają ryzykiem związanym z ICT oraz cyberodpornością, potrafią zidentyfikować kluczowe obszary swojej działalności oraz krajobraz ryzyk – w odniesieniu do tych informacji, identyfikują członków personelu kluczowego, który powinien posiadać specyficzną wiedzę i umiejętności. Dla całości organizacji prowadzone są często działania z zakresu cyberhigieny, ogólnej wiedzy na temat zagrożeń i podatności dzisiejszego cyfrowego świata, a także specyficzne szkolenia adresujące realizację obowiązków wynikających z poszczególnych polityk i procedur przyjętych przez te podmioty.

Szkolenia często prowadzone są w formie teoretycznych wykładów, seminariów, warsztatów, webinariów czy konferencji, a także w formie praktycznych laboratoriów i symulacji. Metody szkoleń dobierane są w zależności od roli osoby podlegającej szkoleniu.

Działania uświadamiające, które mają na celu przekazanie i utrwalenie fundamentalnych informacji z zakresu bezpieczeństwa ICT oraz cyberhigieny, często realizowane są w formie:

  • Alertów i broszur informacyjnych;
  • Prezentacji i testów;
  • Zamieszczanych ostrzeżeniach o zagrożeniach na przedmiotach codziennego użytku – takich jak długopisach firmowych, kubkach, plakatach;
  • Wewnętrzne i zewnętrzne kampanie mailingowe;
  • Eventy w postaci dni bezpieczeństwa;
  • Ulotki, newslettery;
  • Wewnętrznie organizowane kampanie phishingowe zakończone szkoleniem – mające na celu pokazanie członkom personelu w praktyce jak przebiegają tego typu ataki.

Istnieje wiele metod szkoleń i podnoszenia świadomości – DORA nie wskazuje wprost z jakich metod należy korzystać. Decyzja, jak zawsze, leży po stronie podmiotu finansowego, który powinien dobrać odpowiednie metody w zależności od swoich potrzeb oraz zidentyfikowanych przez siebie ryzyk związanych z ICT.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowegodyrektywy NIS 2rozporządzenia DORAdoradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.

Czy holdingi będą zobowiązane do wdrożenia przepisów AML/CFT?

22 kwietnia 2025

Zapraszamy do lektury artykułu r. pr. Nikoli Jadwiszczak – Niedbałki oraz r. pr. Bartosza Posłusznego, opublikowanego dzisiaj w serwisie internetowym KancelarieRP, w którym autorzy wyjaśniają czy holdingi są zobowiązane do wdrożenia przepisów AML/CFT.

Wielkanoc 2025

18 kwietnia 2025

Zdrowych i Pogodnych Świąt Wielkanocnych życzy Zespół KRWLEGAL / LegalWell

KNF publikuje aktualizację formularza pełnego rejestru informacji DORA SPR-PF-18

14 kwietnia 2025

Komisja Nadzoru Finansowego opublikowała dziś w Systemie Sprawozdawczości DORA (SSD) najnowszą wersję formularza raportowego dotyczącego pełnego rejestru informacji DORA SPR-PF-18.

Newsletter Regulacyjny KRWLEGAL 03/2025 wysłany do Klientów Kancelarii

11 kwietnia 2025

Dziś do Klientów KRWLEGAL trafił marcowy numer Newslettera Regulacyjnego.

  • Kontakt
    Kancelaria prawna Krzysztof Rożko i Wspólnicy

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.