Rocznica DORA – jak nowe przepisy wpłynęły na cyberodporność sektora finansowego?

DORA odpowiada na rosnącą zależność instytucji finansowych od technologii ICT oraz zwiększające się ryzyka cybernetyczne, awarie systemów i zagrożenia ciągłości działania. Nowa regulacja wprowadziła jednolite w skali UE ramy zarządzania ryzykiem ICT, obejmujące m.in. obowiązki w zakresie raportowania incydentów, testowania odporności cyfrowej, zarządzania ryzykiem dostawców usług ICT oraz wymiany informacji o zagrożeniach. Choć rozporządzenie weszło w życie w styczniu 2023 r., jego stosowanie rozpoczęło się 17 stycznia 2025 r., co czyni rocznicę dobrym momentem na pierwsze podsumowania.

Pierwszy rok stosowania DORA upłynął pod znakiem niepewności regulacyjnej. Ostateczne ramy prawne krystalizowały się jeszcze po dacie, w której instytucje finansowe były zobowiązane do stosowania nowych przepisów – część aktów wykonawczych opublikowano dopiero w trakcie 2025 r. Podobnie, dopiero w sierpniu 2025 r. została opublikowana ustawa umożliwiająca pełne stosowanie przepisów DORA w Polsce.

Podmioty nadzorowane zobowiązane były do realizacji licznych nowych obowiązków sprawozdawczych, w tym raportów dotyczących ram zarządzania ryzykiem ICT oraz kluczowych wskaźników ryzyka (KRI). Największe trudności dotyczyły praktycznej zmiany podejścia do bezpieczeństwa informacji – decyzje w obszarze ICT musiały zostać oparte na formalnej analizie ryzyka oraz odpowiednio udokumentowane.

Istotnym wyzwaniem było również skatalogowanie procesów, zasobów ICT i umów z dostawcami oraz ich dostosowanie do wymogów DORA. Wymusiło to ścisłą współpracę zespołów compliance, IT, bezpieczeństwa i audytu, zarówno po stronie instytucji finansowych, jak i dostawców usług ICT.

Kolejne lata stosowania DORA powinny być łatwiejsze, jednak nadchodzą nowe obowiązki, w tym cykliczne przeglądy ram zarządzania ryzykiem ICT, audyty i kontrole dostawców. Nadrzędnym celem rozporządzenia pozostaje trwałe wzmocnienie odporności cyfrowej instytucji finansowych w obliczu dynamicznie rosnących zagrożeń cybernetycznych.

Zapraszamy do lektury artykułu adw. Tomasza Kamińskiego, Wspólnika w Krzysztof Rożko i Wspólnicy Kancelarii Prawnej oraz eksperta ds. cyberbezpieczeństwa Daniela Niwińskiego, opublikowanego w dodatku merytorycznym gazety Rzeczpospolita oraz rp.pl, w którym autorzy podsumowują pierwszy rok stosowania Rozporządzenia DORA oraz realne wyzwania, z jakimi mierzyły się instytucje finansowe oraz ich dostawcy usług ICT.

Wsparcie w realizacji obowiązków

Kancelaria prawna KRWLegal / LegalWell posiada bogate doświadczenie w zakresie wdrożenia wymagań DORA oraz, RODO. Kancelaria dysponuje ekspertami, którzy na co dzień wspierają Klientów Kancelarii w realizacji audytów, przeglądów dokumentacji, przesyłaniu sprawozdań do Komisji Nadzoru Finansowego, szkoleniach. Kancelaria KRWLegal / LegalWell doradza również w przypadku wystąpienia incydentów i naruszeń bezpieczeństwa informacji.

Kancelaria prawna KRWLegal/ LegalWell zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie Rozporządzenia DORA, zgodności prawnej w zakresie cyberbezpieczeństwa oraz prowadzi szkolenia w tym obszarze dla pracowników instytucji obowiązanych.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.