Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) – ESA opublikowały drugi pakiet aktów wykonawczych

W dniu 17 lipca 2024 r. Europejskie Urzędy Nadzoru (EUN), tj. Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) oraz Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA), opublikowały drugi pakiet aktów wykonawczych do Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego, tzw. DORA (Digital Operational Resilience Act), które będzie stosowane począwszy od dnia 17 stycznia 2025 r.

Po opublikowanym 17 stycznia 2024 roku, pierwszym pakiecie aktów wykonawczych, ESA rozpoczęły prace związane z konsultacjami drugiego pakietu, który zgodnie z obietnicą został opublikowany 17 lipca 2024. Pierwszy pakiet zawierał trzy RTS oraz jeden ITS, które doprecyzowywały regulacje rozporządzenia DORA w zakresie ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT, kryteriów klasyfikacji incydentów ICT, treści polityki dotyczącej usług ICT oraz standardowe wzory na potrzeby rejestru informacji.

Drugi pakiet składa się z sześciu dokumentów, zawierających szczegółowe wytyczne w zakresie:

1. RTS dotyczący przeprowadzania testów penetracyjnych – JC 2024 29 Final Report on draft RTS specifying elements related to threat led penetration tests (TLPT) - doprecyzowujący m.in. techniczne definicje, kwestie związane z identyfikacją podmiotów zobowiązanych do wykonywania TLPT, wytycznych dotyczących zakresu, metodologii oraz wyników TLPT, wytycznych oraz standardów dla wykorzystania wewnętrznych testerów;
2. RTS i ITS dotyczący raportowania incydentów ICT - JC 2024 33 Final report on the draft RTS and ITS on incident reporting – doprecyzowujący m.in. zakres informacji, jaki powinien być przekazywany w raportach, formę składania raportów, incydenty powtarzające się oraz reklasyfikację incydentów, raporty zbiorcze oraz dobrowolne raportowanie znaczących cyberzagrożeń;
3. RTS dotyczący harmonizacji warunków umożliwiających prowadzenie działań nadzorczych – JC 2024 35 Final Report on draft RTS on harmonisation of conditions enabling the conduct of the oversight activities – określający m.in. zakres informacji, jaki powinien przedstawić zewnętrzny dostawca usług ICT we wniosku o uznanie go jako krytycznego dostawcę, informacje jakie powinien przekazać krytyczny dostawca usług ICT głównemu organowi nadzorczemu, kwestie związane z oceną podjętych działań przez krytycznego dostawcę usług ICT;
4. RTS dotyczącyprowadzenia działalności nadzorczej przez organy nadzoru – JC 2024 54 Final Report on draft RTS on the harmonisation of conditions enabling the conduct of the oversight activities, doprecyzowujący kwestie ustanowienia tzw. JET (Joined Examination Team), jego zadań, członków, a także odnawiania członkostwa w zespole.

Ponadto, opublikowane zostały wytyczne, tj.:

5. Wytyczne dotyczące szacowania kosztów i strat spowodowanych incydentami - JC 2024 33  Final Report on Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents – doprecyzowujące m.in. formę i zakres raportowania kosztów i strat spowodowanych przez występowanie incydentów związanych z ICT w ujęciu rocznym;
6. Wytyczne dot. współpracy w zakresie nadzoru i wymiany informacji między ESA a właściwymi organami – JC 2024 36 Final Report on Joint Guidelines on the oversight cooperation and information exchange between the ESAs and the competent authorities – zawierające wytyczne dotyczące raportowania, w tym zakresu, sposobu, języka, dostępności punktów kontaktowych, terminów, wymiany informacji między ESA a właściwymi organami ustanowionymi lub wyznaczonymi w ramach dyrektywy NIS 2;

Projekty powyższych aktów wykonawczych dostępne są pod linkiem.

UWAGA: RTS dotyczący podwykonawstwa nie został jeszcze opublikowany!

Zgodnie z informacją zawartą na stronie ESMA, wytyczne zostały już przyjęte przez Rady Organów Nadzoru trzech Europejskich Urzędów Nadzoru, a ostateczne projekty standardów zostały przekazane Komisji Europejskiej, która rozpocznie teraz dalsze prace w celu ich przyjęcia.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa. w tym świadczy usługi m. in. w doradztwa regulacyjnego dla sektora finansowego, dyrektywy NIS 2, rozporządzenia DORA, doradztwa w zakresie cyberbezpieczeństwa.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.