Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) – ESA opublikowały pierwszy pakiet aktów wykonawczych

Celem przyjęcia DORA jest zwiększenie cyfrowej odporności operacyjnej sektora finansowego UE, poprzez wzmocnienie technologii informacyjno-komunikacyjnych (ICT) podmiotów finansowych w zakresie ram zarządzania ryzykiem ICT, w tym ryzykiem stron trzecich (dostawców usług ICT), zgłaszania incydentów w zakresie ICT oraz testowania operacyjnej odporności cyfrowej.

W celu doprecyzowania regulacji rozporządzenia, EUN zobowiązane zostały przedstawić Komisji Europejskiej, projekty aktów wykonawczych obejmujących: regulacyjne standardy techniczne (RTS), wykonawcze standardy techniczne (ITS) oraz wytyczne.

Zgodnie z powyższym, 17 stycznia 2024 r. przedstawione zostały projekty aktów w ramach pierwszego pakietu składającego się z:

1)    RTS dotyczącego ram zarządzania ryzykiem ICT oraz uproszczonych ramy zarządzania ryzykiem ICT (art. 15 DORA oraz art. 16 ust. 3 DORA), doprecyzowujących m.in. elementy polityk oraz procedur wewnętrznych dotyczących zarządzania ryzykiem ICT;

2)    RTS dotyczącego kryteriów klasyfikacji incydentów ICT (art. 18 ust. 3 DORA) doprecyzowujących m.in. kryteria klasyfikacji poważnych incydentów związanych z ICT, podejście do klasyfikacji poważnych incydentów oraz progi istotności każdego kryterium klasyfikacji;

3)    ITS określającego standardowe wzory na potrzeby rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 9 DORA), które mają być utrzymywane i aktualizowane przez podmioty finansowe w odniesieniu do ich ustaleń umownych z zewnętrznymi dostawcami usług ICT;

4)    RTS dotyczącego treści polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje, świadczonych przez zewnętrznych dostawców usług ICT (art. 28 ust. 10 DORA), dookreślających części ram zarządzania ryzykiem i kontroli wewnętrznej, które podmioty finansowe powinny wdrożyć w odniesieniu do korzystania z zewnętrznych dostawców usług ICT.

Projekty powyższych aktów wykonawczych dostępne są pod linkiem.

Obecnie prowadzone są konsultacje publiczne dotyczące drugiego pakietu aktów wykonawczych, obejmującego m.in. doprecyzowanie regulacji w zakresie zgłaszania incydentów ICT oraz testów penetracyjnych (TLPT). Zarówno przedstawiony pakiet, jak i akty znajdujące się na etapie konsultacji, będą miały istotne znaczenie dla ostatecznego sposobu wdrożenia wymogów DORA, dlatego podmioty finansowe powinny na bieżąco śledzić prace EUN oraz Komisji Europejskiej, która dokona przeglądu projektów aktów wykonawczych przed ich przyjęciem. Niemniej, zaznaczyć należy, że akty wykonawcze stanowią jedynie wycinek regulacji DORA, dlatego też, podmioty finansowe nie powinny zwlekać z rozpoczęciem prac nad wdrażaniem nowych wymogów do publikacji kolejnego pakietu aktów.

Drugi pakiet projektów aktów prawnych (po konsultacjach) ma zostać przedstawiony do dnia 17 lipca 2024 r.

Kancelaria Prawna Krzysztof Rożko i Wspólnicy jako kancelaria prowadząca kompleksową obsługę przedsiębiorców wspiera swoich Klientów w działaniach mających na celu dostosowanie do przepisów wprowadzanych na mocy rozporządzenia DORA. Wsparcie Kancelarii obejmuje przygotowanie podmiotów w pełnym zakresie w celu dostosowania działalności do nowych obowiązków nałożonych przez ustawodawcę.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi doradztwa w zakresie cyberbezpieczeństwa, jak również doradztwa regulacyjnego dla sektora finansowego, świadcząc usługi m. in. w zakresie działalności firm inwestycyjnych, funduszy inwestycyjnych, podmiotów zarządzających aktywami, banków (depozytariuszy).

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940.