KRWLEGAL rekomendowana w rankingach IFLR1000 2023 · Rzeczpospolita 2023 · The Legal 500

Usługi

Rozporządzenie DORA

Kancelaria Prawna świadczy obsługę prawną w obszarze operacyjnej odporności cyfrowej na gruncie rozporządzenia DORA (Rozporządzenie o Operacyjnej Odporności Cyfrowej, ang. Digital Operational Resilience Act), zarówno w zakresie przeprowadzenia audytów, jaki i wdrożenia wymaganych procedur.

Co to jest rozporządzenie DORA? – zakres regulacyjny

Głównym celem rozporządzenia DORA jest podniesienie poziomu operacyjnej odporności cyfrowej podmiotów finansowych w obszarze technologii informacyjno-komunikacyjnych (ang. Information and Communication Technologies, ICT). Usługami ICT są usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego.

Rozporządzenie DORA będzie bezpośrednio stosowane od dnia 17 stycznia 2025 r.

Zakres podmiotowy Rozporządzenia DORA – jakich instytucji dotyczy?

Rozporządzenie DORA ustanawia, co do zasady, jednolity standard wymogów, w odniesieniu do niemal wszystkich podmiotów finansowych.

Niniejsze rozporządzenie ma zastosowanie do następujących podmiotów:

  1. instytucje kredytowe;
  2. instytucje płatnicze;
  3. dostawcy świadczący usługę dostępu do informacji o rachunku;
  4. instytucje pieniądza elektronicznego,;
  5. firmy inwestycyjne;
  6. dostawcy usług w zakresie kryptoaktywów;
  7. centralne depozyty papierów wartościowych;
  8. kontrahenci centralni;
  9. systemy obrotu;
  10. repozytoria transakcji;
  11. zarządzający alternatywnymi funduszami inwestycyjnymi;
  12. spółki zarządzające;
  13. dostawcy usług w zakresie udostępniania informacji;
  14. zakłady ubezpieczeń i zakładów reasekuracji;
  15. pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujących ubezpieczenia uzupełniające;
  16. instytucje pracownicze programów emerytalnych;
  17. agencje ratingowe;
  18. administratorzy kluczowych wskaźników referencyjnych;
  19. dostawcy usług finansowania społecznościowego;
  20. repozytoria sekurytyzacji;
  21. zewnętrzni dostawcy usług ICT.

Łącznie ww. podmioty są zwane „podmiotami finansowymi”. Z zakresu podmiotowego rozporządzenia DORA zostali wyłączeni tylko nieliczni profesjonalni uczestnicy rynku finansowego.

Odrębną kategorię podmiotów stanowią zewnętrzni dostawcy usług ICT, którzy częściowo są bezpośrednio adresatami przepisów rozporządzenia DORA (tak w przypadku kluczowych zewnętrznych dostawców usług ICT) lub pośrednio będą musieli dostosować się do wymogów DORA, celem zapewnienia stosowania niniejszych przepisów przez ich klientów, tj. podmioty finansowe.

Obszary operacyjnej odporności cyfrowej w Rozporządzeniu DORA

W ramach Rozporządzenia DORA można wyodrębnić pięć kluczowych filarów:

1. Zarządzanie ryzykiem związanym z ICT

Kluczowym obszarem regulowanym przepisami rozporządzenia DORA jest zarządzanie ryzykiem związanym z ICT.

Rozporządzenie DORA wprowadza wymogi dotyczące wdrożenia strategii, polityk i regulacji wewnętrznych, będących elementem ram zarządzania ryzykiem związanym z ICT.

Ramy zarządzania ryzykiem związanym z ICT powinny obejmować następujące funkcje: zarządzanie i organizacja, identyfikacja, ochrona i zapobieganie, wykrywanie, reagowanie i przywracanie sprawności, uczenie się i rozwój oraz komunikacja.

2. Incydenty związane z ICT

Podmioty finansowe będą obowiązane do zarządzania incydentami związanymi z ICT, co obejmować będzie: wprowadzenie wskaźników wczesnego ostrzegania, ustanowienie procedur śledzenia, rejestrowania, kategoryzowania, klasyfikowania incydentów związanych z ICT według i priorytetu i dotkliwości oraz krytyczności usług, na które incydenty mają wpływ, przydzielenie ról i obowiązków, określenie planów działań informacyjnych, zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT kadrze kierowniczej, ustanowienie procedur reagowania na incydenty oraz zgłaszanie poważnych incydentów związanych z ICT właściwemu organowi nadzoru.

3. Testowanie cyfrowej odporności operacyjnej

Istotnym obszarem objętym Rozporządzeniem DORA, jest weryfikacja stosowanych rozwiązań, szczególnie w celu określania słabości, niedoskonałości i luk oraz wdrażanie odpowiednich środków naprawczych.

Podmioty finansowe zobowiązane będą ustanawiać kompleksowe programy testowania i co najmniej raz w roku poddać testom kluczowe systemy i narzędzia.

Znaczna część podmiotów finansowych zobowiązana będzie przeprowadzić nie rzadziej niż co trzy lata zaawansowane testy penetracyjne. Co istotne, testy takie mają być przeprowadzane na działających na bieżąco krytycznych systemach produkcyjnych.

4. Zarządzanie ryzykiem stron trzecich w branży ICT

Rozporządzenie DORA wymaga, aby podmioty finansowe zarządzały ryzykiem w ramach relacji z zewnętrznymi dostawcami usług ICT. Obejmuje to m. in.: wprowadzenie strategii, dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie przeglądów strategii oraz ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje, dokonywanie oceny ustaleń umownych oraz dostawców usług ICT, prowadzenie szczegółowego rejestru informacji w odniesieniu do wszystkich ustaleń umownych dot. korzystania z usług ICT, oraz stosowanie wymaganych klauzul umownych.

Istotne novum stanowi wymóg dokonana wstępnej oceny ryzyka koncentracji w obszarze ICT.

5. Wymiana informacji

Podmioty finansowe będą podlegać odpowiednim regulacjom w zakresie wymiany informacji zarówno pomiędzy samymi podmiotami finansowymi, jak i w relacji z właściwymi organami.

Kary za niedostosowanie się do rozporządzenia DORA

Organy nadzoru będą miały prawo nałożyć kary finansowe na instytucje podlegające rozporządzeniu, a także bezpośrednio na osoby fizyczne kierujące danymi instytucjami finansowymi.

Aktualnie projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw przewiduje, że na instytucje finansowe KNF będzie mogła nałożyć karę w kwocie nieprzekraczającej 20 869 500 zł lub 10% przychodów netto ze sprzedaży towarów i usług oraz operacji finansowych, a w przypadku członka zarządu danej instytucji, w kwocie nieprzekraczającej 3 042 410 zł.

Korzyści z wdrożenia wymogów DORA

Odpowiednie wdrożenie wymogów Rozporządzenia DORA jest nie tylko wymogiem prawnym, a przez to pozwala na uniknięcie kar administracyjnych, ale też pozwala na uzyskanie innych korzyści, które przekładają się na realizację celów biznesowych podmiotów finansowych. Wśród najważniejszych korzyści wskazać należy na:

  1. zwiększenie odporności cyfrowej podmiotu finansowego i jego klientów,
  2. ograniczenie ryzyka roszczeń ze strony klientów oraz kontrahentów,
  3. wzrost konkurencyjności,
  4. korzyści reputacyjne.

Doradztwo w zakresie Rozporządzenia DORA

Eksperci KRWLEGAL zapewniają kompleksowe doradztwo w zakresie operacyjnej odporności cyfrowej podmiotów finansowych, począwszy od audytów, poprzez wdrażanie polityk i regulacji wewnętrznych, czy negocjowanie umów z zewnętrznymi dostawcami usług ICT.

Doradzamy również zewnętrznym dostawców usług ICT w zakresie wymogów rozporządzenia DORA.

Zespół specjalistów prowadzi szkolenia w zakresie Rozporządzenia DORA, zarówno dla kadry kierowniczej, jak i pracowników podmiotów finansowych oraz dostawców usług ICT.

W zależności o potrzeb Klientów, współpracujemy również z Partnerami technologicznymi, co umożliwia nam świadczenie w pełni kompleksowych usług doradztwa w zakresie dostosowania do wymogów rozporządzenia DORA.

Prawnicy Kancelarii posiadają rozległe doświadczenie w zakresie reprezentacji Klientów przed polskimi organami regulacyjnymi, w szczególności przed Komisją Nadzoru Finansowego, w tym w zakresie spełniania wymogów ustawy o krajowym systemie cyberbezpieczeństwa.

  • Kontakt

    ul. Wojciecha Górskiego 9
    00-033 Warszawa

    tel.: 22 295 09 40,
    tel./fax: 22 692 44 74

    e-mail: biuro@krwlegal.pl

    Numer rachunku bankowego:
    45 1090 1870 0000 0001 3132 3918 (PLN) WBKPPLPP

    KRS: 0000576857
    NIP: 5252630217

    REGON: 362543036

    Dołącz do nas:LinkedIn

Krzysztof Rożko i Wspólnicy Kancelaria Prawna informuje, że dane podane na stronach niniejszego serwisu internetowego nie stanowią wiążącej oferty jakichkolwiek usług, w tym usług prawniczych, świadczonych użytkownikom serwisu internetowego, klientom i partnerom Krzysztof Rożko i Wspólnicy Kancelaria Prawna, i podane zostały wyłącznie w celach informacyjnych i reklamowych. Nie stanowią również usługi doradztwa prawnego, a także nie są formą świadczenia pomocy prawnej.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna czasowo dokonuje aktualizacji informacji zawartych w serwisie internetowym. Serwis internetowy został przygotowany również na podstawie informacji publicznie dostępnych i źródeł zewnętrznych uznanych przez Krzysztof Rożko i Wspólnicy Kancelaria Prawna za wiarygodne, ale Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie gwarantuje i nie może zapewnić o ich dokładności, kompletności i wiarygodności. Korzystanie z publikacji umieszczonych na stronie jest dozwolone pod warunkiem poinformowania o autorze publikacji oraz źródle jej pochodzenia.

Otrzymując dostęp do stron serwisu WWW użytkownik przyjmuje do wiadomości, że wszelkie informacje wysyłane za pomocą poczty elektronicznej oraz innych form transmisji poprzez sieć Internet nie mają charakteru poufnego i mogą być narażone na ingerencję osób trzecich.

Krzysztof Rożko i Wspólnicy Kancelaria Prawna nie ponosi odpowiedzialności za treść informacji zawartych na stronach partnerów współpracujących oraz nie ponosi odpowiedzialności za skutki użycia wszelkich informacji lub materiałów dostępnych na stronach partnerów współpracujących. Korzystając z linku użytkownik przechodzi na stronę należącą do innego właściciela. Wszelkie prawa autorskie, znaki towarowe i inne prawa własności intelektualnej, oprogramowanie i wszystkie kody HTML, jak również inne kody zawarte na niniejszej stronie internetowej, pozostają przy Krzysztof Rożko i Wspólnicy Kancelaria Prawna i/lub jego licencjodawcach, i są chronione przez prawo autorskie oraz inne prawa i postanowienia układów międzynarodowych.