30 kwietnia 2024 roku Urząd Komisji Nadzoru Finansowego podjął istotny krok, kierując pismo sektorowe do podmiotów rynku finansowego. Co było jego celem? Otóż w związku z chęcią zadbania o operacyjną odporność cyfrową sektora finansowego, Unia Europejska zdecydowała się na wprowadzenie w życie Rozporządzenia DORA.
Pismo sektorowe, o którym mowa ma więc na celu dokonanie samooceny przez podmioty finansowe w zakresie poziomu zgodności ze wspomnianym Rozporządzeniem. Brzmi to jak początek ważnych zmian w sektorze finansowym? Sprawdźmy to!
Rozporządzenie DORA - rewolucja w odporności cyfrowej sektora finansowego
W ostatnich czasach obserwuje się wzmożone zagrożenie cyberatakami na podmioty, które świadczą usługi finansowe w cyberprzestrzeni. Coraz częściej słyszy się o atakach opartych m.in. na phishingu, a w 2019 roku zanotowano aż 6484 takich incydentów.
Ustawodawca zareagował na pojawiające się niebezpieczeństwo i w związku z tym z początkiem 2025 roku wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, znane jako Rozporządzenie DORA.
Okazuje się, że harmonizacja zasad, które bezpośrednio dotyczą operacyjnej odporności cyfrowej oraz bezpieczeństwa usług ICT stanowią niejako fundament nowoczesnych usług finansowych. Cieszy więc fakt, że przepisy DORA będą stosowane już od 17 stycznia 2025 roku, mimo że implementacja zasad wcale może nie należeć do najłatwiejszych.
Nowe obowiązki dla instytucji finansowych pod lupą Komisji Nadzoru Finansowego
Aby odpowiednio wprowadzić zasady Rozporządzeniem DORA, konieczne jest powierzenie kontroli w odpowiednie ręce. W Polsce organem zobowiązanym do sprawowania nadzoru nad podmiotami finansowymi będzie Komisja Nadzoru Finansowego. Na jej czele stoi przewodniczący Komisji Nadzoru Finansowego dr hab. Jacek Jastrzębski.
Z tego powodu Komisja Nadzoru Finansowego pod przewodnictwem przewodniczącego komisji, 30 kwietnia 2024 roku, skierowała pismo sektorowe do Małych Instytucji Płatniczych, Krajowych Instytucji Płatniczych, Krajowych Kas Oszczędnościowo-Kredytowych oraz Spółdzielczych Kas Oszczędnościowo-Kredytowych.
Pismo to obliguje wymienione podmioty do dokonania samooceny poziomu zgodności z Rozporządzeniem DORA. Celem ankiety jest przede wszystkim stopniowe dostosowywanie rynku FinTech do nowych przepisów rozporządzenia.
Z czym muszą zmierzyć się instytucje finansowe? Analiza ankiety KNF
W ramach ankiety, której celem jest dokładna samoocena zgodności z Rozporządzeniem DORA, Komisja Nadzoru Finansowego przedstawiła około 200 pytań, które obejmują kluczowe obszary związane z cyberbezpieczeństwem w sektorze finansowym. Dotyczą:
- zarządzenia ryzykiem ICT,
- zarządzania incydentami związanymi z ICT,
- testowania operacyjnej odporności cyfrowej,
- zarządzenia ryzykiem, za które odpowiedziani są zewnętrzni dostawcy usług ICT,
- ustalenia dotyczące wymiany informacji.
Wskazane podmioty mają zawrzeć w ankiecie dane, które będą zgodne ze stanem faktycznym na dzień 31 marca 2024 roku. Odpowiedzi należy przesłać do dnia 15 czerwca 2024 roku za pośrednictwem specjalnej aplikacji dostępnej na stronie Komisji Nadzoru Finansowego.
To podejście ma na celu nie tylko ocenę gotowości podmiotów do stosowania nowych regulacji, ale również umożliwienie Komisji Nadzoru Finansowego efektywnego monitorowania i sprawowania nadzoru nad ryzykiem cyfrowym na rynku finansowym.
Jak rozporządzenie DORA zmienia krajobraz usług ICT?
Rozporządzenie DORA wymaga od podmiotów finansowych opracowania polityk bezpieczeństwa oraz mechanizmów wykrywania nieprawidłowości, a także planów komunikacyjnych dotyczących ujawniania cyberincydentów.
Dodatkowo DORA nakłada obowiązek testowania systemów teleinformatycznych pod względem potencjalnych scenariuszy, jak również udostępniania informacji o zagrożeniach i wynikach z przeprowadzonych analiz, organom nadzoru finansowego.
Działania te mają doprowadzić do zbudowania wspólnego system przeciwdziałania cyberincydentom. W tym kontekście ankieta udostępniona przez organy nadzoru służy ocenie, jak dokładnie rynek finansowy dostosowuje się do nowych, wymogów Unii Europejskiej nałożonych rozporządzeniem.
Nie czekaj, aż przepisy wejdą w życie, zacznij działać już teraz! Nasza kancelaria oferuje kompleksowe doradztwo w zakresie zgodności z regulacjami dotyczącymi cyberbezpieczeństwa. Zespół naszych ekspertów pomoże Ci zrozumieć wymagania Rozporządzenia DORA.
Napisz do nas na: info@dudkowiak.com.