DORA - ghdrako/doc_snipets GitHub Wiki

DORA (Digital Operational Resilience Act)

Rozporządzenie DORA (Digital Operational Resilience Act) to nowe unijne przepisy mające na celu zwiększenie odporności cyfrowej sektora finansowego. Weszło w życie w 2022 roku, a organizacje finansowe muszą wdrożyć pełną zgodność do końca 2024 roku. Obejmuje banki, ubezpieczycieli, fundusze inwestycyjne oraz inne instytucje finansowe. Główne cele DORA:

  • Zarządzanie ryzykiem ICT (Information and Communication Technology):

    • Organizacje muszą identyfikować, oceniać i zarządzać ryzykiem związanym z technologiami cyfrowymi.
    • Należy stworzyć i regularnie aktualizować strategie zarządzania ryzykiem ICT.

  • Odporność operacyjna:

    • Instytucje muszą być w stanie kontynuować działania w przypadku awarii systemów cyfrowych, cyberataków lub innych zakłóceń.
    • Kluczowe jest wdrożenie procedur odzyskiwania danych i planów ciągłości działania.

  • Monitorowanie dostawców usług ICT:

    • Organizacje finansowe są odpowiedzialne za nadzorowanie ryzyk związanych z usługami dostarczanymi przez zewnętrznych dostawców, takich jak chmura, outsourcing IT, czy usługi SaaS.
    • Kluczowi dostawcy mogą podlegać bezpośredniemu nadzorowi organów regulacyjnych.

  • Testowanie odporności cyfrowej:

    • Instytucje muszą regularnie przeprowadzać testy w celu sprawdzenia swoich systemów pod kątem odporności na cyberzagrożenia.
    • Wymagane są testy penetracyjne w środowiskach produkcyjnych.

  • Zarządzanie incydentami ICT:

    • Organizacje są zobowiązane do zgłaszania poważnych incydentów ICT do właściwych organów regulacyjnych.
    • Incydenty powinny być rejestrowane i analizowane w celu poprawy procesów.

  • Koordynacja między państwami UE:

    • DORA promuje spójność w zarządzaniu ryzykiem ICT w całej Unii Europejskiej.
Wpływ na banki i instytucje finansowe:
  • Wyższe wymagania regulacyjne: Banki muszą dostosować swoje procesy, narzędzia IT i polityki do nowych wymagań.
  • Nacisk na współpracę z dostawcami: Organizacje muszą wprowadzić bardziej rygorystyczne procedury nadzoru dostawców zewnętrznych.
  • Obciążenie związane z raportowaniem: Wprowadzenie procedur zgłaszania incydentów i utrzymywania zgodności zwiększa wymagania operacyjne.