Rozporządzenie DORA już obowiązuje. Co to oznacza dla instytucji finansowych?

Stała wymiana informacji o zagrożeniach w cyberprzestrzeni pomiędzy instytucjami finansowymi w całej Unii Europejskiej to szansa na poprawę bezpieczeństwa klientów.

 

Marcin Czugan, radca prawny, prezes Związku Przedsiębiorstw Finansowych w Polsce

 

W piątek 17 stycznia 2025 r.  zaczęło w Polsce obowiązywać unijne Rozporządzenie DORA (Digital Operational Resilience Act). Już teraz wprowadziło ono istotne zmiany dla instytucji finansowych, bez względu na to, że na wdrożenie ustawy wdrażającej DORA na poziomie krajowym będzie trzeba jeszcze poczekać.

Jakie jest podstawowe założenie DORA? Poprawa bezpieczeństwa instytucji finansowych i ich klientów poprzez standaryzację reguł cyberbezpieczeństwa i wymiany informacji na poziomie europejskim.

Wyraźnie widać więc, że unijni decydenci dostrzegli, jak poważny jest problem wyłudzeń, wycieków danych czy ataków hakerskich. Potwierdzają to zresztą same instytucje finansowe: w badaniu ZPF i EY „Nadużycia w sektorze finansowym”* ankietowani przedstawiciele rynku regularnie podkreślają, że najbardziej narażony na ryzyko ataków jest kanał online.

Teraz rynek finansowy liczy więc na to, że nowe przepisy pozwolą stworzyć swego rodzaju system wczesnego ostrzegania, dzięki któremu podmioty na nim obecne będą mogły wymieniać się informacjami np. o nowych metodach oszustw.

 

Rozporządzenie DORA. Najważniejsze elementy w praktyce

Instytucje finansowe już od dłuższego czasu pracowały nad tym, by 17 stycznia być w pełni przygotowanymi do funkcjonowania w ramach nowych regulacji. Oto najważniejsze elementy, o które musiały zadbać:

 

> Prowadzenie rejestru umów z dostawcami usług cyfrowych (tzw. ICT) - podmioty rynku finansowego zostały zobowiązane do stworzenia listy zewnętrznych firm, które świadczą dla nich usługi ICT (Information and Communications Technology) - chodzi tu m.in. o dostawców rozwiązań z zakresu bezpieczeństwa i infrastruktury IT.

Warto pamiętać, że dostęp do tych rejestrów będzie mieć Urząd Komisji Nadzoru Finansowego, który przekaże je do pozostałych nadzorców unijnych. Rejestry mają być systematycznie aktualizowane.

 

> Obowiązek raportowania incydentów - Rozporządzenie DORA nałożyło również na instytucje finansowe szczególne obowiązki sprawozdawcze. Podmioty rynku finansowego mają bowiem na bieżąco raportować o incydentach związanych z ICT - to np. wycieki danych, cyberataki, ale również awarie systemów. DORA precyzuje szereg kryteriów, zgodnie z którymi instytucje finansowe mają raportować niepożądane zdarzenia.

 

> Obowiązek testowania - firmy zostały zobligowane do systematycznego testowania operacyjnej odporności cyfrowej, poprzez m. in. prowadzenie specyficznych testów penetracyjnych, zwanych testami TLPT (Threat-Led Penetration Testing). Są to testy ukierunkowane na jak najwierniejsze odzwierciedlenie możliwego ataku, które pozwolą na lepsze zdiagnozowanie, czy organizacja jest gotowa sprostać zagrożeniu.

 

> Identyfikator LEI - firmy objęte Rozporządzeniem DORA zostały również zobowiązane do posiadania tzw. identyfikatora LEI (Legal Entity Identifier). To unikalny w skali globalnej kod, który pozwala identyfikować konkretny podmiot rynku finansowego. Identyfikator będzie niezbędny do prawidłowego raportowania w ramach Rozporządzenia DORA. Nadawaniem kodów LEI w Polsce zajmuje się Krajowy Depozyt Papierów Wartościowych.

 

DORA poprawi bezpieczeństwo rynku finansowego

Zaproponowane w Rozporządzeniu DORA rozwiązania powinny wspierać uczestników rynku finansowego w dążeniu do ciągłej poprawy bezpieczeństwa klientów i zgromadzonych środków.

Narzędzie, jakim jest system do ciągłej wymiany informacji i analiz dotyczących zagrożeń, pozwala mieć nadzieję, że zwalczanie cyberprzestępczości stanie się skuteczniejsze.

* Raport „Nadużycia w sektorze finansowym. Edycja 2024” jest opublikowany na stronie: https://zpf.pl/naduzycia-w-sektorze-finansowym/

Informacja prasowa na jego temat jest dostępna na stronie: https://zpf.pl/naduzycia-w-sektorze-finansowym-2024-nowy-raport-zpf-i-ey/

***

Związek Przedsiębiorstw Finansowych w Polsce (wcześniej Konferencja Przedsiębiorstw Finansowych w Polsce) powstał 27 października 1999 roku i obecnie skupia ponad 100 przedsiębiorstw z wielu sektorów polskiego rynku finansowego, w tym bankowości, zarządzania wierzytelnościami, pośredników finansowych, instytucji pożyczkowych, zarządzających informacją gospodarczą, odwróconej hipoteki w modelu sprzedażowym, fintech. Jest największą multisektorową organizacją podmiotów rynku finansowego w Polsce.

Od ponad 25 lat ZPF działa na rzecz rozwoju rynku finansowego w Polsce i podnoszenia standardów etycznych w branży, występuje aktywnie jako partner społeczny w procesach legislacyjnych, a także reprezentuje polskie instytucje finansowe w UE. ZPF to członek dwóch organizacji samorządowych na szczeblu europejskim: EUROFINAS (European Federation of Finance House Associations), zrzeszającej instytucje związane z rynkiem kredytu konsumenckiego w Europie oraz FENCA (Federation of European National Collection Associations), która reprezentuje interesy sektora zarządzania wierzytelnościami w Europie.

ZPF ma w swoim dorobku badawczym kilkaset raportów branżowych. Jest też organizatorem kongresów, webinarów i innych inicjatyw dla branży finansowej.

  • ZPF
  • media@zpf.pl
  • +48 58 302 92 05
  • Związek Przedsiębiorstw Finansowych
  • Długie Pobrzeże 30
  • 80-888 Gdańsk