Piotr Cąkała
Rozporządzenie DORA – czyli wyzwania w zakresie odporności cyfrowej dla podmiotów sektora finansowego
17 stycznia 2025 r. to dzień, którego obawiają się zarządzający niejednego podmiotu zobligowanego do wdrożenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako: „Rozporządzenie” lub „DORA”), a właśnie od tego dnia Rozporządzenie będzie stosowane. Co prawda, do wskazanej daty pozostał jeszcze blisko rok, ale już teraz instytucje sektora finansowego intensywnie pracują nad implementacją DORA w swoich organizacjach. W niniejszym artykule przybliżamy tematykę Rozporządzenia, a także omawiamy jego możliwy wpływ na rynek finansowy.
Usługi finansowe a świat cyfrowy
W 1980 r. United American Bank zaoferował klientom usługi bankowości elektronicznej. Piętnaście lat później inny amerykański bank Wells Fargo uruchomił usługę bankowości internetowej w formie znanej obecnie. Z kolei, w 1999 r. Fokus Nettbank z Norwegii umożliwił klientom dostęp do bankowości przy użyciu telefonu komórkowego. Choć w świecie bankowości nie ma zgody co do tego, który bank był pionierem bankowości elektronicznej, pewnym jest, że współcześnie trudno sobie wyobrazić usługi finansowe bez wykorzystania Internetu.
Wraz z szybko zmieniającym się otoczeniem cyfrowym, w tym w świecie finansów, pojawiło się wiele zagrożeń dla bezpieczeństwa systemów informatycznych. Cyberprzestępcy to coraz częściej wyspecjalizowane grupy przestępcze, niejednokrotnie związane z administracją lub służbami specjalnymi państw takich jak np. Rosja, Białoruś czy Korea Północna. Aby przeciwdziałać cyberatakom, instytucje finansowe zobligowane są do angażowania znaczących środków pieniężnych oraz dużej liczby osób, a wydatki tych instytucji na działania związane z cyberbezpieczeństwem stale rosną. DORA jest odpowiedzią Unii Europejskiej na cyberzagrożenia.
Czego dotyczy DORA?
Jak wskazuje pełna nazwa Rozporządzenia, dotyczy ono operacyjnej odporności cyfrowej sektora finansowego – zdefiniowanej w DORA jako zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie, bezpośrednio albo pośrednio – korzystając z usług zewnętrznych dostawców usług ICT – pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość, w tym w trakcie zakłóceń.
Rozporządzenie ustanawia następujące jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych:
- wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do:
- zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych (ICT);
- zgłaszania poważnych incydentów związanych z ICT właściwym organom oraz dobrowolnego informowania ich o znaczących cyberzagrożeniach;
- zgłaszania właściwym organom przez podmioty finansowe, o których mowa w art. 2 ust. 1 lit. a)–d) Rozporządzenia, poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami;
- testowania operacyjnej odporności cyfrowej;
- wymiany informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze;
- środków na rzecz należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT;
- wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi;
- zasady dotyczące ustanowienia i funkcjonowania ram nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych;
- zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich kwestii objętych Rozporządzeniem.
Kogo dotyczy DORA?
Katalog adresatów Rozporządzenia (zwanych „podmiotami finansowymi”) wskazany w art. 2 ust. 1 jest dość rozbudowany. Przepisy znajdują zastosowanie m.in. do:
- instytucji kredytowych (banków);
- instytucji płatniczych;
- instytucji pieniądza elektronicznego;
- firm inwestycyjnych (w tym domów maklerskich);
- dostawców usług w zakresie kryptoaktywów (w myśl Rozporządzenia MiCA);
- centralnych depozytów papierów wartościowych;
- zarządzających alternatywnymi funduszami inwestycyjnymi (z wyłączeniem ZAFI o których mowa w art. 3 ust. 2 dyrektywy 2011/61/UE);
- zakładów ubezpieczeń i zakładów reasekuracji (z wyłączeniem zakładów wskazanych w art. 4 dyrektywy 2009/138/WE);
- agencji ratingowych;
- dostawców usług finansowania społecznościowego;
- czy wreszcie zewnętrznych dostawców usług ICT.
Wpływ DORA na rynek finansowy
Celem DORA jest konsolidacja i aktualizacja wymogów dotyczących ryzyka związanego z ICT, określonych dotychczas w różnych unijnych aktach prawnych. Zgodnie z założeniami, adresaci Rozporządzenia mają przyjąć to samo podejście i stosować się do tych samych przepisów podczas zwalczania ryzyka związanego z ICT. Ma to przyczynić się do wzmocnienia zaufania do systemu finansowego oraz ochrony jego stabilności.
Co więcej, implementacja DORA przez podmioty finansowe ma również ograniczyć stopień złożoności regulacyjnej, wspierać spójność w zakresie nadzoru, zwiększyć pewność prawa, a także przyczynić się do ograniczenia kosztów przestrzegania przepisów.
Niewątpliwie, niezbędne są działania podmiotów sektora finansowego zmierzające do stałego zwiększania cyberodporności. Wyobraźnia cyberprzestępców nie zna granic i wykorzystują oni coraz bardziej wyrafinowane metody do osiągania swoich niecnych celów.
Pojawienie się w ostatnich latach programów komputerowych opartych o sztuczną inteligencję, w tym generatorów głosu, czy generatorów twarzy umożliwiających podszywanie się pod inne osoby sprawiło, że dla instytucji istotnie zagrożonych cyberprzestępczością powstały kolejne wyzwania, którym trzeba stawić czoła. Fundamentalne pytanie jakie nasuwa się w związku z wejście w życie DORA dotyczy tego, czy po rozpoczęciu stosowania Rozporządzenia, wdrożone przez podmioty finansowe procedury będą faktycznie stosowane, czy też jak niejednokrotnie pokazuje rzeczywistość, działania danej instytucji zakończą się na ich formalnym wprowadzeniu. Ochrona środków klientów jest sprawą kluczową, ale wydaje się, że oprócz działań podmiotów sektora finansowego niezbędna jest również edukacja społeczeństwa w zakresie cyberbezpieczeństwa. Bez podniesienia świadomości klientów co do cyberzagrożeń, nawet najlepsze procedury i systemy informatyczne mogą okazać się niewystarczające.