- Rozporządzenie DORA ma podnieść poziom odporności cyfrowej w europejskim sektorze finansowym.
- Pierwsze wymogi odnoszące się do raportowania i dokumentacji zaczną obowiązywać 17 stycznia 2025 roku.
- W międzyczasie pojawiają się dodatkowe wytyczne krajowych organów nadzoru (np. KNF), które precyzują, jak i w jakim zakresie raportować.
Komentarz ekspercki: Mikołaj Otmianowski o tym, co oznacza data 17 stycznia
„Jeśli porównamy wymagania DORA i GDPR, najbardziej odczuwalną różnicą będzie systematyczne raportowanie do KNF. Wszyscy wiedzą, że nadzór chce raportów ciągłych, a jednocześnie nikt do końca nie wie, jak to w praktyce zorganizować – podobnie jak przy GDPR, którą wciąż na nowo interpretujemy.
Największe wyzwanie to zbudowanie odpowiednich relacji z dostawcami ICT, a także konieczność zbudowania utrzymywania aktualności rejestru dostawców ICT.Excel bywa dobry na początek, lecz przy kilkudziesięciu, a nawet kilkunastu dostawcach łatwo o chaos – wystarczy choćby jedna zmiana warunków umowy czy regulaminu, aby wszystko się rozjechało. Tymczasem DORA wymaga natychmiastowej rozliczalności: od KRI i raportów cyklicznych, po wykazy incydentów i aktualizacje umów, które muszą być gotowe na wezwanie nadzoru.”- wyjaśnia Mikołaj Otmianowski, wiceprezes firmy DAPR
Nowy etap raportowania podmiotów sektora finansowego
17 stycznia to data, od której instytucje finansowe w krajach UE będą podlegać bardziej restrykcyjnym wymogom w zakresie dokumentowania i raportowania współpracy z dostawcami usług IT (w tym tzw. dostawcami krytycznymi). Powodem są nowe wytyczne oraz harmonogram wynikający z Rozporządzenia DORA (Digital Operational Resilience Act).
Kluczowe zmiany obejmują m.in.:
- Obowiązek tworzenia szczegółowych rejestrów zawierających informacje o umowach dostawcami ICT – gdzie instytucja finansowa musi wykazać również relacje wewnątrz grupy kapitałowej, jeżeli korzysta ze wsparcia spółek powiązanych. w tym zakresu usług, rozwiązań chmurowych, procedur bezpieczeństwa.
- Ocena i raportowanie incydentów poważnych – wzory i proces, który wymaga ciągłej aktualizacji danych.
- Testowanie odporności cyfrowej– regularne tesowanie organizacji przygotowanie na zdarzenia nieprzewidziane, wynikające z zagroże funkcjonowania w świecie digital.
Rozporządzenie wymaga od wszystkich instytucji finansowych również systematycznego monitorowania swojej infrastruktury, oceniania incydentów i raportowania tych ocenionnych na poważne – każde zdarzenie mogące narazić działalność firmy na przestój powinno być odnotowywane i analizowane. Raportowanie odbywa się w systemie świeżo udostępnionym przez KNF. W wielu instytucjach nadal brakuje spójnych procedur zarządzania dostawcami ICT, co może prowadzić do chaosu i opóźnień w przygotowaniu raportów. Eksperci ostrzegają, że nawet niewielkie uchybienia mogą skutkować dotkliwymi sankcjami.
Mikołaj Otmianowski podkreśla, że przy tak obszernych wymogach kluczowe jest zautomatyzowanie powtarzalnych czynności oraz właściwa integracja danych z różnych działów.
„Praktyka pokazuje, że zespoły najpierw zaczynają w Excelu, a potem okazuje się, że przy setkach rekordów to zwyczajnie nie działa. Dlatego warto inwestować w profesjonalne systemy GRC (Governance, Risk & Compliance), które pozwalają automatycznie wersjonować dane i zachować porządek. Inaczej jedynym sposobem byłoby wydłużenie doby o kolejne 24 godziny, co raczej nie wchodzi w grę.
Duże przedsiębiorstwa szczególnie odczuwają ciężar obowiązków – bez odpowiedniego oprogramowania stworzenie kompletnego rejestru jednej umowy zgodnie z DORA może zająć nawet 8 godzin. W skali dużej organizacji mówimy o setkach, a nawet tysiącach godzin pracy specjalistów wysokiej klasy” – wyjaśnia Otmianowski.
DORA: początek głębokich zmian
Zdaniem ekspertów DORA to nie tylko chwilowe wyzwanie dla sektora finansowego, ale oznaka trwałej zmiany w podejściu do bezpieczeństwa cyfrowego. Wdrożenie rozporządzenia, szczególnie w zakresie rejestru dostawców i incydentów, jest pierwszym krokiem do stworzenia spójnych standardów na poziomie całej Unii Europejskiej.
Kolejne regulacje, takie jak NIS2, poszerzają spektrum wymagań i obejmują coraz więcej podmiotów. W praktyce oznacza to, że instytucje finansowe, które już teraz zainwestują w odpowiednie narzędzia i procedury, będą znacznie lepiej przygotowane na kolejne etapy cyfrowej transformacji oraz rosnące wymogi nadzorcze w przyszłości.