wtorek, 11 lutego, 2025

Rozporządzenie DORA: Co zmieni się w sektorze finansowym od 17 stycznia 2025?

  • Rozporządzenie DORA ma podnieść poziom odporności cyfrowej w europejskim sektorze finansowym.
  • Pierwsze wymogi odnoszące się do raportowania i dokumentacji zaczną obowiązywać 17 stycznia 2025 roku.
  • W międzyczasie pojawiają się dodatkowe wytyczne krajowych organów nadzoru (np. KNF), które precyzują, jak i w jakim zakresie raportować.

Komentarz ekspercki: Mikołaj Otmianowski o tym, co oznacza data 17 stycznia

„Jeśli porównamy wymagania DORA i GDPR, najbardziej odczuwalną różnicą będzie systematyczne raportowanie do KNF. Wszyscy wiedzą, że nadzór chce raportów ciągłych, a jednocześnie nikt do końca nie wie, jak to w praktyce zorganizować – podobnie jak przy GDPR, którą wciąż na nowo interpretujemy.

Największe wyzwanie to zbudowanie odpowiednich relacji z dostawcami ICT, a także konieczność zbudowania utrzymywania aktualności rejestru dostawców ICT.Excel bywa dobry na początek, lecz przy kilkudziesięciu, a nawet kilkunastu dostawcach łatwo o chaos – wystarczy choćby jedna zmiana warunków umowy czy regulaminu, aby wszystko się rozjechało. Tymczasem DORA wymaga natychmiastowej rozliczalności: od KRI i raportów cyklicznych, po wykazy incydentów i aktualizacje umów, które muszą być gotowe na wezwanie nadzoru.”- wyjaśnia Mikołaj Otmianowski, wiceprezes firmy DAPR

Nowy etap raportowania podmiotów sektora finansowego

17 stycznia to data, od której instytucje finansowe w krajach UE będą podlegać bardziej restrykcyjnym wymogom w zakresie dokumentowania i raportowania współpracy z dostawcami usług IT (w tym tzw. dostawcami krytycznymi). Powodem są nowe wytyczne oraz harmonogram wynikający z Rozporządzenia DORA (Digital Operational Resilience Act).

Kluczowe zmiany obejmują m.in.:

  • Obowiązek tworzenia szczegółowych rejestrów zawierających informacje o umowach dostawcami ICT – gdzie instytucja finansowa musi wykazać również relacje wewnątrz grupy kapitałowej, jeżeli korzysta ze wsparcia spółek powiązanych. w tym zakresu usług, rozwiązań chmurowych, procedur bezpieczeństwa.
  • Ocena i raportowanie incydentów poważnych – wzory i proces, który wymaga ciągłej aktualizacji danych.
  • Testowanie odporności cyfrowej– regularne tesowanie organizacji przygotowanie na zdarzenia nieprzewidziane, wynikające z zagroże funkcjonowania w świecie digital.

Rozporządzenie wymaga od wszystkich instytucji finansowych również systematycznego monitorowania swojej infrastruktury, oceniania incydentów i raportowania tych ocenionnych na poważne – każde zdarzenie mogące narazić działalność firmy na przestój powinno być odnotowywane i analizowane. Raportowanie odbywa się w systemie świeżo udostępnionym przez KNF. W wielu instytucjach nadal brakuje spójnych procedur zarządzania dostawcami ICT, co może prowadzić do chaosu i opóźnień w przygotowaniu raportów. Eksperci ostrzegają, że nawet niewielkie uchybienia mogą skutkować dotkliwymi sankcjami.

Mikołaj Otmianowski podkreśla, że przy tak obszernych wymogach kluczowe jest zautomatyzowanie powtarzalnych czynności oraz właściwa integracja danych z różnych działów.

Praktyka pokazuje, że zespoły najpierw zaczynają w Excelu, a potem okazuje się, że przy setkach rekordów to zwyczajnie nie działa. Dlatego warto inwestować w profesjonalne systemy GRC (Governance, Risk & Compliance), które pozwalają automatycznie wersjonować dane i zachować porządek. Inaczej jedynym sposobem byłoby wydłużenie doby o kolejne 24 godziny, co raczej nie wchodzi w grę. 

Duże przedsiębiorstwa szczególnie odczuwają ciężar obowiązków – bez odpowiedniego oprogramowania stworzenie kompletnego rejestru jednej umowy zgodnie z DORA może zająć nawet 8 godzin. W skali dużej organizacji mówimy o setkach, a nawet tysiącach godzin pracy specjalistów wysokiej klasy” – wyjaśnia Otmianowski.

DORA: początek głębokich zmian

Zdaniem ekspertów DORA to nie tylko chwilowe wyzwanie dla sektora finansowego, ale oznaka trwałej zmiany w podejściu do bezpieczeństwa cyfrowego. Wdrożenie rozporządzenia, szczególnie w zakresie rejestru dostawców i incydentów, jest pierwszym krokiem do stworzenia spójnych standardów na poziomie całej Unii Europejskiej.

Kolejne regulacje, takie jak NIS2, poszerzają spektrum wymagań i obejmują coraz więcej podmiotów. W praktyce oznacza to, że instytucje finansowe, które już teraz zainwestują w odpowiednie narzędzia i procedury, będą znacznie lepiej przygotowane na kolejne etapy cyfrowej transformacji oraz rosnące wymogi nadzorcze w przyszłości.

Autor/źródło
Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane do konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Popularne w tym tygodniu

Rafał Brzoska na czele deregulacji? Premier Tusk ma dosyć sloganów i proponuje zmiany

Czy urzędnicy, którzy mieli zajmować się deregulacją przepisów prawa...

Nielegalne przetwarzanie danych z bazy POL-on w celu analizy szczepień na uczelniach – decyzja UODO

Prezes Urzędu Ochrony Danych Osobowych (UODO) udzielił upomnień czterem...

Kamery nasobne dla ratowników medycznych – ochrona czy zagrożenie dla prywatności?

Wprowadzenie kamer nasobnych dla zespołów ratownictwa medycznego jest jednym...

Debata nad artykułem 212 Kodeksu karnego: wolność mediów kontra ochrona dobrego imienia

Rada Polskich Mediów wystosowała apel do rządzących o całkowite...

Małopolska Prokuratura oskarża 17 osób za przemyt narkotyków o wartości 94 mln zł

31 stycznia 2025 roku Małopolski Wydział Zamiejscowy Departamentu do...

Podobne tematy

Automatyzacja w medycynie – jak nowoczesne systemy IT rewolucjonizują placówki zdrowotne?

Sektor ochrony zdrowia stawia na rozwój technologiczny, a automatyzacja...

Daniel Pawelczyk Finance Directorem i członkiem zarządu w TD SYNNEX Poland

TD SYNNEX (NYSE: SNX) poinformował o powołaniu Daniela Pawelczyka...

CGI przejmuje Novatec – ekspansja na rynki cyfrowe w Niemczech i Hiszpanii

CGI (TSX: GIB.A) (NYSE: GIB), jedna z największych niezależnych...

Komputery kwantowe – rewolucja, która zmieni oblicze informatyki

Komputery kwantowe i dokonywane z ich pomocą obliczenia kwantowe...

41% cyberataków w UE to DoS, DDoS i RDoS – ENISA ujawnia skalę zagrożenia

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała pierwszy raport...

EY: AI zaczyna wpływać na strategie rekrutacyjne firm w Polsce

Wyniki badania EY – Jak polskie firmy wdrażają AI...

Może Cię zainteresować

Polecane kategorie