Czy pracuję w firmie podlegającej pod rozporządzenie DORA? Przykłady różnych organizacji.

17.05.2024
  • Kontrola ryzyka

Rozporządzenie DORA ma na celu wzmocnienie odporności operacyjnej sektora finansowego w dzisiejszym cyfrowym świecie. Stanowi ono część pakietu finansów cyfrowych (zaprezentowanego przez Komisję Europejską). Jego głównym celem jest zwiększenie zdolności instytucji finansowych do przeciwdziałania cyberzagrożeniom i innym wyzwaniom operacyjnym w środowisku cyfrowym. Zakres podmiotów, które objęte są działaniem rozporządzenia, jest szeroki i możesz zastanawiać się, czy organizacja, w której pracujesz, również pod nie podlega. Pomożemy Ci znaleźć odpowiedź na to pytanie w tym artykule.

Jak DORA wpłynie na pracę osób zatrudnionych w działach Compliance, Security oraz IT?

Dla pracowników działów Compliance, Security oraz IT oznacza to konieczność ciągłego monitorowania i dostosowywania się do obowiązujących przepisów, tworzenia i wdrażania ścisłych procedur związanych z ochroną danych oraz regularnego raportowania działań zgodności. Może to także oznaczać konieczność uczestnictwa w audytach i kontroli przeprowadzanych przez organy regulacyjne. Dlatego pracownicy tych działów będą musieli być szczególnie świadomi i odpowiedzialni za przestrzeganie norm regulacyjnych oraz podejmować aktywne działania w celu zapewnienia zgodności z wymaganiami DORA.

Kto jest podmiotem finansowym według DORA?

DORA w definicjach w artykule 3 nie tłumaczy definicji podmiotu finansowego. Dokument jednak wskazuje zakres stosowania rozporządzenia w artykule 2, w którym przedstawia 21 kategorii podmiotów, których liczbę ocenia na około 22 tysięcy organizacji w Unii Europejskiej. 

Poniższa zagregowana lista nie jest grupą skończoną, a jedynie przykładem podmiotów, które muszą zachować zgodność z DORA.

Sektor bankowy i ubezpieczeniowy

Grupa zawierająca w sobie największe podmioty. Wszystkie banki w Polsce i Europie, podmioty na rynku ubezpieczeniowym muszą zapewnić operacyjną odporność cyfrową i raportować ją do KNF. Zapewnienie zgodności z DORA będzie dla nich dużym wyzwaniem z racji na skalę działań i poziom skomplikowania zadania. Ilość procesów, systemów ICT oraz dostawców w tych podmiotach jest największa patrząc na całą grupę firm podległych pod DORA.

Z drugiej strony, DORA stosowana jest również do małych pośredników (którzy zatrudniają więcej niż 10 pracowników lub ich bilans wynosi więcej niż 2 mln Euro). Zapewnienie zgodności z rozporządzeniem może być dla nich trudne przy prawdopodobnie nierozbudowanych strukturach compliance.

Kredytodawcy i pożyczkodawcy

Jest to częściowo zbieżna grupa z poprzednią, ale zawiera się w niej również wiele prywatnych pożyczkodawców. Każdy z nich powinien zweryfikować, czy mieści się w grupie wyłączonej spod działania rozporządzenia zawartej w artykule 2 pkt. 3. Jeżeli nie mieszczą się w definicjach grupy wyłączonej, muszą zachować zgodność z rozporządzeniem. 

Giełdy 

Wszystkie podmioty zapewniające możliwości handlu jak Giełda Papierów Wartościowych, czy Towarowa Giełda Energii. W kontekście GPW warto również wspomnieć, że zgodność muszą również zachować domy maklerskie i wszelkiego rodzaju brokerzy. Rozporządzenie zalicza te podmioty do grupy firm inwestycyjnych.

Płatności

Dostawcy usług płatniczych jak PayU, Dotpay, Przelewy24 i wiele innych muszą również zachowywać zgodność z rozporządzeniem. Są to również m.in krajowe instytucje płatnicze czy  biura usług płatniczych wymienione przez KNF w tym repozytorium. Kolejnymi grupami są kantory wymiany walut, platformy finansowania społecznościowego oraz podmioty związane z rynkiem kryptowalut.

Podmioty działające na rynku inwestycyjnym

Jeżeli Twoja firma działa na rynku inwestycyjnym, prawdopodobnie DORA dotyczy również Ciebie. Firmy inwestycyjne, towarzystwa funduszy inwestycyjnych i zarządzający funduszami, w tym alternatywne fundusze inwestycyjne muszą respektować wymagania rozporządzenia. Dotyczy to zarządzających AFI, których aktywa przekraczają 100 milionów Euro. Wszystkie podmioty, które zarządzają pracowniczymi programami emerytalnymi – PPE i pracowniczymi programami kapitałowymi – PPK.

Podmioty związane z branżą finansową

DORA wymienia również podmioty, które pozornie mogłyby nie zostać zakwalifikowane jako podmioty finansowe. Są to m.in agencje ratingowe, administratorzy kluczowych wskaźników referencyjnych oraz dostawcy usług w zakresie raportowania danych.

Dostawcy usług ICT

Zewnętrzni dostawcy usług ICT, choć nie są bezpośrednio uznani za podmioty finansowe, są wskazani jako podmioty świadczące usługi dla podmiotów finansowych. Z tego powodu również podlegają pod zakres stosowania DORA. Kim według DORA jest dostawca usług ICT

Zapewnia on podmiotom finansowym usługi ICT, czyli cyfrowe usługi oraz usługi danych, świadczone w sposób ciągły poprzez systemy ICT dla przynajmniej jednego użytkownika wewnątrz lub poza organizacją. To też dostawa sprzętu komputerowego i usługi wsparcia technicznego, takimi jak aktualizacje oprogramowania lub firmware’u przez dostawcę sprzętu. Z tego powodu praktycznie każdy podmiot, który świadczy jakiekolwiek usług podmiotom finansowym poprzez systemy ICT jest dostawcą usług ICT.

Dostawcy hardware

Jest to grupa wprost wspomniana w definicji usługi ICT “łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego”. W tej grupie są również wszelkie usługi związane z utrzymaniem, aktualizacją oraz naprawą hardware wykorzystywanego przez podmiot finansowy.

Dostawcy software

Każdy system wykorzystywany przez podmiot finansowy jest usługą ICT. Z tego powodu wszystkie firmy dostarczające podmiotom finansowym swoje produkty w formie systemów IT podlegają pod rozporządzenie DORA. Wszelkie aplikacje mobilne, webowe, rozwiązania chmurowe, czy popularne ostatnio systemy AI są zobligowane do realizacji obowiązków związanych z DORA.

Zaliczają się do tego też wszelkiego rodzaju firmy, które oferują rozwiązania technologiczne w zakresie fintech, paperless, insurtech czy też lendtech. Startupy muszą o tym pamiętać chcąc nawiązać współpracę z m.in bankami. Z racji na swoją skalę działalności oraz zwinność, która wynika z małej ilości opisanych procedur zapewnienie zgodności z DORA może być dla nich trudnym zadaniem.

Dostawcy usług IT

Software house’y, firmy realizujące usługi w zakresie cyber security i inne, które świadczą usługi IT dla podmiotów finansowych podlegają pod rozporządzenie. Rozwój oprogramowania, body leasing, consulting IT, consulting w zakresie architektury, integracje danych, budowanie modeli sztucznej inteligencji dla podmiotów finansowych, testowanie oprogramowania, rozwój UI/UX, ale również usługi technologiczne w zakresie infrastruktury marketingu cyfrowego, mogą podlegać pod rozporządzenie.

Dostawcy usług nie związanych z IT

Definicja usług ICT wskazuje, że są to “usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT”. Oznacza to, że każda firma, która świadczy usługi cyfrowe poprzez systemy ICT musi również być zgodna z wymaganiami rozporządzenia DORA. Z tego powodu, jeżeli zastanawiasz się, czy Twoja firma podlega pod DORA, prawdopodobnie tak jest.

W opracowanym przez nas harmonogramie odnajdziesz różne zadania, które mogą Cię dotyczyć w procesie wdrożenia rozporządzenia DORA.

Uproszczone ramy oraz wyłączenia z DORA

Warto też zauważyć, że niektóre podmioty finansowe, które są objęte regulacją DORA, mogą korzystać z uproszczonych ram zarządzania ryzykiem związanym z ICT. Dotyczy to mniejszych i niepowiązanych firm inwestycyjnych, instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366, instytucji wspomnianych wcześniej, instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE oraz małych instytucji pracowniczych programów emerytalnych. Dodatkowo nie wszystkie obowiązki związane z DORA są nakładane na mikroprzedsiębiorstwa. Rozporządzenie definiuje je, jako podmiot finansowy inny niż system obrotu, kontrahent centralny, repozytorium transakcji lub centralny depozyt papierów wartościowych, który zatrudnia mniej niż 10 osób i którego roczny obrót lub bilans roczny nie przekracza 2 mln EUR.

Z drugiej strony rozporządzenie jednoznacznie wyznacza również grupę podmiotów, które mimo bycia przedstawicielem branży finansowej, nie podlegają przepisom DORA. Są to:

  • Zarządzający alternatywnymi funduszami inwestycyjnymi, zgodnie z dyrektywą 2011/61/UE;
  • Zakłady ubezpieczeń i zakłady reasekuracji, zgodnie z dyrektywą 2009/138/WE;
  • Instytucje pracownicze programów emerytalnych obsługujące programy emerytalne z maksymalnie 15 uczestnikami;
  • Osoby fizyczne lub prawne zwolnione zgodnie z dyrektywą 2014/65/UE;
  • Pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające będący mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami;
  • Instytucje świadczące żyro pocztowe, zgodnie z dyrektywą 2013/36/UE.

Członkowie Wspólnoty Europejskiej mają prawo indywidualnie wyłączyć spod działania rozporządzenia konkretne podmioty mające siedzibę na ich terytorium oraz te które są określone w dyrektywie 2013/36/UE. Polska, jako jeden z członków Wspólnoty może wyłączyć Spółdzielcze Kasy Oszczędnościowo-Kredytowe oraz Bank Gospodarstwa Krajowego. 

Podstawowe obowiązki podmiotów finansowych

Podmioty finansowe mają szereg zadań, które można podzielić na cztery kategorie. Są to: zarządzanie ryzykiem ICT, zgłaszanie incydentów, testowanie odporności operacyjnej oraz monitorowanie ryzyka stron trzecich ICT.

Zarządzanie ryzykiem ICT

Podmioty finansowe muszą posiadać solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z usługami ICT, które są częścią ogólnego systemu zarządzania ryzykiem. Ramy umożliwiają adekwatną reakcję na ryzyko związane z ICT oraz zapewniają wysoki poziom operacyjnej odporności cyfrowej. Ramy zarządzania ryzykiem związanych z ICT obejmują różnego rodzaju dokumentację, jak strategie, polityki, procedury oraz narzędzia ICT niezbędne do należytej ochrony zasobów informacyjnych i ICT. 

Zarządzanie incydentami ICT

Podmioty finansowe są zobligowane do opracowania, wdrożenia oraz realizacji procedur zarządzania incydentami związanymi z usługami ICT, których efektem powinna być kompetencja do wykrywania i zarządzania nimi. W związku z tym, podmioty finansowe muszą rejestrować wszystkie takie incydenty oraz istotne cyberzagrożenia. Dodatkowo należy ustanowić odpowiednie procedury i procesy zapewniające spójne i zintegrowane monitorowanie. Należy również zapewnić obsługę incydentów związanych z ICT, w tym zgłaszanie ich do właściwych organów.

Testowanie operacyjnej odporności cyfrowej

Podmioty finansowe muszą posiadać program testowania operacyjnej odporności cyfrowej, który ma na celu ocenę gotowości do reagowania na incydenty związane z technologią informatyczną oraz wprowadzanie działań naprawczych. Program obejmuje różnorodne oceny, testy, metodyki, praktyki i narzędzia, które należy stosować zgodnie z innymi przepisami regulacyjnymi. Podczas realizacji tego programu, podmioty finansowe muszą przyjąć podejście oparte na analizie ryzyka, uwzględniając zmieniające się środowisko ryzyka związanego z technologią informatyczną oraz inne czynniki wpływające na ryzyko.

Monitorowanie ryzyka stron trzecich ICT

Podmioty finansowe są w pełni odpowiedzialne za swoją współpracę z podmiotami trzecimi w zakresie usług ICT. To oznacza, że wszelkie awarie, incydenty oraz inne zagrożenia dla poufności, integralności, dostępności i autentyczności danych klientów podmiotów finansowych, które miały miejsce z winy dostawcy ICT, są przenoszone na odpowiedzialność podmiotu finansowego. Zarządzanie ryzykiem ze strony dostawców zewnętrznych jest prowadzone z uwzględnieniem charakteru, skali i znaczenia zależności w obszarze ICT oraz istotności usług finansowych.

Proporcjonalność stosowania

Podmioty finansowe mając nałożone na siebie obowiązki wynikające z DORA, powinny pamiętać o zasadzie proporcjonalności. Obowiązki te muszą zostać przefiltrowane uwzględniając swoją wielkość, ogólny profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji. Z tego powodu wdrożenie DORA w każdej organizacji jest inne i musi zostać poprzedzone dokładną analizą. 

Zostało mniej niż rok na wdrożenie rozporządzenia. W celu ułatwienia pracy warto skorzystać z gotowych rozwiązań takich jak metodyki i harmonogramy przygotowane przez doświadczonych ekspertów. Jako RIG DORA chcemy pomóc podmiotom finansowym z tym zadaniem, dlatego przygotowaliśmy gotowy do pobrania harmonogram wdrożenia rozporządzenia z podziałem na role i zadania. Niezależnie od tego, czy reprezentujesz zarząd, dział IT lub bezpieczeństwa, dział prawny, czy też dział compliance, przedstawiliśmy w dokumencie, co możesz zrobić w celu skutecznego i szybkiego wdrożenia DORA.

Podobne wpisy z kategorii