Rozporządzenie DORA ma na celu wzmocnienie odporności operacyjnej sektora finansowego w dzisiejszym cyfrowym świecie. Stanowi ono część pakietu finansów cyfrowych (zaprezentowanego przez Komisję Europejską). Jego głównym celem jest zwiększenie zdolności instytucji finansowych do przeciwdziałania cyberzagrożeniom i innym wyzwaniom operacyjnym w środowisku cyfrowym. Zakres podmiotów, które objęte są działaniem rozporządzenia, jest szeroki i możesz zastanawiać się, czy organizacja, w której pracujesz, również pod nie podlega. Pomożemy Ci znaleźć odpowiedź na to pytanie w tym artykule.
Jak DORA wpłynie na pracę osób zatrudnionych w działach Compliance, Security oraz IT?
Dla pracowników działów Compliance, Security oraz IT oznacza to konieczność ciągłego monitorowania i dostosowywania się do obowiązujących przepisów, tworzenia i wdrażania ścisłych procedur związanych z ochroną danych oraz regularnego raportowania działań zgodności. Może to także oznaczać konieczność uczestnictwa w audytach i kontroli przeprowadzanych przez organy regulacyjne. Dlatego pracownicy tych działów będą musieli być szczególnie świadomi i odpowiedzialni za przestrzeganie norm regulacyjnych oraz podejmować aktywne działania w celu zapewnienia zgodności z wymaganiami DORA.
Kto jest podmiotem finansowym według DORA?
DORA w definicjach w artykule 3 nie tłumaczy definicji podmiotu finansowego. Dokument jednak wskazuje zakres stosowania rozporządzenia w artykule 2, w którym przedstawia 21 kategorii podmiotów, których liczbę ocenia na około 22 tysięcy organizacji w Unii Europejskiej.
Poniższa zagregowana lista nie jest grupą skończoną, a jedynie przykładem podmiotów, które muszą zachować zgodność z DORA.
Sektor bankowy i ubezpieczeniowy
Grupa zawierająca w sobie największe podmioty. Wszystkie banki w Polsce i Europie, podmioty na rynku ubezpieczeniowym muszą zapewnić operacyjną odporność cyfrową i raportować ją do KNF. Zapewnienie zgodności z DORA będzie dla nich dużym wyzwaniem z racji na skalę działań i poziom skomplikowania zadania. Ilość procesów, systemów ICT oraz dostawców w tych podmiotach jest największa patrząc na całą grupę firm podległych pod DORA.
Z drugiej strony, DORA stosowana jest również do małych pośredników (którzy zatrudniają więcej niż 10 pracowników lub ich bilans wynosi więcej niż 2 mln Euro). Zapewnienie zgodności z rozporządzeniem może być dla nich trudne przy prawdopodobnie nierozbudowanych strukturach compliance.
Kredytodawcy i pożyczkodawcy
Jest to częściowo zbieżna grupa z poprzednią, ale zawiera się w niej również wiele prywatnych pożyczkodawców. Każdy z nich powinien zweryfikować, czy mieści się w grupie wyłączonej spod działania rozporządzenia zawartej w artykule 2 pkt. 3. Jeżeli nie mieszczą się w definicjach grupy wyłączonej, muszą zachować zgodność z rozporządzeniem.
Giełdy
Wszystkie podmioty zapewniające możliwości handlu jak Giełda Papierów Wartościowych, czy Towarowa Giełda Energii. W kontekście GPW warto również wspomnieć, że zgodność muszą również zachować domy maklerskie i wszelkiego rodzaju brokerzy. Rozporządzenie zalicza te podmioty do grupy firm inwestycyjnych.
Płatności
Dostawcy usług płatniczych jak PayU, Dotpay, Przelewy24 i wiele innych muszą również zachowywać zgodność z rozporządzeniem. Są to również m.in krajowe instytucje płatnicze czy biura usług płatniczych wymienione przez KNF w tym repozytorium. Kolejnymi grupami są kantory wymiany walut, platformy finansowania społecznościowego oraz podmioty związane z rynkiem kryptowalut.
Podmioty działające na rynku inwestycyjnym
Jeżeli Twoja firma działa na rynku inwestycyjnym, prawdopodobnie DORA dotyczy również Ciebie. Firmy inwestycyjne, towarzystwa funduszy inwestycyjnych i zarządzający funduszami, w tym alternatywne fundusze inwestycyjne muszą respektować wymagania rozporządzenia. Dotyczy to zarządzających AFI, których aktywa przekraczają 100 milionów Euro. Wszystkie podmioty, które zarządzają pracowniczymi programami emerytalnymi – PPE i pracowniczymi programami kapitałowymi – PPK.
Podmioty związane z branżą finansową
DORA wymienia również podmioty, które pozornie mogłyby nie zostać zakwalifikowane jako podmioty finansowe. Są to m.in agencje ratingowe, administratorzy kluczowych wskaźników referencyjnych oraz dostawcy usług w zakresie raportowania danych.
Dostawcy usług ICT
Zewnętrzni dostawcy usług ICT, choć nie są bezpośrednio uznani za podmioty finansowe, są wskazani jako podmioty świadczące usługi dla podmiotów finansowych. Z tego powodu również podlegają pod zakres stosowania DORA. Kim według DORA jest dostawca usług ICT?
Zapewnia on podmiotom finansowym usługi ICT, czyli cyfrowe usługi oraz usługi danych, świadczone w sposób ciągły poprzez systemy ICT dla przynajmniej jednego użytkownika wewnątrz lub poza organizacją. To też dostawa sprzętu komputerowego i usługi wsparcia technicznego, takimi jak aktualizacje oprogramowania lub firmware’u przez dostawcę sprzętu. Z tego powodu praktycznie każdy podmiot, który świadczy jakiekolwiek usług podmiotom finansowym poprzez systemy ICT jest dostawcą usług ICT.
Dostawcy hardware
Jest to grupa wprost wspomniana w definicji usługi ICT “łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego”. W tej grupie są również wszelkie usługi związane z utrzymaniem, aktualizacją oraz naprawą hardware wykorzystywanego przez podmiot finansowy.
Dostawcy software
Każdy system wykorzystywany przez podmiot finansowy jest usługą ICT. Z tego powodu wszystkie firmy dostarczające podmiotom finansowym swoje produkty w formie systemów IT podlegają pod rozporządzenie DORA. Wszelkie aplikacje mobilne, webowe, rozwiązania chmurowe, czy popularne ostatnio systemy AI są zobligowane do realizacji obowiązków związanych z DORA.
Zaliczają się do tego też wszelkiego rodzaju firmy, które oferują rozwiązania technologiczne w zakresie fintech, paperless, insurtech czy też lendtech. Startupy muszą o tym pamiętać chcąc nawiązać współpracę z m.in bankami. Z racji na swoją skalę działalności oraz zwinność, która wynika z małej ilości opisanych procedur zapewnienie zgodności z DORA może być dla nich trudnym zadaniem.
Dostawcy usług IT
Software house’y, firmy realizujące usługi w zakresie cyber security i inne, które świadczą usługi IT dla podmiotów finansowych podlegają pod rozporządzenie. Rozwój oprogramowania, body leasing, consulting IT, consulting w zakresie architektury, integracje danych, budowanie modeli sztucznej inteligencji dla podmiotów finansowych, testowanie oprogramowania, rozwój UI/UX, ale również usługi technologiczne w zakresie infrastruktury marketingu cyfrowego, mogą podlegać pod rozporządzenie.
Dostawcy usług nie związanych z IT
Definicja usług ICT wskazuje, że są to “usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT”. Oznacza to, że każda firma, która świadczy usługi cyfrowe poprzez systemy ICT musi również być zgodna z wymaganiami rozporządzenia DORA. Z tego powodu, jeżeli zastanawiasz się, czy Twoja firma podlega pod DORA, prawdopodobnie tak jest.
W opracowanym przez nas harmonogramie odnajdziesz różne zadania, które mogą Cię dotyczyć w procesie wdrożenia rozporządzenia DORA.
Uproszczone ramy oraz wyłączenia z DORA
Warto też zauważyć, że niektóre podmioty finansowe, które są objęte regulacją DORA, mogą korzystać z uproszczonych ram zarządzania ryzykiem związanym z ICT. Dotyczy to mniejszych i niepowiązanych firm inwestycyjnych, instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366, instytucji wspomnianych wcześniej, instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE oraz małych instytucji pracowniczych programów emerytalnych. Dodatkowo nie wszystkie obowiązki związane z DORA są nakładane na mikroprzedsiębiorstwa. Rozporządzenie definiuje je, jako podmiot finansowy inny niż system obrotu, kontrahent centralny, repozytorium transakcji lub centralny depozyt papierów wartościowych, który zatrudnia mniej niż 10 osób i którego roczny obrót lub bilans roczny nie przekracza 2 mln EUR.
Z drugiej strony rozporządzenie jednoznacznie wyznacza również grupę podmiotów, które mimo bycia przedstawicielem branży finansowej, nie podlegają przepisom DORA. Są to:
- Zarządzający alternatywnymi funduszami inwestycyjnymi, zgodnie z dyrektywą 2011/61/UE;
- Zakłady ubezpieczeń i zakłady reasekuracji, zgodnie z dyrektywą 2009/138/WE;
- Instytucje pracownicze programów emerytalnych obsługujące programy emerytalne z maksymalnie 15 uczestnikami;
- Osoby fizyczne lub prawne zwolnione zgodnie z dyrektywą 2014/65/UE;
- Pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające będący mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami;
- Instytucje świadczące żyro pocztowe, zgodnie z dyrektywą 2013/36/UE.
Członkowie Wspólnoty Europejskiej mają prawo indywidualnie wyłączyć spod działania rozporządzenia konkretne podmioty mające siedzibę na ich terytorium oraz te które są określone w dyrektywie 2013/36/UE. Polska, jako jeden z członków Wspólnoty może wyłączyć Spółdzielcze Kasy Oszczędnościowo-Kredytowe oraz Bank Gospodarstwa Krajowego.
Podstawowe obowiązki podmiotów finansowych
Podmioty finansowe mają szereg zadań, które można podzielić na cztery kategorie. Są to: zarządzanie ryzykiem ICT, zgłaszanie incydentów, testowanie odporności operacyjnej oraz monitorowanie ryzyka stron trzecich ICT.
Zarządzanie ryzykiem ICT
Podmioty finansowe muszą posiadać solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z usługami ICT, które są częścią ogólnego systemu zarządzania ryzykiem. Ramy umożliwiają adekwatną reakcję na ryzyko związane z ICT oraz zapewniają wysoki poziom operacyjnej odporności cyfrowej. Ramy zarządzania ryzykiem związanych z ICT obejmują różnego rodzaju dokumentację, jak strategie, polityki, procedury oraz narzędzia ICT niezbędne do należytej ochrony zasobów informacyjnych i ICT.
Zarządzanie incydentami ICT
Podmioty finansowe są zobligowane do opracowania, wdrożenia oraz realizacji procedur zarządzania incydentami związanymi z usługami ICT, których efektem powinna być kompetencja do wykrywania i zarządzania nimi. W związku z tym, podmioty finansowe muszą rejestrować wszystkie takie incydenty oraz istotne cyberzagrożenia. Dodatkowo należy ustanowić odpowiednie procedury i procesy zapewniające spójne i zintegrowane monitorowanie. Należy również zapewnić obsługę incydentów związanych z ICT, w tym zgłaszanie ich do właściwych organów.
Testowanie operacyjnej odporności cyfrowej
Podmioty finansowe muszą posiadać program testowania operacyjnej odporności cyfrowej, który ma na celu ocenę gotowości do reagowania na incydenty związane z technologią informatyczną oraz wprowadzanie działań naprawczych. Program obejmuje różnorodne oceny, testy, metodyki, praktyki i narzędzia, które należy stosować zgodnie z innymi przepisami regulacyjnymi. Podczas realizacji tego programu, podmioty finansowe muszą przyjąć podejście oparte na analizie ryzyka, uwzględniając zmieniające się środowisko ryzyka związanego z technologią informatyczną oraz inne czynniki wpływające na ryzyko.
Monitorowanie ryzyka stron trzecich ICT
Podmioty finansowe są w pełni odpowiedzialne za swoją współpracę z podmiotami trzecimi w zakresie usług ICT. To oznacza, że wszelkie awarie, incydenty oraz inne zagrożenia dla poufności, integralności, dostępności i autentyczności danych klientów podmiotów finansowych, które miały miejsce z winy dostawcy ICT, są przenoszone na odpowiedzialność podmiotu finansowego. Zarządzanie ryzykiem ze strony dostawców zewnętrznych jest prowadzone z uwzględnieniem charakteru, skali i znaczenia zależności w obszarze ICT oraz istotności usług finansowych.
Proporcjonalność stosowania
Podmioty finansowe mając nałożone na siebie obowiązki wynikające z DORA, powinny pamiętać o zasadzie proporcjonalności. Obowiązki te muszą zostać przefiltrowane uwzględniając swoją wielkość, ogólny profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji. Z tego powodu wdrożenie DORA w każdej organizacji jest inne i musi zostać poprzedzone dokładną analizą.
Zostało mniej niż rok na wdrożenie rozporządzenia. W celu ułatwienia pracy warto skorzystać z gotowych rozwiązań takich jak metodyki i harmonogramy przygotowane przez doświadczonych ekspertów. Jako RIG DORA chcemy pomóc podmiotom finansowym z tym zadaniem, dlatego przygotowaliśmy gotowy do pobrania harmonogram wdrożenia rozporządzenia z podziałem na role i zadania. Niezależnie od tego, czy reprezentujesz zarząd, dział IT lub bezpieczeństwa, dział prawny, czy też dział compliance, przedstawiliśmy w dokumencie, co możesz zrobić w celu skutecznego i szybkiego wdrożenia DORA.