DORA: nowe zadania dla zarządów banków oraz firm IT
Kluczowym zadaniem obowiązanych instytucji będzie stworzenie ram zarządzania ryzykiem teleinformatycznym oraz ich regularny, coroczny audyt, a także sporządzenie i wdrożenie polityki BCM w obszarze cyfrowym, zawierającej również reguły tworzenia backupów oraz odzyskiwania zasobów informacji na wypadek wystąpienia incydentu.
Odpowiedzialność za spełnienie wymogów, ustanowionych przez DORA, spoczywać ma na zarządach poszczególnych podmiotów, których zadaniem będzie m.in. właściwy rozdział kompetencji w zakresie zarządzania ryzykiem cyfrowym, zapewnienie adekwatnych środków na realizację stosownych działań w tej sferze oraz przygotowanie planów ciągłości działania wraz z mechanizmami pozwalającymi na jak najszybsze przywrócenie funkcjonowania podmiotu po wystąpieniu incydentu.
Czytaj także: Safebank: DORA i cyberodporność banków
Testy przynajmniej raz w roku
Rozporządzenie wprowadza również szczegółowe kryteria dotyczące testowania cyberodporności instytucji, w tym jej kluczowych zasobów IT.
Próby tego typu powinny być przeprowadzane nie rzadziej niż co roku, a w przypadku podmiotów o charakterze istotnym wymagane będą dodatkowe, dogłębne testy, kompleksowo obejmujące wszystkie wykorzystywane systemy.
Kolejnym obowiązkiem instytucji finansowych będzie wdrożenie strategii obejmującej dobór dostawców technologii oraz zasady późniejszej współpracy z nimi.
Czytaj także: Safebank 2022: jak szeroka współpraca sektora finansowego?
Dwa lata na wprowadzenie zmian
To przepis o charakterze przełomowym, bowiem daje podstawy do kontroli firm IT przez organy nadzorcze, w tym uzyskiwania od tych podmiotów informacji niezbędnych do wykonywania czynności kontrolnych oraz nakładania na dostawców technologii współpracujących z bankami kar pieniężnych w przypadku niedostarczenia wymaganych danych.
Czytaj także: Safebank: Zadania banków w przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu
Na wdrożenie nowych zasad instytucje finansowe oraz ich partnerzy z sektora IT będą mieć równe dwa lata, taki bowiem okres vacatio legis przewidzieli autorzy pakietu.
Pełny tekst artykułu jest dostępny w grudniowym 2022 numerze Miesięcznika Finansowego BANK.