DORA: nowe zadania dla zarządów banków oraz firm IT

DORA: nowe zadania dla zarządów banków oraz firm IT
Fot. stock.adobe.com / Bussarin
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
O najważniejszych rozwiązaniach, które wprowadza zatwierdzone przez Radę Europejską w dniu 28 listopada 2022 roku rozporządzenie DORA, pisze Karol Mórawski w najnowszym numerze Miesięcznika Finansowego BANK. Prezentujemy fragment jego artykułu.

Kluczowym zadaniem obowiązanych instytucji będzie stworzenie ram zarządzania ryzykiem teleinformatycznym oraz ich regularny, coroczny audyt, a także sporządzenie i wdrożenie polityki BCM w obszarze cyfrowym, zawierającej również reguły tworzenia backupów oraz odzyskiwania zasobów informacji na wypadek wystąpienia incydentu.

Odpowiedzialność za spełnienie wymogów, ustanowionych przez DORA, spoczywać ma na zarządach poszczególnych podmiotów, których zadaniem będzie m.in. właściwy rozdział kompetencji w zakresie zarządzania ryzykiem cyfrowym, zapewnienie adekwatnych środków na realizację stosownych działań w tej sferze oraz przygotowanie planów ciągłości działania wraz z mechanizmami pozwalającymi na jak najszybsze przywrócenie funkcjonowania podmiotu po wystąpieniu incydentu.

Czytaj także: Safebank: DORA i cyberodporność banków

Testy przynajmniej raz w roku

Rozporządzenie wprowadza również szczegółowe kryteria dotyczące testowania cyberodporności instytucji, w tym jej kluczowych zasobów IT.

Próby tego typu powinny być przeprowadzane nie rzadziej niż co roku, a w przypadku podmiotów o charakterze istotnym wymagane będą dodatkowe, dogłębne testy, kompleksowo obejmujące wszystkie wykorzystywane systemy.

Kolejnym obowiązkiem instytucji finansowych będzie wdrożenie strategii obejmującej dobór dostawców technologii oraz zasady późniejszej współpracy z nimi.

Czytaj także: Safebank 2022: jak szeroka współpraca sektora finansowego?

Dwa lata na wprowadzenie zmian

To przepis o charakterze przełomowym, bowiem daje podstawy do kontroli firm IT przez organy nadzorcze, w tym uzyskiwania od tych podmiotów informacji niezbędnych do wykonywania czynności kontrolnych oraz nakładania na dostawców technologii współpracujących z bankami kar pieniężnych w przypadku niedostarczenia wymaganych danych.

Czytaj także: Safebank: Zadania banków w przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu

Na wdrożenie nowych zasad instytucje finansowe oraz ich partnerzy z sektora IT będą mieć równe dwa lata, taki bowiem okres vacatio legis przewidzieli autorzy pakietu.

Pełny tekst artykułu jest dostępny w grudniowym 2022 numerze Miesięcznika Finansowego BANK.

Źródło: Miesięcznik Finansowy BANK