O czym powinny pamiętać banki dostosowując się do rozporządzenia DORA?

O czym powinny pamiętać banki dostosowując się do rozporządzenia DORA?
Justyna Wilczyńska-Baraniak, Partner EY Law, Lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Podczas Forum Bezpieczeństwa Banków o tym, z jakimi problemami będą się mierzyć banki, dostosowując się do Rozporządzenia UE o Cyfrowej Odporności Sektora Finansowego (dalej: „DORA” z ang. Digital Operation Resilience Act) rozmawialiśmy z adwokat Justyną Wilczyńską-Baraniak, Partnerem EY Law, Liderem Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.

„Mogę odwołać się do badań, które przeprowadziliśmy w sektorze bankowym wspólnie z ZBP. Badaliśmy gotowość banków do wdrożenia DORA” –  mówiła mec. Justyna Wilczyńska-Baraniak, Partner EY Law, Lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.

„Banki, które wchodzą w skład Komitetu Bezpieczeństwa ZBP w większości przypadków stwierdziły, że są w miarę dobrze przygotowane do wdrożenia tego rozporządzenia” – dodała.

Jej zdaniem wynika to z faktu, że DORA ma charakter powszechnie obowiązującego prawa, jednak merytoryczny zakres rozporządzenia nie jest zupełnie nowy dla banków. Pewne elementy funkcjonowania ICT zostały już z powodzeniem wdrożone w polskim sektorze bankowym, w oparciu o dotychczasowe przepisy powszechnie obowiązujące, wytyczne oraz rekomendacje organów nadzorczych zarówno polskich, jak i europejskich.

Czas na samoocenę w zakresie bezpieczeństwa

DORA jest jednym z elementów pakietu dla cyfrowych finansów, stworzonego przez Komisję Europejską: jej głównym celem jest utworzenie i wprowadzenie regulacji, które zwiększą bezpieczeństwo w cyfrowym sektorze finansowym UE.

Nowe przepisy będą stanowić swoisty „kodeks” dla szeroko rozumianego obszaru ICT (ang. Information and Communication Technologies) i wykorzystania go przez instytucje finansowe. DORA będzie miała wpływ zarówno na podmioty finansowe, jak i na zewnętrznych dostawców usług ICT, którzy od teraz będą podlegać bezpośredniemu nadzorowi właściwych organów europejskich i krajowych.

Należy docenić fakt powstania zharmonizowanych przepisów w zakresie odporności cyfrowej, które umożliwią stworzenie jednolitego rynku cyfrowego dla sektora finansowego w UE i tym samym zwiększą jego konkurencyjność na świecie.

Zdaniem naszej rozmówczyni – banki powinny jak najszybciej dokonać samooceny w zakresie bezpieczeństwa informacji, celem identyfikacji luk względem obowiązków nakładanych przez DORA.

Już teraz warto rozpocząć proces dostosowywania się do DORA

Jedynym wnioskiem z raportu, który może niepokoić jest to, że banki w tym momencie zastanawiają się, jak znacznie muszą zwiększyć zatrudnienie specjalistów z obszaru cyberbezpieczeństwa, aby sprostać wymogom tego rozporządzenia, które zacznie obowiązywać 17 stycznia 2025 roku – zwracała uwagę Justyna Wilczyńska-Baraniak, Lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.

W jej opinii banki nie wiedzą ile czasu zajmie im dostosowanie się do DORA. Dlatego jej zdaniem najważniejsze jest rozpoczęcie procesu dostosowywania się do nowych przepisów już teraz, bo może się okazać, że przygotowania do zmian będą trwały dłużej od obecnych przewidywań bankowców.

Nasza rozmówczyni powiedziała, że nie wiadomo jak do wdrożenia DORA są przygotowane podmioty, które do tej pory nie podlegały podobnym regulacjom, w przeciwieństwie do banków.

Dlatego jej zdaniem trzeba jak najszybciej ustalić, którzy dostawcy krytyczni będą objęci regulacjami DORA.

 Justyna Wilczyńska-Baraniak, Lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law zwraca uwagę na Dyrektywę NIS 2, która dotyczy cyberbezpieczeństwa nie tylko w sektorze bankowym, ale także w innych obszarach gospodarki. Dyrektywa NIS 2 nowelizuje przepisy unijne w zakresie regulowanym poprzednio Dyrektywą NIS.

Fakt, że jest to dyrektywa powoduje, że państwa członkowskie UE będą musiały implementować jej postanowienia do krajowego porządku prawnego. Tymczasem przepisy rozporządzenia działają bezpośrednio i nakładają obowiązki bezpośrednio na instytucje finansowe.

Dobrze by było, aby obowiązki wynikające z rozporządzenia DORA i dyrektywy NIS 2 zaczęły obowiązywać mniej więcej w tym samym czasie. Mamy jednak taką sytuację, że państwa członkowskie UE, w tym Polska mają czas na implementację przepisów NIS2 do października 2024, zaś obowiązek stosowania DORA rozpoczyna się 4 miesiące później tj. od 17 stycznia 2025. Do tego jeszcze należy dołożyć wytyczne KNF, które powinny być spójne z wprowadzanymi zmianami w obszarze bezpieczeństwa informacji.

Jak podkreślała nasza rozmówczyni – regulacje europejskie powinny bezpośrednio wpłynąć na praktykę nadzorczą UKNF. Jeżeli te same obowiązki będą regulowane w inny sposób przez Rekomendacje KNF, Komunikat Chmurowy lub Wytyczne EBA w zakresie outsourcingu lub zarządzania ICT, to przepisy DORA będą miały pierwszeństwo.

Przypomniała, że w panelu, w którym uczestniczyła podczas Forum Bezpieczeństwa Banków zapowiedziano, że KNF dokona przeglądu swoich wytycznych pod kątem ich zgodności z rozporządzeniem DORA.

„Wydaje mi się, że ten krok jest kluczowy do tego, aby zapewnić podmiotom bezpieczeństwo związane z tym, że działają w sposób odpowiedni i zgodnie z regulacjami, aby nie były obciążone ryzykiem kar finansowych, które również są przewidziane przez Rozporządzenie DORA” –  podkreśliła Justyna Wilczyńska-Baraniak, Lider Zespołu Prawa Własności Intelektualnej, Technologii i Danych Osobowych w Kancelarii EY Law.

Źródło: BANK.pl