Raport Specjalny | Bezpieczeństwo Instytucji Finansowych | DORA nadchodzi
Karol Mórawski
Ataki hakerskie, wymierzone w instytucje finansowe, w tym banki, stanowią poważne zagrożenie nie tylko dla nich, mogą też zakłócić stabilność całego systemu finansowego. Do takich wniosków doszła Europejska Rada ds. Ryzyka Systemowego, a kompleksową strategię skutecznego przeciwdziałania tego rodzaju zagrożeniom zarysowano w unijnym pakiecie przepisów dotyczących ryzyka cyfrowego. Jego głównym elementem jest rozporządzenie w sprawie operacyjnej odporności sektora finansowego (Digital Operational Resilence ACT – DORA).
Cel: harmonizacja
Celem regulacji jest w pierwszej kolejności stworzenie norm zwiększających cyberodporność instytucji finansowych i poziom ochrony ich klientów przed działaniami przestępczymi, przy jednoczesnym utrzymaniu czy wręcz stymulowaniu digitalizacji rynku finansowego, która – realizowana w sposób odpowiedzialny – jest w stanie zminimalizować wskazane ryzyka. Jednym z głównych wyzwań była niewystarczająca harmonizacja przepisów, odnoszących się do odporności cyfrowej sektora finansowego, co wynikało z faktu, iż obszar ten dotychczas regulowany był zasadniczo przepisami prawa krajowego, a regulacje unijne odnosiły się doń jedynie punktowo.
DORA ma zmienić ten stan rzeczy, w kompleksowy sposób obejmując cały rynek finansowy. Na liście podmiotów podlegających przepisom rozporządzenia znalazły się nie tylko banki czy ubezpieczyciele, ale również szeroko rozumiane instytucje rynku kapitałowego, operatorzy płatności i podmioty z branży kryptowalutowej, agencje ratingowe i firmy audytorskie, a także dostawcy technologii dla tych instytucji. Nie wszystkie spośród podmiotów obowiązanych będą objęte nowymi regulacjami w równym stopniu; twórcy DORA zwrócili szczególną uwagę na zasadę proporcjonalności, uwzględniając zarówno skalę prowadzonej działalności, jej obszar wraz z powstającymi weń zagrożeniami, jak i podatność na ataki i inne ryzyka teleinformatyczne.
Nowe zadania dla zarządów banków oraz… firm IT
Kluczowym zadaniem obowiązanych instytucji będzie stworzenie ram zarządzania ryzykiem teleinformatycznym oraz ich regularny, coroczny audyt, a także sporządzenie i wdrożenie polityki BCM w obszarze cyfrowym, zawierającej również reguły tworzenia backupów oraz odzyskiwania zasobów informacji na wypadek wystąpienia incydentu. Odpowiedzialność za spełnienie wymogów, ustanowionych przez DORA, spoczywać ma na zarządach poszczególnych podmiotów, których zadaniem będzie m.in. właściwy rozdział kompetencji w zakresie zarządzania ryzykiem cyfrowym, zapewnienie adekwatnych środków na realizację stosownych działań w tej sferze oraz przygotowanie planów ciągłości działania wraz z mechanizmami pozwalającymi na jak najszybsze przywrócenie funkcjonowania podmiotu po wystąpieniu incydentu.
Rozporządzenie wprowadza również szczegółowe kryteria odnośnie testowania cyberodporności instytucji, w tym jej kluczowych zasobów IT. Próby tego typu powinny być przeprowadzane nie ...
Artykuł jest płatny. Aby uzyskać dostęp można:
- zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
- wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
- wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
- zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.
Uwaga:
- zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
- wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).
Komunikat dla uczestników Programu Wiedza online:
- bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI