Prezydencja Rady Unii Europejskiej i Parlamentu Europejskiego osiągnęły wstępne porozumienie w sprawie treści DORA (Digital Operational Resilience Act – Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego).
DORA ma na celu stworzenie wspólnych wymogów dotyczących bezpieczeństwa wykorzystania technologii informatycznej (ICT) przez podmioty finansowe (min. banki i ubezpieczycieli). Obecne obowiązki z tym związane są rozproszone w różnych aktach prawnych, niewystarczające i wymagają harmonizacji. Komisja przedstawiła wniosek zawierający projekt DORA we wrześniu 2020 r. W grudniu ubiegłego roku rozpoczęło się pierwsze czytanie projektu w Parlamencie Europejskim.
DORA – obowiązki
DORA przewiduje obowiązki w zakresie stworzenia wewnętrznych procedur i polityk, celem efektywnego wewnętrznego (tzn. przez sam podmiot finansowy) zarządzania ryzykiem. W zarządzanie to wchodzi przeprowadzanie audytów ICT, odzyskiwania danych oraz raportowania o incydentach ICT. Rozporządzenie przewiduje też obowiązek corocznego przeprowadzania szeregu testów cyfrowej odporności. Jednocześnie podmioty otrzymują nowe narzędzie do realizacji obowiązków – możliwość współdzielenia ze sobą informacji o incydentach.
Oprócz zarządzania ryzykiem wewnętrznym, rozporządzenie kładzie nacisk na zarządzanie ryzykiem zewnętrznym, dotyczącym dostawców usług IT. Ma przewidywać wymogi co do kształtu zobowiązań umownych stron, standardów ochrony, które mają zapewniać dostawcy oraz prowadzenie rejestru zawartych umów i raportowanie o nich do organu nadzoru. Podmioty będą musiały też klasyfikować, czy czynności objęte outsourcingiem IT mają dla nich charakter kluczowy. Oczywiście DORA obejmować ma więc także outsourcing chmurowy. Co więcej, stworzy również nowe ramy organizacyjne dla krajowych i unijnych organów nadzoru.
Standardy techniczne
DORA obejmuje bardzo szeroki zakres działalności podmiotów finansowych, bo związany z IT, który częściowo już jest regulowany przez różnego rodzaju rekomendacje unijnych i krajowych organów nadzoru (min. dotyczący outosurcingu chmurowego), dlatego interesująca pozostaje relacja między wszystkimi wydanymi dokumentami. Można jednak zakładać, że w im większym stopniu dany podmiot spełnia już obecne wymagania, tym mniej zmian będzie on musiał czynić celem dostosowania się do DORA, które jednak bazuje na istniejących już rozwiązaniach. Tymczasem europejskie organy nadzoru pracują nad stworzeniem konkretnych standardów technicznych w zakresie bezpieczeństwa. Dopiero wówczas możliwa i konieczna będzie weryfikacja zgodności z nimi stosowanych już przez podmioty finansowe rozwiązań.