Exercitation ullamco laboris nis aliquip sed conseqrure dolorn repreh deris ptate velit ecepteur duis.
Exercitation ullamco laboris nis aliquip sed conseqrure dolorn repreh deris ptate velit ecepteur duis.
W dniu 14 grudnia 2022 roku, w Dzienniku Urzędowym Unii Europejskiej zostało opublikowane Rozporządzenie DORA, mające na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług technologii informacyjno-komunikacyjnych tj. ICT, na rynku finansowym. Rozporządzenie wejdzie w życie 17 stycznia 2025 r.
DORA jest odpowiedzią na narastającą potrzebę wypracowania wspólnotowych rozwiązań legislacyjnych w zakresie wzmocnienia cyberbezpieczeństwa usług finansowych. Rozporządzenie DORA znajduje bezpośrednie zastosowanie i co do zasady nie wymaga implementacji lub wydania krajowych przepisów służących jej stosowaniu, poza ściśle określonymi wyjątkami, tj. przede wszystkim w zakresie przepisów ustanawiających kary administracyjne czy sankcje karne.
DORA skierowana jest głównie do instytucji rynku finansowego, w tym przede wszystkim do:
Rozporządzenie DORA znajduje zastosowanie także do zewnętrznych dostawców usług ICT. Zewnętrzny dostawca usług ICT to przedsiębiorstwo świadczące usługi ICT. Usługi ICT to usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.
DORA znajduje zastosowanie do dostawców technologii informacyjno-komunikacyjnych (ICT), ponieważ aktualnie zapotrzebowanie na takie usługi stale rośnie, a ponadto firmy stają się coraz bardziej zależne od zewnętrznych dostawców usług ICT, co przedkłada się na podatność na zakłócenia łańcucha dostaw i obniżenie bezpieczeństwo danych.
Zwiększenie odporności na powyższe zagrożenia, na gruncie rozporządzenia DORA, mają zapewnić właściwe zapisy umowne z dostawcami ICT. Aby te właściwe zapisy wprowadzić, należy wcześniej zidentyfikować:
Umowy dotyczące korzystania z usług ICT powinny obejmować przede wszystkim następujące elementy:
Dodatkowo, umowy dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje powinny dodatkowo obejmować m.in. następujące elementy:
Poza dostosowywaniem umów, DORA nakłada szereg obowiązków z zakresu wewnętrznego zarządzania ryzykiem:
W związku z powyższym, część firm może chcieć uzyskać dodatkowe zabezpieczenie, polegające na otrzymaniu od Zewnętrznego dostawcy usług ICT oświadczenia, iż system którego uzywają nie posiada żadnych ukrytych funkcjonalności, poza tymi o których mowa jest w udostępnianych repozytoriach, co miałoby gwarantować firmie określony (wymagany) poziom bezpieczeństwa. Rozporządzenie DORA nie wymaga wydawania takich oświadczeń przez dostawców usług ICT, w związku z tym nie ma konieczności ich uprzedniego przygotowywania.