Unia Europejska za pośrednictwem rozporządzenia DORA zobowiązała sektor finansowy do zwiększenia cyberochrony. Statystyki są alarmujące: w 2023 r. w aż 66 proc. polskich firmach odnotowano co najmniej jeden incydent naruszenia bezpieczeństwa, pokazuje raport Barometr Cyberbezpieczeństwa opracowany przez KPMG. Eksperci przestrzegają, że organizacje powinny kłaść większy nacisk na zapewnienie cyfrowej odporności. Dotyczy to zwłaszcza firm, które zarządzają wrażliwymi danymi.
Z artykułu dowiesz się:
- Jakie obowiązki na instytucje finansowe nakłada rozporządzenie DORA?
- W jakim zakresie regulacje opisane w DORA pokrywają się z ESG?
W rozporządzeniu Digital Operational Resilience Act (DORA) Unia Europejska opisała wymogi w zakresie cyberbezpieczeństwa wobec instytucji finansowych. Celem aktu jest zapewnienie cyfrowej odporności i bezpieczeństwa podmiotów działających w tym sektorze. Nowe regulacje są niezbędne, ponieważ liczba cyberprzestępstw rośnie z roku na rok. W 2023 r. odnotowano o 51 proc. więcej ataków typu ransomware niż w 2022 r. Według firmy Crowdstrike głównym celem hakerów są instytucje mające dostęp do danych wrażliwych, czyli m.in. banki.
W DORA określono wymagania dotyczące cyberbezpieczeństwa
Przykładu potwierdzającego, że sektor finansowy jest narażony na cyberataki, nie trzeba daleko szukać. W 2023 r. doszło do jednego z największych wycieków danych w historii branży. W jego wyniku ujawniono poufne informacje (numery kont, dane osobowe i historie transakcji) milionów klientów Citibanku. Śledztwo wykazało, że bank stał się ofiarą złożonego ataku hakerskiego, który wykorzystał słabe punkty w infrastrukturze IT organizacji.
Nie sposób jednak powstrzymać postępującej cyfryzacji w sektorze bankowym. Korzystanie z jej potencjału i tym samym ułatwianie dostępu do usług finansowych (np. używanie szybkich opcji płatniczych czy oferowanie wielu sposobów logowania) jest wręcz zjawiskiem pożądanym, budującym konkurencyjność firm. Jednak wprowadzanie nowych rozwiązań technologicznych wymaga zwiększenia zabezpieczeń przed cyberzagrożeniami. Aby uregulować te kwestie, Parlament Europejski i Rada Europejska 14 grudnia 2022 r. uchwaliły Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Akt wszedł w życie na początku 2023 r. Okres przygotowawczy miał trwać dwa lata, co oznacza, że od 17 stycznia 2025 r. wytyczne wskazane w dokumencie powinny być już włączone w działalności instytucji. Zobowiązane są do tego organizacje z sektora: banki, ubezpieczyciele i instytucje płatnicze, ale też zewnętrzni dostawcy usług informacyjno-komunikacyjnych (ICT), którzy z nimi współpracują.
Rozporządzenie wprowadza pojęcie ,,operacyjnej odporności cyfrowej” i definiuje ją jako ,,zdolność instytucji finansowej do budowania, zapewniania i przeglądu swojej integralności operacyjnej z perspektywy technologicznej”. Głównym celem DORA jest ujednolicenie i wzmocnienie wymagań dotyczących cyberbezpieczeństwa w całej branży finansowej UE. Oznacza to, że firmy finansowe muszą być przygotowane na cyberataki, awarie technologiczne czy inne sytuacje kryzysowe, które mogłyby wpłynąć na bezpieczeństwo oferowanych przez nie usług. Organizacja powinna też przewidywać i zapobiegać zakłóceniom usług ICT, a jeśli do nich dojdzie – szybko wznowić funkcjonowanie.
Obowiązki nakładane przez DORA
Zgodnie z DORA, podstawowe zadanie instytucji obejmuje wdrożenie kompleksowych ram zarządzania ryzykiem. W ten zakres wchodzą takie działania jak tworzenie zasad bezpieczeństwa, opracowanie sposobów wykrywania zagrożeń i reagowania na nie, a także planów działania na wypadek awarii. Wśród nałożonych na firmy szczegółowych obowiązków znalazły się takie działania jak:
- Ustanowienie ram zarządzania bezpieczeństwem cyfrowym w firmie, w tym poprzez określenie ról i zadań poszczególnych szczebli kadry;
- Opracowanie schematu zarządzania ryzykiem ICT, w tym procedur i środków służących identyfikacji, ocenie, monitorowaniu i ograniczaniu ryzyka ICT;
- Wdrożenie bezpiecznych i niezawodnych systemów, protokołów i narzędzi ICT w celu zapewnienia poufności, integralności i dostępności danych i usług;
- Zidentyfikowanie zasobów cyfrowych oraz ocena ich podatności na zagrożenia cybernetyczne;
- Zastosowanie odpowiednich środków w celu ochrony zasobów cyfrowych i zapobiegania incydentom cybernetycznym, np. poprzez inwestowanie w narzędzia i technologie cyberbezpieczeństwa oraz promowanie kultury świadomości bezpieczeństwa wśród pracowników.
Ustanowienie rozporządzenia DORA miało zachęcić firmy do zastosowania bardziej solidnych środków bezpieczeństwa. A w rezultacie do lepszej ochrony zasobów, w tym wrażliwych danych, na których opiera się sektor finansowy.
Wdrożenie regulacji opisanych w DORA i zasad ESG mają wiele wspólnego
Zgodność z wymogami ESG i cyberbezpieczeństwo sektora finansowego tylko z pozoru nie są ze sobą związane. Wśród unijnych organów regulacyjnych pojawiają się głosy podkreślające, że oba te obszary mają wspólny mianownik. Kwestie związane z cyberbezpieczeństwem i zarządzanie ryzykiem w tym obszarze wpisują się w zakres czynników zarządczych oraz społecznych. Przykładem jest np. realny wpływ DORA na kształt polityki firmy w zakresie obowiązków poszczególnych szczebli kadry w zarządzaniu ryzykiem.
Rozporządzenie motywuje też przedsiębiorstwa do wprowadzenia środków ochrony danych swoich klientów oraz planów reagowania na incydenty, aby zminimalizować wpływ cyberataku na krytyczne usługi lub zapobiec kradzieży tożsamości. Realizacja zadań z tego zakresu, ujawniona w ramach raportowania ESG, zwiększa zaufanie wśród konsumentów, inwestorów i innych grup interesariuszy. Dzięki wdrożeniu regulacji z DORA firmy chronią również siebie, zabezpieczając swoją strategię i know-how przed cyberatakami i innymi zagrożeniami z zewnątrz.
Wytyczne do interpretacji DORA (RTS)
Wskazówki opisane w wytycznych do interpretacji DORA (regulacyjne standardy techniczne, RTS), przygotowanych przez Europejskie Urzędy Nadzoru (EUN), wprost można określić jako wpisujące się w zarządzanie czynnikami ESG. Chodzi o rekomendację oceny dostawców, analogicznej do oceny łańcucha dostaw w przypadku raportowania ESG. Zgodnie z RTS taka weryfikacja powinna obejmować m. in. to, czy zewnętrzny dostawca usług ICT posiada wystarczające umiejętności dla bezpiecznej realizacji usług, specjalistyczną wiedzę oraz odpowiednie zasoby finansowe, ludzkie i techniczne, a także czy zapewnia niezbędne standardy bezpieczeństwa informacji. Ponadto proces powinien wykazać, czy partner postępuje etycznie i społecznie odpowiedzialnie, przestrzega praw człowieka, respektuje obowiązujące zasady ochrony środowiska, zapewnia odpowiednie warunki pracy, w tym stosuje się do zakazu pracy dzieci.
Kontrolę nad wdrażaniem rozwiązań DORA sprawuje Komisja Nadzoru Finansowego, co potwierdzono w nowelizacji przyjętej przez Radę Ministrów 6 maja 2025 r. KNF jest upoważniona m.in. do weryfikacji działalności podmiotów finansowych objętych regulacjami.
Jeśli wiadomość nie dotarła, prosimy o sprawdzenie folderu ze spamem.
W razie jakichkolwiek problemów zachęcamy do kontaktu na adres e-mail: kontakt@akademiaesg.pl
