Rozporządzenie DORA o operacyjnej odporności cyfrowej sektora finansowego już za niecały rok, 17 stycznia 2025 r., wejdzie w życie. Niedawno opublikowano projekt dostosowujący polskie ustawy do nowych wymagań. Jego postanowienia zwierają wytyczne dotyczące wdrożenia koniecznych działań związanych z bezpieczeństwem cyfrowym, a także dość surowe kary za niedostosowanie się do przepisów. Skala zmian, którą wywoła jest porównywalna do zmian, jakie spowodowało RODO.

Rozporządzenie DORA – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 

Jakie zmiany przynosi DORA i dla kogo?

DORA to akt, który jest bardzo ważnym elementem dokonującej się transformacji cyfrowej w UE. Znacznie zaostrza wymogi dotyczące cybrbezpieczeństwa dla cyfrowego sektora finansowego, fintechów oraz dostawców ICT. Szacowana liczba instytucji, dla których akt tworzy obowiązki to  22 000. Celem wdrożenia jego postanowień jest przede wszystkim zwiększenie odporności na cyberataki, awarie, a także błędy ludzkie.

Jakie obowiązki nakłada DORA na firmy?

Rozporządzenie nakłada na firmy szereg obowiązków, skupiając się na następujących obszarach: zarządzaniu ryzykiem ICT i incydentami związanymi z ICT, testowaniu cyfrowej odporności operacyjnej, zarządzaniu ryzykiem współpracy z zewnętrznymi dostawcami oraz wymianie informacji dotyczącej zagrożeń cybernetycznych. Do najważniejszych do wdrożenia zmian, można zaliczyć:

  • Przeprowadzenie testów odporności systemów IT – chodzi o symulacje ataków hakerskich, które pomogą firmom zidentyfikować słabe punkty w ich systemach informatycznych. Testy mają odbywać się co najmniej raz w roku, dla  kluczowych systemów i aplikacji teleinformatycznych.
  • Wdrożenie planów awaryjnych i procedur odzyskiwania danych – firmy muszą mieć opracowane plany postępowania na wypadek awarii systemów IT lub cyberataku.
  • Wzmocnienie ochrony danych osobowych – DORA kładzie nacisk na ochronę danych osobowych klientów i nakazuje firmom wdrożenie odpowiednich zabezpieczeń.
  • Zapewnienie szkoleń dla pracowników w zakresie cyberbezpieczeństwa – edukacja pracowników w zakresie cyberbezpieczeństwa jest kluczowa dla ochrony firm przed atakami.

Kontrole i kary za nieprzestrzeganie DORA

Te firmy, które na czas nie dostosują się do nowych wymogów, boleśnie odczują to w swoich portfelach. Kary finansowe mogą sięgnąć nawet 10% rocznego obrotu firmy, a w przypadku kluczowych dostawców usług ICT nawet 1% dziennego obrotu. Nad przestrzeganiem DORA będzie czuwać Komisja Nadzoru Finansowego (KNF). Będzie ona miała szerokie uprawnienia, m.in.:

  • Dostęp do dokumentów i danych firm – KNF będzie mogła żądać od firm dostępu do wszelkich dokumentów i danych, które uzna za istotne z punktu widzenia przestrzegania DORA.
  • Przeprowadzanie kontroli na miejscu – KNF będzie mogła przeprowadzać kontrole w siedzibach firm, aby sprawdzić, czy stosują się one do przepisów DORA.
  • Nakładanie kar pieniężnych – KNF będzie mogła nakładać kary pieniężne na firmy, które naruszają przepisy DORA.
  • Nakazywanie zaprzestania działań niezgodnych z DORA – KNF będzie mogła nakazać firmom zaprzestanie działań niezgodnych z DORA.
  • Zakazywanie pełnienia funkcji kierowniczych w zarządach i radach nadzorczych  – KNF będzie mogła wydać taki zakaz na czas do jednego roku, osobie odpowiedzialnej za naruszenie.

Kary za nieprzestrzeganie dość dotkliwe

KNF ma stosować kary w ten sposób, aby w pierwszej kolejności dążyć do zaprzestania naruszania i przywrócenia zgodności z rozporządzeniem. Dopiero w kolejnych krokach KNF będzie podejmować decyzje dotyczące kar finansowych. Mechanizm jest podobny do tego, który zastosowano przy wdrażaniu przepisów RODO. Kary za naruszenie DORA mogą być dotkliwe. W przypadku osób prawnych i jednostek organizacyjnych mogą sięgnąć 20,8 mln zł lub 10% rocznych przychodów, a dla osób fizycznych nawet 3 mln zł. KNF będzie mogła także podać do publicznej wiadomości dane osoby, np. prezesa, którego spółka popełniła naruszenie.

Kluczowi dostawcy usług ICT pod lupą

Oprócz kar pieniężnych, na kluczowych dostawców usług ICT mogą zostać nałożone kary okresowe, naliczane za każdy dzień niestosowania się do zaleceń nadzoru. Wysokość kary może sięgnąć nawet 1% dziennego obrotu dostawcy.

Czas na działanie

Do wejścia w życie DORA zostało niewiele czasu. Firmy, które jeszcze nie zaczęły przygotowań, powinny jak najszybciej nadrobić zaległości, bo DORA to przede wszystkim Inwestycja w cyberbezpieczeństwo, zwiększenie zaufania klientów i poprawa wizerunku firmy.

Na koniec, jeszcze krótkie podsumowanie:

DORA dotyczy wszystkich podmiotów sektora finansowego, m.in. banków, ubezpieczycieli, funduszy inwestycyjnych, domów maklerskich i firm fintech. Rozporządzenie wprowadza szereg nowych definicji, m.in. „incydentu cyberbezpieczeństwa”, „testu odporności” i „planu awaryjnego”. KNF opublikowała na swojej stronie internetowej szereg materiałów informacyjnych o DORA, w tym przewodnik dla firm i najczęściej zadawane pytania (FAQ).