DORA
DORA – pytania podstawowe i problemowe
Pytania o rozporządzenie DORA powtarzają się coraz częściej. I pewnie dalej będą – im bliżej do dnia stosowania rozporządzenia – tym więcej. Pytania te są podstawowe oraz problemowe. Pierwsze będziemy traktowali jako porządkujące wiedzę, a te drugie będą służyły do pogłębienia tematu i próby znalezienia kierunkowych odpowiedzi.
To rozporządzenie unijne w sprawie operacyjnej odporności cyfrowej. Dotyczy przede wszystkim sektora finansowego oraz największych dostawców usług ICT. DORA jest regulacją formalną i wymaga wprowadzenie wielu różnych procedur. Przepisy DORA będą miały zastosowanie od 17 stycznia 2025 r.
DORA określa szeroki katalog podmiotów objętych siłą rażenia rozporządzenia. Zaczyna od największych: instytucji kredytowych, czyli banków, czy zakładów ubezpieczeń. Dalej idzie przez instytucje płatnicze, firmy inwestycyjne (domy maklerskie), dostawców usług w zakresie kryptoaktywów (CASP), emitentów niektórych tokenów (np. tokenów powiązanych z aktywami – ART), by skończyć na dostawcach usług finansowania społecznościowego (crowdfunding).
Podstawa: 2 DORA
Nie wszyscy przedsiębiorcy z sektora finansowego będą podlegać pod DORA.
DORA nie będziemy stosować, w szczególności do:
1. niektórych zarządzających alternatywnymi funduszami inwestycyjnymi (małych ZAFI), gdzie łączną wartości aktywów AFI pod zarządzanie nie przekracza:
◼️100 mln EUR (w tym uwzględnia się aktywa nabyte za pomocą dźwigni),
◼️500 mln EUR (gdy ZAFI zarządza AFI, które nie stosują dźwigni finansowej i gdzie prawo do umorzenia nie może być wykonywane przez okres 5 lat od daty początkowej inwestycji),
2. niektórych zakładów ubezpieczeń i zakładów reasekuracji,
3. pośredników ubezpieczeniowych, reasekuracyjnych – jeśli są mikro, małymi lub średnimi przedsiębiorstwami*,
* mikroprzedsiębiorstwo – podmiot finansowy, który zatrudnia mniej niż 10 osób, i którego roczny obrót lub bilans roczny nie przekracza 2 mln EUR,
* małe przedsiębiorstwo – podmiot finansowy, który zatrudnia co najmniej 10 osób, ale mniej niż 50, i którego roczny obrót lub bilans przekracza 2 mln EUR, ale nie przekracza 10 mln EUR,
* średnie przedsiębiorstwa – podmiot finansowy, który nie jest małym przedsiębiorstwem, który zatrudnia mniej niż 250 osób, i którego roczny obrót nie przekracza 50 mln EUR lub którego roczny bilans nie przekracza 43 mln EUR.
Podstawa: 2.3., 3 DORA
Instytucje pożyczkowe nie znajdują się w katalogu podmiotów finansowych objętych rozporządzeniem DORA. Sytuacja ta zmieni, jeśli będzie to instytucja, który jednocześnie świadczy usługi płatnicze lub inwestycyjne (np. zarządza alternatywnymi funduszami inwestycyjnymi).
Podstawa: 2 DORA.
DORA zacznie być stosowana od 17 stycznia 2025 roku. Również o tej dacie przypomina KNF, jako o punkcie zero, gdzie trzeba być już gotowym i zgodnym z DORA.
Podstawa: 64 DORA
usługi cyfrowe i usługi w zakresie danych,
świadczone w sposób ciągły (nie chodzi więc o jednorazowe zlecenia) za pośrednictwem systemów ICT
wystarczy objęcie usługami co najmniej 1 użytkownika,
chodzi również o sprzęt komputerowy wraz z usługami wsparcia.
Usługami ICT NIE są tradycyjne usługi telefonii analogowej.
Podstawa: 2 pkt 21 DORA
Towarzystwo Funduszy Inwestycyjnych zarządzające FIO będą podlegały pod DORA.
TFI, które zarządzają wyłącznie AFI (FIZami oraz SFIO) będą podlegały pod DORA – zależnie od wysokości zarządzanych przez nie aktywów.
Według projektu prawa krajowego, KNF będzie mógł kontrolować:
◼️towarzystwa funduszy inwestycyjnych zarządzające otwartym funduszem inwestycyjnym
ORAZ
◼️towarzystwa posiadającego zezwolenie na zarządzanie alternatywnymi funduszami inwestycyjnymi.
Podstawa: 2.3., 3 DORA, 38 i 45 ustawy o funduszach inwestycyjnych.
Zarząd [1] określa, [2] zatwierdza i [3] nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, a także ponosi odpowiedzialność za ich [4] wdrożenie.
Podstawa: 5.2. DORA
Zarząd powinien być aktywny w kierowaniu oraz dostosowaniu zarządzania ryzykiem ICT. Zarząd odpowiada za podejmowanie środki zapewniające odporność systemów ICT. Zarząd uwzględnia istniejące w organizacji procesy oraz czynnik ludzki.
Zarząd odpowiada za:
1. zatwierdzanie i nadzorowanie ram zarządzania oraz za samo zarządzanie ryzykiem ICT,
2. wprowadzenie dokumentacji zapewniających przestrzeganie zasad dostępności, autentyczności, integralności i poufności danych,
3. podział ról i obowiązków w zakresie ICT,
4. określanie i zatwierdzanie strategii operacyjnej odporności cyfrowej,
5. określenie poziomu tolerancji ryzyka ICT,
6. zatwierdzanie i nadzorowanie wdrażania strategii ciągłości działania w zakresie ICT,
7. zatwierdzanie planów dotyczących wewnętrznych audytów ICT, audytów ICT i ich zmian oraz dokonywanie ich okresowego przeglądu,
8. przydzielenie odpowiedniego budżetu na potrzeby związane z obszarem operacyjnej odporności cyfrowej (cyberświadomość, operacyjna odporność, umiejętności ICT),
9. zatwierdzanie polityki w zakresie umów na usługi ICT dostarczane przez zewnętrznych dostawców i dokonywanie jej okresowego przeglądu,
10. aktualizowanie wiedzy i umiejętności niezbędnych do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na operacje podmiotu finansowego,
11. zarządzanie incydentami ICT,
12. program testowania operacyjnej odporności cyfrowej oraz dokonywania jego przeglądu.
Podstawa: 5.2., 6.1., 17.3. DORA
Strategia operacyjnej odporności cyfrowej to jeden z podstawowych dokumentów, który ma zapewnić ramy zarządzania ryzykiem ICT w podmiocie finansowym.
Za określenie i zatwierdzenie SOOC – odpowiada Zarząd.
SOC zawierać ma, m.in. informacje o:
1. wsparciu strategii biznesowej podmiotu finansowego,
2. limicie tolerancji ryzyka w odniesieniu do ryzyka ICT (zgodnie z apetytem na ryzyko danej organizacji),
3. celach w zakresie bezpieczeństwa informacji (wskaźniki efektywności oraz wskaźniki ryzyka),
4. architekturze IT,
5. mechanizmach służących do wykrywania incydentów ICT, zapobiegania ich skutkom oraz ochrony przed nimi,
6. obecnym statusie operacyjnej odporności (na podstawie liczby zgłoszonych poważnych incydentów oraz skuteczności środków zapobiegawczych),
7. wdrożeniu testowania operacyjnej odporności cyfrowej,
8. strategii komunikacji, w przypadku incydentów ICT, które trzeba ujawnić (a trzeba ujawnić przynajmniej incydenty poważne).
Podstawa: 5.2, 6.8, 14 DORA
[w opracowaniu]
Komisja Nadzoru Finansowego będzie organem właściwym odpowiedzialnym za przestrzeganie DORA.
Podstawa: 46 DORA, krajowe zmiany w ustawie o nadzorze nad rynkiem finansowym.