Skip to main content
Wróć do listy

Rozporządzenie DORA – został tylko miesiąc

Od 17 stycznia 2025 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Od tego dnia instytucje finansowe i inne podmioty objęte rozporządzeniem muszą być w pełni zgodne z jego wymaganiami. 

W związku z wejściem w życie rozporządzenia DORA zebraliśmy kilka kluczowych zagadnień porządkujących wiedzę na temat bieżących przepisów w kontekście Banków Spółdzielczych. 

Czym jest DORA? 

Rozporządzenie DORA (Digital Operational Resilience Act) jest regulacją UE dotyczącą cyfrowej odporności instytucji finansowych, przygotowanej w ramach unijnej strategii finansów cyfrowych. Ma na celu zapewnienie stabilności operacyjnej w obliczu zagrożeń cyberbezpieczeństwa poprzez zarządzanie ryzykiem ICT, raportowanie incydentów oraz testowanie systemów. Swym zasięgiem obejmuje nie tylko instytucje finansowe, ale również dostawców usług ICT. Rozporządzenie harmonizuje standardy cyberbezpieczeństwa w całej Unii Europejskiej. 

Najważniejsze obszary 

Istnieje kilka kluczowych celów, jakie ma spełnić DORA: 

  • Zwiększenie odporności cyfrowej sektora finansowego. 
  • Harmonizacja przepisów w UE i wprowadzenie spójnych standardów -  ujednolicenie wymagań dotyczących cyberbezpieczeństwa i odporności cyfrowej w całej Unii Europejskiej.  
  • Wzmocnienie zarządzania ryzykiem ICT. 
  • Poprawa raportowania incydentów - usprawnienie procesu zgłaszania i analizy incydentów związanych z ICT.  
  • Wzmocnienie testowania odporności cyfrowej - nacisk na regularne i rygorystyczne testowanie systemów ICT instytucji finansowych.  
  • Nadzór nad dostawcami usług ICT, celem zmniejszenia ryzyka związanego z outsourcingiem i gwarancja, że zewnętrzni dostawcy spełniają wysokie standardy bezpieczeństwa. 
  • Zwiększenie świadomości i kompetencji DORA w zakresie cyberbezpieczeństwa wśród pracowników sektora finansowego, od szeregowych pracowników po najwyższe kierownictwo. 

Banki Spółdzielcze a DORA 

Obowiązki wynikające z DORA dotyczą każdego podmiotu nadzorowanego indywidulanie, także w przypadku grup kapitałowych lub zrzeszeń banków spółdzielczych. Bank ocenia samodzielnie swój profil ryzyka i na jego podstawie stosuje DORA. Należy pamiętać, że wymagania DORA mają formę rozporządzenia Parlamentu i Rady UE i jako takie muszą być bezwzględnie stosowane, oczywiście z uwzględnieniem zasady proporcjonalności. 

Obowiązki dla Zarządów Banków 

  • Bezpośrednia odpowiedzialność zarządu 

Dotychczas obowiązki ICT wynikały z rekomendacji lub wytycznych. DORA ma charakter prawa powszechnie obowiązującego organy administracji oraz sądy. Zgodnie z rozporządzeniem to zarząd ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT podmiotu finansowego. 

  • Obowiązek ciągłego dokształcania 

Członkowie Zarządu muszą na bieżąco aktualizować swoją wiedzę i umiejętności wystarczające do zrozumienia i oceny ryzyka związanego z ICT i jego wpływu na operacje podmiotu finansowego, współmiernych do zarządzanego ryzyka związanego z ICT. Brak wiedzy w tym obszarze może stanowić podstawę kary w przypadku zaistnienia incydentu. 

  • Sankcje − odpowiedzialność cywilna i administracyjna 

DORA przewiduje sankcje w przypadku niedostosowania się do przewidzianych regulacji. Są nimi: 

  1. Tymczasowe lub stałe zaprzestanie określonej praktyki lub postępowania. 
  1. Kary pieniężne nakładane na osobę fizyczną lub Bank oraz potencjalne roszczenia. 
  1. Upublicznienie informacji wskazującej tożsamość osoby fizycznej lub wskazanie nazwy Banku oraz charakteru naruszenia jako reguła. 

DORA wskazuje na odpowiedzialność Banku, osób zasiadających w Zarządzie i osób pracujących dla Banku. Kara administracyjna zależy od wielu czynników, dlatego ważne jest minimalizowanie jej uciążliwości poprzez zarzadzanie ryzykiem ICT. 

Wsparcie dla Klientów VerdIT  

Rozporządzenie DORA stawia przed instytucjami bankowymi szereg wymagań i wyzwań. Do 17 stycznia 2025 roku organizacja musi dostosować swoje ramy zarządzania ryzykiem, obejmujące: strategie, polityki, procedury i narzędzia ICT, do swojej specyfiki operacyjnej. Kluczowe jest także zarządzanie ryzykiem związanym z zewnętrznymi dostawcami ICT.   

W odpowiedzi na potrzeby Klientów razem z partnerem – firmą EY – w pierwszym kwartale 2024 r. zrealizowaliśmy projekt audytu zgodności z wymaganiami DORA, w którym wzięło udział ponad 70 Banków Spółdzielczych. W kolejnym kroku przygotowaliśmy szeroką ofertę rozwiązań z zakresu cyberbezpieczeństwa (CyberCheck). Dzięki niej można szczegółowo przeanalizować swoją sytuację i zabezpieczyć wybrane obszary oraz stale monitorować infrastrukturę teleinformatyczną, aby ograniczyć ryzyko. 
 
Wszyscy nasi Klienci otrzymali gotowy do podpisu aneks do umowy z VerdIT wprowadzający klauzule DORA. Ponadto współpracująca z nami Kancelaria prawna może też świadczyć dla Państwa usługę dostosowania umów do wymogów wynikających z rozporządzenia DORA.  

Jeśli potrzebują Państwo dodatkowego wsparcia w zakresie dostosowania do nadchodzących regulacji zachęcamy do kontaktu na adres Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.