Przejdź do zawartości

Rozporządzenie DORA

Z Wikipedii, wolnej encyklopedii
To jest stara wersja tej strony, edytowana przez Blakocha (dyskusja | edycje) o 12:38, 24 wrz 2024. Może się ona znacząco różnić od aktualnej wersji.
(różn.) ← poprzednia wersja | przejdź do aktualnej wersji (różn.) | następna wersja → (różn.)
Następująca wersja przejrzana tej strony, którą oznaczono 24 wrz 2024, była oparta na tej wersji.

Rozporządzenie o cyfrowej odporności operacyjnej (ang. Digital Operational Resilience Act, DORA) – rozporządzenie Unii Europejskiej 2022/2554 wymagające od podmiotów finansowych poprawy odporności operacyjnej w środowisku cyfrowym[1][2].

Cel

Celem rozporządzenia DORA jest wzmocnienie cyfrowej odporności operacyjnej podmiotów finansowych w UE i dostawców rozwiązań ICT (teleinformatycznych) dla sektora finansowego. DORA dąży do stworzenia jednolitych ram regulacyjnych na poziomie UE, które mają na celu ograniczenie podatności na zagrożenia cybernetyczne w całym łańcuchu wartości sektora finansowego. Dodatkowo, rozporządzenie ma na celu ujednolicenie krajowych przepisów dotyczących bezpieczeństwa systemów informatycznych w sektorze finansowym, co w efekcie ma przyczynić się do wzmocnienia odporności europejskiego rynku finansowego na cyberzagrożenia oraz incydenty związanych z technologiami ICT.

Zakres

Rozporządzenie dotyczy podmiotów finansowych i zewnętrznych dostawców usług ICT. Podmioty finansowe zdefiniowano w artykule 2 rozporządzenia. Są to:

  • instytucje kredytowe,
  • instytucje płatnicze,
  • dostawcy świadczący usługę dostępu do informacji o rachunku,
  • instytucje pieniądza elektronicznego,
  • firmy inwestycyjne,
  • dostawcy usług w zarkesie kryptoaktywów i emitenci tokenów powiązanych z aktywami,
  • centralne depozyty papierów wartościowych,
  • kontrahenci centralni,
  • systemy obrotu,
  • repozytoria transakcji,
  • zarządzający alternatywnymi funduszami inwestycyjnymi,
  • spółki zarządzające,
  • dostawcy usług w zakresie udostępniania informacji,
  • przedsiębiorstwa ubezpieczeniowe i reasekuracyjne,
  • pośrednicy ubezpieczeniowi, pośrednicy reasekuracyjni i pośrednicy ubezpieczeń uzupełniających,
  • instytucje pracowniczych programów emerytalnych,
  • agencje ratingowe,
  • administratorzy kluczowych wskaźników referencyjnych,
  • dostawcy usług finansowania społecznościowego,
  • repozytoria sekurytyzacji.

Rozporządzenie nie ma zastosowania do:

  • zarządzających alternatywnymi funduszami inwestycyjnymi, o których mowa w art. 3 ust. 2 dyrektywy 2011/61/UE
  • zakładów ubezpieczeń i zakładów reasekuracji, o których mowa w art. 4 dyrektywy 2009/138/WE
  • instytucji pracowniczych programów emerytalnych, które obsługują programy z liczbą uczestników nieprzekraczającej 15
  • osób fizycznych lub prawne zwolnionych zgodnie z art. 2 i 3 dyrektywy 2014/65/UE
  • pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników ubezpieczeń uzupełniających będących mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami
  • instytucji świadczących żyro pocztowe, o których mowa w art. 2 ust. 5 pkt 3 dyrektywy 2013/36/UE

Zasada proporcjonalności

Artykuł 4 definiuje zasadę proporcjonalności, tym samym przewiduje wyjątki dla mniejszych przedsiębiorstw, które są objęte zakresem rozporządzenia niezależnie od ich wielkości. Umożliwia to uproszczoną realizację niektórych wymagań zgodnie z ogólnym profilem ryzyka przedsiębiorstwa. Przykładem tego jest uproszczona struktura zarządzania ryzykiem ICT zgodnie z artykułem 16 w połączeniu ze standardem technicznym (RTS).

Struktura

Rozporządzenie składa się z 64 artykułów podzielonych na 9 rozdziałów:

  1. Postanowienia ogólne (art. 1–4)
  2. Zarządzanie ryzykiem ICT (art. 5–16)
  3. Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie (art. 17–23)
  4. Testowanie operacyjnej odporności cyfrowej (Art. 24–27)
  5. Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT (art. 28–44)
  6. Ustalenia dotyczące wymiany informacji (art. 45)
  7. Właściwe organy (art. 46–56)
  8. Akty delegowane (art. 57)
  9. Przepisy przejściowe i końcowe (art. 58–64)

Ponadto Europejskie Urzędy Nadzoru opracowują regulacyjne standardy techniczne (ang. regulatory technical standards, RTS) i wykonawcze standardy techniczne (ang. implementing technical standards, ITS), które po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej stają się również prawnie wiążące:

  1. RTS w sprawie ram zarządzania ryzykiem ICT (art. 15),
  2. RTS w sprawie uproszczonych ram zarządzania ryzykiem ICT (art. 16 ust. 3),
  3. RTS w sprawie klasyfikacji incydentów związanych z technologiami informatycznymi i zagrożeniami cybernetycznymi (art. 18 ust. 3),
  4. RTS w sprawie treści raportów dotyczących poważnych incydentów związanych z ICT (art. 20 (a)),
  5. ITS w sprawie standardowych formularzy, szablonów i procedur umożliwiających podmiotom finansowym zgłaszanie poważnych incydentów związanych z technologiami ICT (art. 20 (b)),
  6. RTS w zakresie testów penetracyjnych opartych na zagrożeniach (art. 26 ust. 11),
  7. ITS w sprawie standardowych szablonów na potrzeby rejestru informacji (art. 28 ust. 9),
  8. RTS w sprawie polityki korzystania z usług ICT (art. 28 ust. 10),
  9. RTS w sprawie specyfikacji elementów przy zlecaniu podwykonastwa usług ICT wspierających funkcje krytyczne lub istotne (art. 30 ust. 5),
  10. wytyczne dotyczące współpracy między Europejskimi Urzędami Nadzoru a właściwymi organami w zakresie struktury ram nadzoru (art. 32 ust. 7),
  11. RTS w sprawie harmonizacji warunków umożliwiających prowadzenie działalności nadzorczej (art. 41).

Przypisy

  1. Komisja Nadzoru Finansowego, Rozporządzenie DORA [online] [dostęp 2024-09-24] (pol.).
  2. Andrew Pattison: A Guide to the EU Digital Operational Resilience Act. Walter de Gruyter. ISBN 978-1-78778-453-6.

Linki zewnętrzne

Źródło: „https://pl.wikipedia.org/w/index.php?title=Rozporządzenie_DORA&oldid=74824134