DORA – przygotuj się na zmiany!
Nasi eksperci pomogą Państwa firmie przygotować się do wdrożenia obowiązków wynikających z rozporządzenia DORA.
Zachęcamy do wypełnienia formularza, aby porozmawiać o tym jak sprawnie i efektywnie przeprowadzić ten proces.
Potrzebujesz wsparcia w dostosowaniu Twojej organizacji do nowych obowiązków wynikających z DORA?
Wypełnij formularz, a nasz konsultant skontaktuje się z Tobą, aby o tym porozmawiać.
Wiadomość została wysłana
Co to jest rozporządzenie DORA?
Rozporządzenie DORA (Digital Operational Resilience Act) to część unijnego pakietu legislacyjnego dotyczącego finansów cyfrowych. Ma na celu zaktualizowanie regulacji w obszarze technologii finansowych oraz zharmonizowanie procesów i standardów odporności cyfrowej w całym sektorze finansowym.
Od kiedy obowiązuje rozporządzenie DORA?
Rozporządzenie DORA obowiązuje od 16 stycznia 2023 roku. Adresaci nowych przepisów mają czas na przygotowanie się do 17 stycznia 2025 roku.
Kogo dotyczy DORA?
DORA dotyczy zwiększenia odporności operacyjnej i cyberbezpieczeństwa sektora finansowego. Obejmuje firmy ubezpieczeniowe, instytucje kredytowe, instytucje płatnicze i pieniądza elektronicznego, a także dostawców technologii ICT, w tym usług chmury obliczeniowej.
Podmioty objęte rozporządzeniem:
- instytucje kredytowe,
- instytucje płatnicze,
- instytucje pieniądza elektronicznego,
- firmy inwestycyjne,
- dostawcy usług w zakresie kryptoaktywów,
- emitenci kryptoaktywów,
- emitenci tokenów powiązanych z aktywami oraz emitenci znaczących tokenów powiązanych z aktywami,
- centralne depozyty papierów wartościowych,
- kontrahenci centralni,
- systemy obrotu,
- repozytoria transakcji,
- zarządzający alternatywnymi funduszami inwestycyjnymi,
- spółki zarządzające,
- dostawcy usług w zakresie udostępniania informacji,
- zakłady ubezpieczeń i zakłady reasekuracji,
- pośrednicy ubezpieczeniowi,
- pośrednicy reasekuracyjni i pośrednicy oferujący ubezpieczenia uzupełniające,
- instytucje pracowniczych programów emerytalnych,
- agencje ratingowe,
- biegli rewidenci i firmy audytorskie,
- administratorzy kluczowych wskaźników referencyjnych,
- dostawcy usług finansowania społecznościowego,
- repozytoria sekurytyzacji,
- zewnętrzni dostawcy usług ICT.
Obowiązki wynikające z DORA?
Objęte rozporządzeniem podmioty muszą określić wymogi dotyczące ciągłości działania przy zdarzeniach z udziałem podwykonawców i dostawców zewnętrznych oraz wprowadzić ramowe zasady zarządzania ryzykiem ICT, w tym ryzykiem związanym z zewnętrznymi dostawcami. Należy korzystać z aktualnych systemów ICT i je utrzymywać, wdrożyć polityki i procedury związane z bezpieczeństwem ICT, a także utworzyć procedury do zarządzania sytuacjami awaryjnymi w zakresie ICT. Ważne jest zgłaszanie poważnych zdarzeń ICT do odpowiednich organów w odpowiednim czasie, oraz przeprowadzanie regularnych testów penetracyjnych i ćwiczeń dotyczących reakcji na zdarzenia oraz ciągłości działania.
Pięć filarów DORA
- zarządzanie ryzykiem ICT,
- proces zarządzanie incydentami,
- testowanie odporności,
- zarządzanie ryzykiem współpracy z zewnętrznymi dostawcami,
- wymiana informacji dot. zagrożeń cybernetycznych.
Nadzór i egzekucja
Zgodnie z DORA, naruszenie postanowień może skutkować nałożeniem kar finansowych przez organy nadzoru. DORA przyznaje państwom członkowskim uprawnienia do określania kar administracyjnych lub środków naprawczych.
Dlaczego warto zaufać EXATEL?
Ponad 30-letnie doświadczenie w branży
20 certyfikatów cyberbezpieczeństwa m.in. CISM, CISA, CISSP, OSCP, CEH, OSCE
99,98% gwarantowanego SLA
30 zatrudnionych ekspertów od cyberbezpieczeństwa
