Felietony
Forum

DORA – kluczowe wyzwania w zakresie odporności cyfrowej instytucji finansowych

W aktualnym środowisku, zdominowanym przez technologię, implementacja strategii odporności cyfrowej dla instytucji finansowych staje się nieodzowna w obliczu rosnącego zakresu i złożoności cyberzagrożeń. Digital Operational Resilience Act (DORA), będący odpowiedzią na te wyzwania, wprowadza nowe normy regulacyjne, skupiające się na umożliwieniu instytucjom finansowym efektywnego zarządzania ryzykiem operacyjnym oraz utrzymaniu integralności systemów informatycznych.

Publikacja: 10.04.2024 06:00

Krzysztof Rożko, radca prawny, wspólnik zarządzający w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Krzysztof Rożko, radca prawny, wspólnik zarządzający w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Foto: materiały prasowe

Krzysztof Rożko , Tomasz Kamiński

Tomasz Kamiński, adwokat, wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

Tomasz Kamiński, adwokat, wspólnik w Krzysztof Rożko i Wspólnicy Kancelaria Prawna

materiały prasowe

Implementacja DORA w sektorze finansowym to nie tylko kwestia zgodności z regulacjami, ale przede wszystkim wyzwanie organizacyjne w zakresie strategicznej odporności cyfrowej. Instytucje finansowe muszą inwestować w zaawansowane technologie, procesy oraz pracowników, aby skutecznie przeciwdziałać rosnącym zagrożeniom cybernetycznym, utrzymując jednocześnie wysoki poziom usług finansowych i zaufanie klientów.

Poniżej wskazujemy kluczowe działy, na których instytucje finansowe powinny skoncentrować wysiłki w najbliższych miesiącach, aby sprostać wymaganiom DORA.

Ramy zarządzania ryzykiem ICT

Wdrożenie DORA stawia przed instytucjami finansowymi wyzwania związane z adaptacją do jednolitych, z zastrzeżeniem zasady proporcjonalności, standardów obowiązujących na całym rynku finansowym. Konieczne jest dostosowanie systemów monitorowania, raportowania oraz zarządzania ryzykiem operacyjnym, uwzględniając ryzyko działalności instytucji finansowych.

W tym celu rozporządzenie DORA wymaga, aby instytucje finansowe posiadały solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z ICT, które powinny m.in. obejmować strategie, polityki, protokoły i narzędzia ICT niezbędne do należytej i odpowiedniej ochrony nie tylko odpowiednich zasobów informacyjnych i zasobów ICT, ale także elementów fizycznych i infrastruktury, w celu zapewnienia ochrony zasobów informacyjnych i zasobów ICT przed ryzykiem, w tym przed uszkodzeniem i nieuprawnionym dostępem lub użytkowaniem.

Zaawansowane zagrożenia cybernetyczne

Instytucje finansowe jako podmioty operujące zasobami finansowymi stanowią atrakcyjny cel dla zaawansowanych ataków cybernetycznych. Dlatego kluczowym elementem odporności cyfrowej jest implementacja zaawansowanych systemów wykrywania, analizy anomalii oraz ciągłego monitorowania, aby skutecznie przeciwdziałać dynamicznym taktykom cyberprzestępców. W tym celu wymagana jest kompleksowa analiza potencjalnych zagrożeń i ryzyk, identyfikowanie krytycznych obszarów oraz określenie konsekwencji ewentualnych incydentów dla działalności instytucji finansowej.

Kompleksowe zarządzanie ryzykiem dostawców

Skuteczne zarządzanie ryzykiem dostawców ICT stanowi jeden z filarów zarządzania ryzykiem związanym z ICT. O ile dotychczas obowiązujące przepisy dotyczące outsourcingu w różnych sektorach rynku finansowego dość istotnie się od siebie różniły, o tyle na gruncie rozporządzenia DORA wszystkie instytucje finansowe będą musiały stosować się do bardzo szczegółowych regulacji dotyczących zarządzania ryzykiem zewnętrznych dostawców ICT.

Współpraca z różnymi dostawcami usług IT wprowadza elementy złożoności i potencjalne luki w bezpieczeństwie. Instytucje finansowe muszą stosować podejście oparte na analizie ryzyka dostawców, w tym audyty bezpieczeństwa, umowy SLA oraz monitoring działań partnerskich, aby zapewnić pełną kontrolę nad ryzykiem w całym ekosystemie dostawczym.

Pomimo konieczności spełnienia szeregu nowych wymogów zauważyć należy, iż pozytywnym aspektem ujednolicenia zasad, dotyczących zarządzaniem ryzykiem dostawców ICT, powinno być ułatwienie instytucjom finansowym egzekwowania od dostawców usług ICT dostosowania warunków oferowanych przez nich usług do wymogów nadzorczych, z czym dotychczas bywało różnie.

Utrzymanie ciągłości biznesu

DORA nakłada wymagania dotyczące utrzymania ciągłości biznesu w obliczu cyberincydentów. Instytucje finansowe muszą rozwijać plany odtwarzania systemów, testować je regularnie i dostosowywać do zmieniającego się krajobrazu cyberzagrożeń. Plany odtwarzania systemów i procedury awaryjne, koncentrujące się na minimalizowaniu czasu przestoju w przypadku incydentu, a także regularne symulacje awaryjne, aby sprawdzić skuteczność planów ciągłości biznesu – stanowią w myśl przepisów DORA nieodzowny elementem systemu bezpieczeństwa.

Rola czynnika ludzkiego i kształtowanie świadomości pracowników

Należy zwrócić szczególną uwagę na ludzki czynnik jako z jednej strony potencjalne źródło ryzyka, z drugiej zaś element sprawnie funkcjonującego systemu zarządzania ryzykiem zgodnie z modelem trzech linii obrony. Edukacja pracowników, zwłaszcza w obszarze cyberbezpieczeństwa, staje się kluczowym elementem strategii odporności cyfrowej. Wdrożenie programów szkoleniowych i świadomościowych wspierających podejście „człowiek jako ostatnia linia obrony” staje się niezbędne.

Wymaga to systematycznych programów szkoleń i kampanii podnoszących świadomość pracowników na temat cyberbezpieczeństwa, zwracając uwagę na specyficzne zagrożenia branży finansowej. Warto rozważyć wdrożenie programów świadomości informujących pracowników o aktualnych zagrożeniach i praktykach bezpieczeństwa.

Ochrona aktywów i zaufania klientów

Instytucje finansowe przechowują ogromne ilości danych klientów oraz zarządzają ich aktywami. Brak odpowiedniej ochrony może skutkować utratą wartościowych aktywów, roszczeniami klientów czy co najmniej utratą ich zaufania. W dzisiejszym dynamicznym i coraz bardziej skomplikowanym środowisku cyfrowym, niezależnie od sankcji związanych z niedostosowaniem do wymogów rozporządzenia DORA, brak prawidłowego wdrożenia adekwatnej do specyfiki działalności instytucji strategii odporności cyfrowej stanowiłby postępowanie zwyczajnie nieodpowiedzialne.

DORA jako katalizator zmian

Skala wyzwania związanego z koniecznością dostosowania do wymogów rozporządzenia DORA nie jest jednakowa dla wszystkich instytucji finansowych. Dla podmiotów, które na liście priorytetów wysoko stawiały dotychczas kwestie odporności cyfrowej, dbały o rozwój świadomości zagrożeń, regularnie analizowały poziom ryzyka ICT, stosowały mechanizmy mitygujące te ryzyka, a przede wszystkim z należytą starannością podchodziły do wypełniania wymogów wynikających nie tylko z przepisów powszechnie obowiązujących, ale także stanowisk i wytycznych nadzorczych (EBA, ESMA, EIOPA, KNF), dostosowanie się do obowiązków wynikających z nowej regulacji z pewnością będzie wiązało się z wysiłkiem dla całej organizacji, ale nie powinno stanowić rewolucji względem dotychczasowego podejścia do zarządzaniem ryzykiem ICT.

Dla pozostałych podmiotów dostosowanie do wymogów DORA oznaczać będzie konieczność gruntownej transformacji w zakresie zarządzania ryzykiem, która wymagać będzie nie tylko zmian polityk i procedur wewnętrznych, ale przede wszystkim zaangażowania często znacznie większych niż dotychczas zasobów w celu zapewnienia właściwego poziomu odporności cyfrowej.

Podsumowanie

Wdrożenie strategii odporności cyfrowej w kontekście DORA to wyzwanie w zakresie kultury organizacyjnej, procesów operacyjnych oraz systemów technologicznych. Kluczową rolę odgrywa integracja działań w zakresie cyberbezpieczeństwa z zarządzaniem ryzykiem, co stanowi nieodłączny element strategicznej gotowości na cyfrowe wyzwania współczesnego sektora finansowego.

Wdrożenie odporności cyfrowej to proces dynamiczny, który wymaga ciągłego dostosowywania się do zmieniających się zagrożeń. Instytucje finansowe powinny angażować się w ciągłe doskonalenie, inwestując w nowoczesne technologie i edukację, aby skutecznie przeciwdziałać ewolucji zagrożeń cybernetycznych.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Parkiet

Publicystyka Felietony
Ludwik Sobolewski, były prezes GPW i BVB, adwokat, autor książek i publikacji w mediach społeczności
Felietony
Pracowita majówka polska
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Materiał Promocyjny
Sprawdź Ofertę Powitalną z Lokatą w Citi Handlowy. Oferta ważna do 22.05.2024 r.
Advertisement
Piotr Neidek analityk BM mBank
Felietony
Starożytne wskazówki dla współczesnych
Robert Morawski, specjalista ds. podatków
Felietony
Ile odliczać?
dr Mirosław Kachniewski prezes Zarządu, Stowarzyszenie Emitentów Giełdowych
Felietony
Zbieranie danych do ESRS-ów
Co czeka zarządców budynków w regulacjach elektromobilności?
Materiał Promocyjny
Co czeka zarządców budynków w regulacjach elektromobilności?
Piotr Kowalik prawnik w zespole rynków kapitałowych i M&A w polskim biurze Eversheds Sutherland
Felietony
Nowa epoka w prospektach?
Grzegorz Dróżdż analityk, Conotoxia Ltd.
Felietony
Altcoiny – między potencjałem a ryzykiem
e-Wydanie
Forum