Strona główna Axence
Wcag tools
Dora

DORA

Wszystko, co musisz wiedzieć

Pracujesz w sektorze finansowym? Niezależnie czy jest to bank, agencja ubezpieczeniowa, czy pośrednik kryptowalut.
We wszystkich tych podmiotach niebawem zaczną obowiązywać wymogi DORA. Z Axence przygotowanie do nowych standardów jest dużo prostsze. Odkryj nasze kompendium wiedzy i zapisz się na webinar, gdzie odpowiemy na wszystkie Twoje pytania.

Zapisz się na webinar
Image

Kogo obejmie DORA?

Rozporządzenie DORA obejmuje wszystkie instytucje finansowe, takie jak banki, firmy ubezpieczeniowe, fundusze inwestycyjne oraz inne podmioty świadczące usługi finansowe. A dokładnie:

Image

Instytucje kredytowe

Image

Instytucje płatnicze

Image

Dostawcy świadczący usługi dostępu do informacji o rachunkach

Image

Instytucje pieniądza elektronicznego

Image

Firmy inwestycyjne

Image

Usługodawcy działający na rynku kryptowalut

Image

Centralne depozyty papierów wartościowych

Image

Kontrahenci centralni

Image

Systemy obrotu

Image

Repozytoria transakcji

Image

Organizacje zarządzające alternatywnymi funduszami inwestycyjnymi

Image

Spółki zarządzające

Image

Dostawcy usług w zakresie udostępniania informacji

Image

Zakłady ubezpieczeń i zakłady reasekuracji.

Image

Pośrednicy ubezpieczeniowi

Image

Instytucje pracowniczych programów emerytalnych

Image

Agencje ratingowe

Image

Administratorzy kluczowych wskaźników referencyjnych

Image

Dostawcy usług finansowania społecznościowego

Image

Repozytoria sekurytyzacji

Image

Zewnętrzni dostawcy usług ICT

Kiedy DORA wchodzi w życie?

Projekt regulacji DORA został opracowany w 2020 roku. Przepisy weszły w  życie 16 stycznia 2023 roku, jednak unijni prawodawcy przewidzieli  24-miesięczny okres vacatio legis. Oznacza to, że regulacje zaczną obowiązywać od 17 stycznia 2025 roku.

Image

Jakie są kary za niedostosowanie się do rozporządzenia DORA?

Warto przygotować się skrupulatnie do nowego prawa. DORA przewiduje  bowiem szereg kar za naruszenie jej wymogów, które KNF (Komisja Nadzoru  Finansowego) będzie mogła egzekwować. Do głównych sankcji należą:

Image

Nakaz zaprzestania naruszeń

KNF może wydać podmiotowi polecenie zaprzestania działań niezgodnych z regulacją oraz nakaz powstrzymania się od ponownego podejmowania takich działań w przyszłości.

Image

Zakaz pełnienia funkcji kierowniczych

Osoby odpowiedzialne za naruszenie mogą zostać ukarane zakazem pełnienia funkcji członka zarządu, rady nadzorczej lub innych funkcji  kierowniczych na okres od miesiąca do roku.

Image

Kary pieniężne

Dla osób prawnych i jednostek organizacyjnych bez osobowości prawnej: kara może wynosić do 20 869 500 zł lub 10% przychodów netto z ostatniego roku obrotowego. Dla osób fizycznych: kara finansowa może wynosić nawet 3 042 410 zł..

Image

Odpowiedzialność kadry zarządzającej

DORA nakłada szczególną odpowiedzialność na kadrę zarządzającą, co  oznacza, że osoby decyzyjne mogą zostać bezpośrednio pociągnięte do  odpowiedzialności za naruszenia.

Dostawcy ICT - nowe wymogi

Zgodnie z rozporządzeniem DORA, instytucje finansowe będą mogły współpracować wyłącznie z dostawcami usług ICT, którzy spełniają najwyższe standardy bezpieczeństwa informacji. Axence jest takim dostawcą, co potwierdza poprzez podpisanie dodatkowego aneksu do umowy z każdym klientem z sektora finansowego w momencie nawiązywania współpracy. Jest on zgodny zarówno z rozporządzeniem DORA, jak i wytycznymi Związku Banków Polskich.

Image

Jak możesz przygotować się na wejście w życie rozporządzenia DORA? Axence odpowiada!

Obowiązki wynikające z DORY można podzielić na 5 kluczowych obszarów. W wielu z tych obszarów z pomocą przyjdą Ci rozwiązania Axence - rozbudowane narzędzie do zarządzania siecią i infrastrukturą IT - Axence nVision® oraz platforma edukacyjna dostarczająca wiedzy o cyberbezpieczeństwie Axence SecureTeam®.

 

Image

Zarządzanie ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych

Image

Zarządzanie incydentami i zgłaszanie poważnych incydentów związanych z ICT właściwym organom

Image

Testowanie operacyjnej odporności cyfrowej

Image

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT

Image

Wymiana informacji i analiz w związku z cyberzagrożeniami i podatnościami w tym obszarze

 

Jak oprogramowanie Axence nVision® pomoże Ci spełnić wymogi rozporządzenia DORA?

DORA Artykuł 6
Zarządzanie i ewidencja zasobów
Ramy zarządzania ryzykiem związanym z ICT obejmują co najmniej strategie, polityki, procedury, protokoły i narzędzia ICT niezbędne do należytej i odpowiedniej ochrony wszystkich odpowiednich zasobów informacyjnych i zasobów ICT, w tym oprogramowania i sprzętu komputerowego, serwerów, a także wszystkich odpowiednich elementów fizycznych i infrastruktury.
Odpowiedź Axence
Moduł Inventory w nVision umożliwia kompleksową ewidencję wszystkich rodzajów zasobów, w tym zasobów informacyjnych, elementów infrastruktury, sprzętu oraz oprogramowania. Dzięki temu pozwoli Ci spełnić kluczowe wymagania stawiane podmiotom finansowym przez rozporządzenie DORA.
DORA Artykuł 8
Identyfikacja zasobów
  1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT. Podmioty finansowe dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności tej klasyfikacji i wszelkiej stosownej dokumentacji.
  2. Podmioty finansowe wskazują wszystkie zasoby informacyjne i zasoby ICT, w tym zasoby zdalne, zasoby sieciowe i sprzęt komputerowy, oraz ewidencjonują te z nich, które są uznawane za krytyczne. Podmioty finansowe ewidencjonują konfigurację zasobów informacyjnych i zasobów ICT oraz powiązania i współzależności między poszczególnymi zasobami informacyjnymi i zasobami ICT.
  3. Podmioty finansowe wskazują i dokumentują wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT, oraz wskazują wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.
Odpowiedź Axence
Na to zagadnienie także odpowiada moduł Inventory, który pozwala na ewidencję wszystkich wskazanych obszarów. Co istotne DORA wskazuje także, że powiązania i zależności między zasobami powinny być ewidencjonowane, na co moduł Inventory w nVision 16.0 odpowiada, dzięki funkcji tworzenia dowolnych relacji między zasobami. Z nVision spełnisz także ten zapis DORY.
DORA Artykuł 9
Ochrona i zapobieganie
  1. Na potrzeby odpowiedniej ochrony systemów ICT oraz w celu organizacji środków reagowania podmioty finansowe stale monitorują i kontrolują bezpieczeństwo i funkcjonowanie systemów i narzędzi ICT oraz minimalizują wpływ ryzyka związanego z ICT na systemy ICT, wdrażając odpowiednie narzędzia, polityki i procedury w zakresie bezpieczeństwa ICT.
  2. Podmioty finansowe opracowują, pozyskują i wdrażają polityki, procedury, protokoły i narzędzia w zakresie bezpieczeństwa ICT, których celem jest zapewnienie odporności, ciągłości działania i dostępności systemów ICT, w szczególności tych, które wspierają krytyczne lub istotne funkcje, oraz utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych, zarówno gdy są przechowywane, jak i wykorzystywane lub przesyłane.
  3. Aby osiągnąć cele, o których mowa w ust. 2, podmioty finansowe stosują rozwiązania i procesy ICT, które są odpowiednie, zgodnie z art. 4. Te rozwiązania i procesy ICT:
    1. zapewniają bezpieczeństwo środków przekazywania danych;
    2. minimalizują ryzyko uszkodzenia lub utraty danych, nieuprawnionego dostępu i usterek technicznych, które mogą utrudniać prowadzenie działalności gospodarczej;
    3. zapobiegają brakowi dostępności, osłabianiu autentyczności i integralności, naruszeniom poufności i utracie danych;
    4. zapewniają ochronę danych przed ryzykiem związanym z zarządzaniem danymi, w tym ryzykiem związanym z niewłaściwym administrowaniem, przetwarzaniem i błędem ludzkim.
Odpowiedź Axence
Zapisy te wskazują na zapewnienie odporności, ciągłości działania i dostępności systemów ICT, w szczególności tych, które wspierają krytyczne i istotne funkcje. Tutaj z pomocą przyjedzie Ci wykrywanie anomalii oraz alarmowanie braku dostępności, które znajduje się w module Network w nVision.

W paragrafie trzecim jest z kolei mowa o ochronie danych. Wymogi tych zapisów pomoże Ci spełnić moduł DataGuard w nVision. Pozwala on tworzyć polityki blokowania nośników USB, audytowania operacji na nośnikach oraz monitorowania operacji na katalogach lokalnych i udziałach sieciowych.
DORA Artykuł 10
Wykrywanie
  1. Podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 17, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii.
  2. Podmioty finansowe przeznaczają wystarczające zasoby i zdolności na monitorowanie działalności użytkowników, występowania nieprawidłowości w zakresie ICT oraz incydentów związanych z ICT, w szczególności cyberataków.
Odpowiedź Axence
nVision umożliwia wykrywanie zdarzeń i anomalii wskazujących na potencjalne incydenty, a także ich dokumentowanie i obsługę w module HelpDesk. Moduł HelpDesk pozwala tworzyć kategorie oraz specjalne formularze dotyczące incydentów, a także przypisywać odpowiedzialne osoby do zarządzania poszczególnymi kategoriami. Możliwe jest również utworzenie kategorii przeznaczonej dla zdarzeń związanych z bezpieczeństwem informacji, co umożliwia rejestrowanie przypadków mogących wskazywać na naruszenia bezpieczeństwa.

Moduł Users w nVision pozwala monitorować aktywność użytkowników, tym samym zapewnia zgodność z powyższymi zapisami DORA.
DORA Artykuł 13
Uczenie się i rozwój
  1. Podmioty finansowe dysponują zdolnościami i personelem umożliwiającymi im gromadzenie informacji na temat podatności oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków, oraz analizę ich prawdopodobnego wpływu na operacyjną odporność cyfrową podmiotów finansowych.
  2. Podmioty finansowe przeprowadzają przeglądy incydentów związanych z ICT przeprowadzonych po ich wystąpieniu, gdy taki poważny incydent związany z ICT spowoduje zakłócenia w ich głównej działalności, analizując przyczyny zakłócenia i identyfikując wymagane ulepszenia operacji ICT lub strategii na rzecz ciągłości działania w zakresie ICT, o której mowa w art. 11.
Odpowiedź Axence
Właściwe dokumentowanie przebiegu incydentu w module HelpDesk w nVision ułatwia naukę i analizę takich zdarzeń, dzięki czemu można wyciągać trafniejsze wnioski. W efekcie wpływa to na ulepszenie operacji ICT i strategii zapewniających ciągłość działania. Z nVison wiedza pracuje dla Ciebie.
DORA Artykuł 17
Proces zarządzania incydentami związanymi z ICT
  1. Podmioty finansowe określają, ustanawiają i wdrażają proces zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania.
  2. Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia. Podmioty finansowe ustanawiają odpowiednie procedury i procesy mające zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT i obsługa takich incydentów oraz działania następcze w związku z takimi incydentami, aby zapewnić zidentyfikowanie, udokumentowanie i wyeliminowanie podstawowych przyczyn, co ma zapobiec występowaniu takich incydentów.

Proces zarządzania incydentami związanymi z ICT, o którym mowa w ust. 1, obejmuje:

  1. wprowadzenie wskaźników wczesnego ostrzegania;
  2. ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1;
  3. przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
  4. określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci;
  5. zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
  6. ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
Odpowiedź Axence
nVision umożliwia wykrywanie zdarzeń i anomalii wskazujących na potencjalne incydenty, a także ich dokumentowanie i obsługę w module HelpDesk. Moduł HelpDesk pozwala tworzyć kategorie oraz specjalne formularze dotyczące incydentów, a także przypisywać odpowiedzialne osoby do zarządzania poszczególnymi kategoriami. Możliwe jest również utworzenie kategorii przeznaczonej dla zdarzeń związanych z bezpieczeństwem informacji, co umożliwia rejestrowanie przypadków mogących wskazywać na naruszenia bezpieczeństwa. Zarządzanie incydentem nigdy nie było tak proste.
DORA Artykuł 28
Uczenie się i rozwój
  1. Podmioty finansowe zarządzają ryzykiem ze strony zewnętrznych dostawców usług ICT integralnym elementem ryzyka związanego z ICT wchodzącym w zakres ich ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz zgodnie z opisanymi poniżej zasadami:
  1. Podmioty finansowe, które zawarły ustalenia umowne dotyczące korzystania z usług ICT w celu prowadzenia działalności gospodarczej, przez cały czas ponoszą pełną odpowiedzialność za wypełnianie i wywiązywanie się ze wszystkich obowiązków wynikających z niniejszego rozporządzenia i mających zastosowanie przepisów dotyczących usług finansowych. Zarządzanie przez podmioty finansowe ryzykiem ze strony zewnętrznych dostawców usług ICT odbywa się w świetle zasady proporcjonalności, z uwzględnieniem:
    1. charakteru, skali, stopnia złożoności i znaczenia zależności w zakresie ICT;
    2. ryzyka wynikającego z ustaleń umownych dotyczących korzystania z usług ICT zawartych z zewnętrznymi dostawcami usług ICT, biorąc pod uwagę krytyczność lub istotność danej usługi, procesu lub funkcji oraz potencjalny wpływ na ciągłość i dostępność usług finansowych i działalności finansowej, na poziomie indywidualnym i grupowym.
  1. Jako część swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe inne niż podmioty, o których mowa w art. 16 ust. 1 akapit pierwszy, i inne niż mikroprzedsiębiorstwa przyjmują strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT i regularnie dokonują jej przeglądu, uwzględniając, stosownie do przypadku, strategię obejmującą wielu dostawców, o której mowa w art. 6 ust. 9. Strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT obejmuje politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT i ma zastosowanie na zasadzie indywidualnej oraz, w stosownych przypadkach, na zasadzie subskonsolidowanej i skonsolidowanej. Na podstawie oceny ogólnego profilu ryzyka danego podmiotu finansowego oraz skali i stopnia złożoności usług biznesowych organ zarządzający regularnie dokonuje przeglądu ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
  2. W kontekście swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe utrzymują i aktualizują na poziomie podmiotu oraz na poziomie subskonsolidowanym i skonsolidowanym rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT.
Odpowiedź Axence
Za pomocą modułu Inventory w nVision możesz zarówno opisać odpowiednim polem każdy zasób i uzupełnić w nim dane na temat dostawcy, jak również dostawcę można wprowadzić jako osobny typ zasobu i powiązać go relacją z zasobami, które dostarcza lub do takiego zasobu dołączyć dokument w postaci umowy z dostawcą.
 

Edukacja, czyli kluczowy aspekt rozporządzenia DORA z Axence SecureTeam® to bardzo proste!

DORA Artykuł 13
Uczenie się i rozwój
6. Podmioty finansowe w ramach swoich programów szkoleniowych dla personelu przygotowują obowiązkowe moduły obejmujące programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkolenia w zakresie operacyjnej odporności cyfrowej. Skierowane są one do wszystkich pracowników oraz do kadry kierowniczej wyższego szczebla, a ich poziom złożoności jest współmierny do funkcji pełnionych przez te osoby. W stosownych przypadkach podmioty finansowe obejmują też zewnętrznych dostawców usług ICT swoimi odnośnymi systemami szkoleń zgodnie z art. 30 ust. 2 lit. i).
Odpowiedź Axence
DORA nakłada na podmioty finansowe obowiązek edukacji wszystkich pracowników w zakresie cyberbezpieczeństwa. Wiadomo, że w całym łańcuchu bezpieczeństwa cyfrowego najsłabszym ogniwem jest człowiek. Zwłaszcza wtedy, gdy brak mu wiedzy i przeszkolenia. Nawet najlepsze systemy zawiodą, jeśli zabraknie wyobraźni i czujności. Odpowiedzią na te potrzeby jest Axence SecureTeam®. To platforma edukacyjna, która pozwala zdobywać wiedzę konieczną, by stawić czoła zagrożeniom, jakich nie brak w świecie cyfrowym. Platforma SecureTeam odpowiada także w pełni na zapisy rozporządzenia DORA w zakresie edukacji pracowników.

 

 

Zapisz się na webinar

Nie zwlekaj i zapisz się na darmowy webinar, który odbędzie się już 29 stycznia o godzinie 11:00. Podczas spotkania nasi eksperci omówią w szczegółach wszystkie kwestie związane z wejściem w życie rozporządzenia DORA. Odpowiedzą także na nurtujące Cię pytania. Wypełnij poniższy formularz i do zobaczenia na webinarze!

 

 

 

Piotr Adamczyk
Technical Account Manager w Axence

 

 

dr Mirosław Gumularz
Radca prawny / NewTechLaw.eu