Biorąc pod uwagę stale rosnące ryzyko cyberataków, Unia Europejska postanowiła wzmocnić bezpieczeństwo informatyczne podmiotów finansowych, takich jak banki, firmy ubezpieczeniowe i inwestycyjne. Na przełomie maja i czerwca 2022 r. prezydencja Rady i Parlament Europejski osiągnęły tymczasowe porozumienie w sprawie Digital Operational Resilience Act (DORA), dzięki któremu sektor finansowy w Europie będzie w stanie utrzymać odporne operacje w przypadku poważnych zakłóceń operacyjnych.
Zakres regulacji DORA
DORA określa jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych przedsiębiorstw i organizacji działających w sektorze finansowym, a także krytycznych stron trzecich, które świadczą na ich rzecz usługi związane z technologiami informacyjno-komunikacyjnymi (ICT), takie jak platformy w chmurze lub usługi analizy danych. DORA tworzy ramy regulacyjne w zakresie cyfrowej odporności operacyjnej, zgodnie z którymi wszystkie firmy muszą upewnić się, że są w stanie wytrzymać, reagować i odzyskiwać zdolność operacyjną po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT. Wymogi te są jednolite dla wszystkich państw członkowskich UE. Głównym celem jest zapobieganie zagrożeniom cybernetycznym i łagodzenie ich skutków.
Nowym przepisom będą podlegać prawie wszystkie podmioty finansowe. DORA obejmuje szeroki zakres instytucji finansowych, w tym m.in. instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług w zakresie kryptowalut, centralne depozyty papierów wartościowych, zarządzających alternatywnymi funduszami inwestycyjnymi, spółki zarządzające, dostawców usług crowdfundingowych oraz dostawców usług zewnętrznych w zakresie ICT. Wiele firm, które wcześniej nie podlegały szczególnym regulacjom w zakresie ICT, znajduje się w proponowanym zakresie DORA. Na mocy umowy tymczasowej audytorzy nie będą podlegać DORA, ale będą częścią przyszłego przeglądu rozporządzenia, w ramach którego można rozważyć ewentualną zmianę przepisów.
Zgodnie z umową tymczasową nowe przepisy DORA będą stanowiły bardzo solidne ramy, które zwiększą bezpieczeństwo informatyczne sektora finansowego. Wysiłki wymagane od podmiotów finansowych będą określone proporcjonalnie do potencjalnego ryzyka.
Krytyczni dostawcy usług ICT z państw trzecich dla podmiotów finansowych w UE będą musieli założyć spółkę zależną w UE, aby umożliwić właściwe wdrożenie nadzoru.
Jeśli chodzi o ramy nadzoru, współustawodawcy zgodzili się na wybór dodatkowej wspólnej sieci nadzoru, która wzmocni koordynację między europejskimi organami nadzoru w tym międzysektorowym temacie.
Na mocy tymczasowego porozumienia testy penetracyjne będą przeprowadzane w trybie funkcjonowania, a w procedurach testowych będzie można uwzględnić organy kilku państw członkowskich. Wykorzystanie audytorów wewnętrznych będzie możliwe tylko w kilku ściśle ograniczonych okolicznościach, z zastrzeżeniem warunków ochronnych.
Jeżeli chodzi o interakcję DORA z dyrektywą w sprawie bezpieczeństwa sieci i informacji (Network and Information Security / NIS), na mocy umowy tymczasowej podmioty finansowe uzyskają pełną jasność co do różnych przepisów dotyczących cyfrowej odporności operacyjnej, których muszą przestrzegać, w szczególności w przypadku podmiotów finansowych posiadających kilka zezwoleń i działających na różnych rynkach w UE. Dyrektywa NIS nadal ma zastosowanie. DORA opiera się na dyrektywie NIS i rozwiązuje problem ewentualnego pokrywania się przepisów poprzez wyłączenie lex specialis.
Tymczasowe porozumienie podlega zatwierdzeniu przez Radę i Parlament Europejski przed przejściem do procedury formalnego przyjęcia.
Gdy wniosek w sprawie DORA zostanie formalnie przyjęty, zostanie on uchwalony przez każde państwo członkowskie UE. Odpowiednie europejskie organy nadzoru (ESA), takie jak Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), opracują następnie standardy techniczne, których będą musiały przestrzegać wszystkie instytucje świadczące usługi finansowe, począwszy od bankowości, poprzez ubezpieczenia, aż po zarządzanie aktywami. Odpowiednie właściwe organy krajowe będą pełnić rolę nadzorcy zgodności i w razie potrzeby egzekwować przepisy rozporządzenia.
Szerszy kontekst
Komisja przedstawiła wniosek w sprawie DORA w dniu 24 września 2020 r. Jest on częścią większego pakietu dotyczącego finansów cyfrowych, którego celem jest opracowanie europejskiego podejścia sprzyjającego rozwojowi technologicznemu oraz zapewniającego stabilność finansową i ochronę konsumentów. Oprócz wniosku w sprawie DORA pakiet zawiera strategię finansów cyfrowych, wniosek w sprawie rynków kryptowalut (MiCA) oraz wniosek w sprawie technologii rozproszonych ksiąg (Distributed Ledger Technology / DLT).
Pakiet ten wypełnia lukę w istniejącym prawodawstwie UE, gwarantując, że obecne ramy prawne nie stanowią przeszkód dla stosowania nowych cyfrowych instrumentów finansowych, a jednocześnie zapewnia, że takie nowe technologie i produkty wchodzą w zakres regulacji finansowych i ustaleń dotyczących zarządzania ryzykiem operacyjnym firm działających w UE. Pakiet ma zatem na celu wspieranie innowacji i wdrażania nowych technologii finansowych przy jednoczesnym zapewnieniu odpowiedniego poziomu ochrony konsumentów i inwestorów.
Rada przyjęła mandat negocjacyjny w sprawie DORA w dniu 24 listopada 2021 r. Dialog między współustawodawcami rozpoczął się 25 stycznia 2022 r. i zakończył się na przełomie maja i czerwca 2022 r. osiągniętym tymczasowym porozumieniem.
Tekst propozycji przepisów DORA znajdą Państwo w poniższym linku:
Wpływ na usługi Virtual Data Room świadczone dla sektora finansowego
Usługi Virtual Data Room, to usługi chmurowe, które będą podlegać regulacjom DORA, świadczonym dla szeroko rozumianego sektora finansowego na terenie Unii Europejskiej. Dostawcy usługi VDR będą musieli spełniać wymagania DORA, zarówno formalne (siedziba dostawcy na terenie UE) jak i techniczne, bezpośrednio związane z cyberbezpieczeństwem.
Virtual Data Room SECUDO spełnia wymagania komunikatu Komisji Nadzoru Finansowego, dotyczącego stosowania rozwiązań chmurowych. Może być zatem wykorzystywane w projektach prowadzonych przez instytucje nadzorowane na rynku finansowym.
O nas
DealDone jest wyspecjalizowaną firmą, oferującą wysokiej jakości produkty z dziedziny bezpieczeństwa informacji i danych. Oferujemy usługi digitalizacji oraz oprogramowanie w zakresie nowoczesnych technologii obiegu informacjipoufnych, informacji niejawnych, danych wrażliwych oraz digitalizacji, zabezpieczania, szyfrowania i udostępnienia danych i dokumentów wewnątrz i nazewnątrz organizacji.
Od 10 lat DealDone specjalizuje się w dostarczaniu rozwiązań związanych z digitalizacją, archiwizacją i udostępnieniem dokumentów w formie Document Management System (DMS) lub Virtual Data Room (VDR). Firma samodzielnie opracowała i wprowadziła do sprzedaży system VDR SECUDO. SECUDO to platforma bezpiecznej digitalizacji, archiwizacji, wymiany i przetwarzania dokumentów i danych firmowych oferowana w chmurze, w modelu Software-as-a-service, dla klientów biznesowych.