Rozporządzenie DORA
Rosnąca zależność od technologii cyfrowych sprawia, że przepisy regulujące odporność operacyjną w świecie finansów i technologii stają się kluczowe. Jednym z najważniejszych aktów prawnych w tym obszarze jest unijne rozporządzenie DORA (Digital Operational Resilience Act), które zacznie obowiązywać od 17 stycznia 2025 roku. DORA nie nakłada obowiązków na przedsiębiorców telekomunikacyjnych, a na tzw. podmioty finansowe. Rozporządzenie DORA nie jest kolejnym dokumentem regulacyjnym. To fundamentalna zmiana podejścia do zarządzania ryzykiem cyfrowym i operacyjnym, która podnosi standardy bezpieczeństwa technologicznego, zwiększa zaufanie klientów i partnerów oraz wprowadza jednolite wymogi cyberochrony w całej UE.
Dlaczego warto zainteresować się DORA?
W związku z rozporządzeniem DORA podmioty finansowe, takie jak między innymi: banki, zakłady ubezpieczeń i reasekuracji, czy instytucje płatnicze, muszą uwzględnić regulacje dotyczące cyberbezpieczeństwa w umowach z zewnętrznymi dostawcami usług ICT, w tym dostawcami telekomunikacyjnymi. Przedsiębiorcy telekomunikacyjni wspierający kluczowe funkcje finansowe będą zobowiązani do przedstawienia dokładnego opisu świadczonych usług, wskazania podwykonawców oraz opisania strategii wyjścia.
Dodatkowo umowy będą obejmować regulacje dotyczące audytów, testów penetracyjnych, dostępu do systemów, a także obowiązków sprawozdawczych. Kluczowe będzie również uzyskanie zgód podmiotów finansowych na zaangażowanie podwykonawców oraz odpowiednie uregulowanie współpracy z nimi, co uwzględni interesy podmiotów finansowych. Warto podkreślić, że przygotowania do DORA nie kończą się na zawarciu umowy – konieczne jest także dostosowanie współpracy w całym łańcuchu dostaw.
Przygotowania te częściowo pokrywają się z wymogami NIS2 dotyczącymi cyberbezpieczeństwa, dlatego przedsiębiorcy powinni pracować nad wdrożeniem obu regulacji równolegle, by sprostać nowym wymogom prawnym i technologicznym.