DORA… Kolejna gwiazda na scenie compliance!
Akt o operacyjnej odporności cyfrowej (DORA) to regulacja, która ma na celu wzmocnienie
bezpieczeństwa informatycznego podmiotów finansowych, takich jak banki, firmy ubezpieczeniowe i
firmy inwestycyjne w Unii Europejskiej. Rozporządzenie wprowadza jednolite zasady zarządzania
ryzykiem cybernetycznym, usprawnia raportowanie incydentów cybernetycznych oraz nadzoruje ryzyko
ze strony osób trzecich. Organizacje, które nie zastosują się do DORA, mogą zostać ukarane okresową
karą pieniężną w wysokości 1% średniego dziennego globalnego obrotu w poprzednim roku przez okres
do sześciu miesięcy, aż do osiągnięcia zgodności.
Oto 5 najważniejszych punktów, o których należy pamiętać w związku z ustawą o operacyjnej
odporności cyfrowej:
- Jednolite i zharmonizowane zasady zarządzania: Dyrektywa DORA wprowadza jednolite i
zharmonizowane zasady zarządzania ryzykiem cybernetycznym, usprawnia raportowanie
incydentów cybernetycznych i nadzoruje ryzyko ze strony osób trzecich. - Ramy zarządzania ryzykiem związanym z ICT: Podmioty finansowe są zobowiązane do
wprowadzenia kompleksowych ram zarządzania ryzykiem związanym z technologiami
informacyjno-komunikacyjnymi (ICT), które zapewniają skuteczne i ostrożne zarządzanie
wszystkimi rodzajami ryzyka związanego z ICT. - Zgłaszanie i powiadamianie o incydentach cybernetycznych: Podmioty finansowe są
zobowiązane do zgłaszania właściwym organom poważnych incydentów związanych z ICT. - Zarządzanie ryzykiem ze strony osób trzecich: Dyrektywa DORA nakłada na podmioty
finansowe obowiązek przeglądu umów z dostawcami usług ICT i nadzorowania ryzyka ze strony
osób trzecich. - Kary za nieprzestrzeganie przepisów: Organizacje, które nie zastosują się do dyrektywy DORA,
mogą zostać ukarane wysokimi karami. Właściwy organ nadzorczy może nałożyć okresową karę
pieniężną w wysokości 1 % średniego dziennego światowego obrotu w poprzednim roku na
okres do sześciu miesięcy do czasu osiągnięcia zgodności
Dyrektywa DORA ma znaczący wpływ na strategie cyberbezpieczeństwa dla organizacji w UE. Podmioty
finansowe są zobowiązane do wprowadzenia kompleksowych ram zarządzania ryzykiem związanym z
ICT, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT.
Pamiętaj – DORA będzie obowiązywała od 17.01.2025 r.