Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011
DORA (Rozporządzenie o cyfrowej odporności operacyjnej) ustanawia jednolite wymogi w zakresie bezpieczeństwa sieci i systemów informatycznych dla podmiotów finansowych w UE. Rozporządzenie konsoliduje i wzmacnia wymogi dotyczące: (1) zarządzania ryzykiem ICT, (2) zgłaszania incydentów związanych z ICT, (3) testowania cyfrowej odporności operacyjnej, (4) zarządzania ryzykiem ICT podmiotów trzecich oraz (5) ustanawia ramy nadzoru nad krytycznymi zewnętrznymi dostawcami usług ICT. Rozporządzenie stosuje się od 17 stycznia 2025 r. i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Stanowi lex specialis wobec dyrektywy NIS2 (2022/2555) w odniesieniu do sektora finansowego.
Terminy i obowiązki
| Obowiązek | Termin | Źródło |
|---|---|---|
| Rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej (opublikowano 27.12.2022, wejście w życie: 16.01.2023). | 2023-01-16 | źródło |
| Wdrożenie ram zarządzania ryzykiem ICT. | 2025-01-17 | źródło |
| Podmioty finansowe muszą posiadać kompleksowe zdolności w zakresie zarządzania ryzykiem ICT, w tym skuteczne mechanizmy i polityki obsługi wszystkich incydentów związanych z ICT. | 2025-01-17 | źródło |
| Podmioty finansowe muszą zgłaszać poważne incydenty związane z ICT właściwym organom kompetentnym. | 2025-01-17 | źródło |
| Podmioty finansowe muszą posiadać polityki testowania systemów, kontroli i procesów ICT w zakresie cyfrowej odporności operacyjnej. | 2025-01-17 | źródło |
| Podmioty finansowe muszą posiadać polityki zarządzania ryzykiem ICT podmiotów trzecich. | 2025-01-17 | źródło |
| Rejestr umów z zewnętrznymi dostawcami ICT. | 2025-01-17 | źródło |
| CSD (centralne depozyty papierów wartościowych) muszą identyfikować źródła ryzyka operacyjnego i minimalizować jego wpływ poprzez odpowiednie narzędzia, procesy i polityki ICT zgodne z rozporządzeniem DORA. | 2025-01-17 | źródło |
| CSD muszą ustanowić, wdrożyć i utrzymywać odpowiednią politykę ciągłości działania i plan odtwarzania po awarii, w tym politykę ciągłości działania ICT oraz plany reagowania i odtwarzania ICT zgodne z rozporządzeniem DORA. | 2025-01-17 | źródło |
| Zatwierdzone podmioty publikujące (APA), skonsolidowane podmioty transmisji danych (CTP) i zatwierdzone mechanizmy sprawozdawcze (ARM) muszą spełniać wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych określone w rozporządzeniu DORA. | 2025-01-17 | źródło |
| Administratorzy krytycznych wskaźników referencyjnych muszą posiadać skuteczne procedury zarządzania systemami ICT zgodnie z rozporządzeniem DORA. | 2025-01-17 | źródło |
| Instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy usług informacji o rachunku muszą zgłaszać wszystkie operacyjne lub związane z bezpieczeństwem incydenty płatnicze zgodnie z niniejszym rozporządzeniem (zamiast dyrektywy PSD2) od daty jego stosowania. | 2025-01-17 | źródło |
Kogo dotyczy (branże)
- Działalność związana z oprogramowaniem (NACE 62.01) — Dostawcy ICT dla sektora finansowego podlegają wymogom DORA.
- Pozostałe pośrednictwo pieniężne (NACE 64.19) — Podmioty finansowe są bezpośrednio objęte DORA.
- Finansowa działalność usługowa, z wyłączeniem ubezpieczeń i funduszów emerytalnych (NACE K64) — Instytucje kredytowe, instytucje płatnicze i inne podmioty świadczące usługi finansowe są bezpośrednimi adresatami wymogów DORA dotyczących zarządzania ryzykiem ICT, zgłaszania incydentów i testowania odporności cyfrowej.
- Ubezpieczenia, reasekuracja i fundusze emerytalne, z wyłączeniem obowiązkowego ubezpieczenia społecznego (NACE K65) — Zakłady ubezpieczeń, zakłady reasekuracji oraz instytucje pracowniczych programów emerytalnych podlegają wymogom DORA w zakresie cyfrowej odporności operacyjnej, z uwzględnieniem zasady proporcjonalności dla mniejszych podmiotów.
- Działalność wspomagająca usługi finansowe oraz ubezpieczenia i fundusze emerytalne (NACE K66) — Infrastruktury rynku finansowego, w tym centralne kontrahenty (CCP), centralne depozyty papierów wartościowych (CSD), platformy obrotu oraz agencje ratingowe, są objęte szczegółowymi wymogami DORA dotyczącymi ciągłości działania ICT i zarządzania ryzykiem operacyjnym.
- Działalność usługowa w zakresie informacji (NACE J63) — Zewnętrzni dostawcy usług ICT, w tym dostawcy usług przetwarzania w chmurze świadczący usługi na rzecz podmiotów finansowych, podlegają unijnemu systemowi nadzoru (Oversight Framework) ustanowionemu przez DORA jako krytyczni zewnętrzni dostawcy usług ICT.