Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

DORA – nowe obowiązki w sektorze bankowym

09 marca 2023

Rozporządzenie DORA ma na celu ujednolicenie podejścia do tematyki cyberbezpieczeństwa w podmiotach z branży finansowej oraz obsługujących je podmiotach z sektora usług IT, w Unii Europejskiej. W konsekwencji najdalej idące obowiązki będą spoczywać na instytucjach kredytowych, które już teraz podlegają obowiązkom z zakresu cyberbezpieczeństwa.

DORA a ustawa o krajowym systemie cyberbezpieczeństwa

Ustawa o krajowym systemie cyberbezpieczeństwa zawiera obowiązki w zakresie bezpieczeństwa systemów informatycznych służących świadczeniu usług kluczowych, a także zarządzania incydentami i raportowania. Ustawa jest przy tym przykładem regulacji nieopierającej się w tak dużym stopniu na podejściu RBA jak np. RODO, ale także niezawierającej takiego szczegółowego zakresu obowiązków, jak ten wynikający np. z komunikatu chmurowego czy Rekomendacji D.

W praktyce podejście do wykrywania i zarządzania incydentami stanowi wypadkową tych regulacji i rekomendacji, które będzie musiało zostać zweryfikowanie, w szczególności po uzgodnieniu brzmienia RTSów w zakresie uruchamiania procesów wykrywania incydentów związanych z ICT i reagowania na nie.

DORA a Prawo bankowe

Ustawa Prawo bankowe nie zawiera szczegółowych wymagań wpływających bezpośrednio na procedury i strategie dotyczące odporności cyfrowej banków, to zgodnie z art. 9 ust. 3 pkt 1 pr. bank. w banku powinien funkcjonować co najmniej system zarządzania ryzykiem, który powinien także uwzględniać zarządzanie ryzykiem ICT.

Art. 15 DORA przewiduje wydanie regulacyjnych standardów technicznych doprecyzowujących np. elementy, które należy uwzględnić w politykach, procedurach, protokołach i narzędziach w zakresie bezpieczeństwa ICT. Po ich wydaniu należy przyjrzeć się, w szczegółach, wewnętrznym planom i procesom bankowym.

Pomimo że obowiązki wynikające z DORA będą mieć zastosowanie do banków dopiero na początku 2025 r., banki muszą rozpocząć przygotowania do wdrożenia nowych, kompleksowych ramach zarządzania ryzykiem jak najwcześniej, aby wprowadzić niezbędne zmiany – czy to w stosunku do nowych umów zawieranych z zewnętrznymi dostawcami usług ICT, czy to procesów i procedur wewnętrznych.

W najnowszym komentarzu praktycznym "DORA-nowe obowiązki w sektorze bankowym" Katarzyna Szczudlik omawia kluczowe wymogi i obowiązki wynikające z DORA nałożone na instytucje kredytowe. Poruszana również zagadnienia z zakresu outsourcingu bankowego oraz opisuje zakres koniecznych zmian w procesach i procedurach wewnętrznych.

Podział majątku wspólnego małżonków

Monika Kozłowska

product manager LEX Banki

Zobacz również:
Polecamy między innymi:
Masz dostęp do LEX-a? Zaloguj się
Nie masz dostępu do LEX-a? Zamów dostęp testowy