Opinie ekspertów
Paweł Ładna o regulacji DORA
Regulacja DORA (Digital Operational Resilience Act) to obecnie kluczowy temat cybersecurity dot. sektora finansowego w Unii Europejskiej. Na czym polega? Co zmieni? Na te pytania odpowiada Paweł Ładna – Cybersecurity Consultant w Safesqr.
Czym w zasadzie jest DORA?
Regulacja DORA ma na celu ujednolicenie istniejących przepisów oraz lepszą kontrolę nad rynkiem finansowym w Unii Europejskiej. Wprowadza nowe możliwości dla unijnych organów regulacyjnych i nadzorczych, pozwalając im na audytowanie podmiotów i stron trzecich, które przetwarzają ich dane. Podmiot finansowy będzie zobowiązany do sprawdzenia swoich dostawców, a kiedy nie spełniają oni wymogów bezpieczeństwa, może liczyć się z dużymi karami.
Istotną jej częścią jest ustanowienie ukierunkowanych wymogów jakościowych, mających na celu ochronę, wykrywanie, powstrzymywanie, usuwanie skutków i naprawę incydentów związanych z ICT. DORA będzie obowiązywać w każdym kraju członkowskim od 17 stycznia 2025 roku.
Dlaczego istniała potrzeba wprowadzenia tej regulacji?
Wypełni ona luki i niejasności, jakie miały miejsce wcześniej i nakaże instytucjom finansowym podążanie takim samym, spójnym podejściem do ryzyka ICT. Z pewnością wpłynie na zaufanie do ogólnoeuropejskiego systemu finansowego, jego stabilność oraz utrzymanie silnej relacji sektora finansowego z ogólną wizją cyberbezpieczeństwa UE.
Jak widzisz przyszłość cyberbezpieczeństwa po wprowadzeniu regulacji DORA?
DORA jest powiązana z wciąż opracowanym dokumentem European Critical Infrastructure Directive. Jeśli ECI wejdzie w życie, obie regulacje wzmocnią wymagania dotyczące ochrony cybersecurity oraz odporności infrastruktury krytycznej, w tym dla zagrożeń niecybernetycznych. Wraz z nowelizacją UKSC spowodują, że znajdziemy się w świecie, w którym bezpieczeństwo cybernetyczne staje się jednym z dominujących aspektów wielu różnych branż.
W jaki sposób DORA wpłynie na polskie instytucje finansowe?
Będą musiały one weryfikować swoich dostawców pod kątem bezpieczeństwa cybernetycznego. Jeśli instytucja obsługuje byt krytyczny dla infrastruktury państwa, to musi zapewnić dodatkowe środki bezpieczeństwa, co będzie motywacją do zapewniania najwyższego standardu usług cybersec, tak aby móc “ugryźć” możliwie dużą cześć rynku. Oznacza to, że organizacje z dostępnych opcji budowania cyberbezpieczeństwa będą musiały wybrać jedyną słuszną: dobrze zamiast tanio.