Rozporządzenie DORA (Digital Operational Resilience Act) ustanawia nowe unijne ramy kompleksowego zarządzania ryzykiem cyfrowym na rynkach finansowych. Czy rozporządzenie wprowadza rozwiązania o charakterze rewolucyjnym? Odpowiedź na to pytanie nie jest jednoznaczna. Z jednej strony wprowadza modyfikacje istniejących już wymogów. Z drugiej strony ustanawia nowe obowiązki. Zmianą o charakterze rewolucyjnym jest na pewno objęcie nadzorem finansowym tzw. kluczowych zewnętrznych dostawców usług związanych z technologiami informacyjno-komunikacyjnymi („ICT”, ang. Information and Communication Technology).
Jak wdrożyć rozporządzenie DORA?
Osiągnięcie zgodności działalności z treścią rozporządzenia DORA wymaga podejścia wielodyscyplinarnego. Dobrze jest je zaplanować jako kilkuetapową podróż ze znanym celem. Choć w tym miejscu należy poczynić kilka zastrzeżeń. Droga tej podróży nie jest jasno wytyczona i wspólna dla wszystkich podmiotów. Ponadto, podróż ta w pewnym sensie nigdy się nie kończy (a przynajmniej do ostatniego dnia obowiązywania rozporządzenia DORA).
Pierwszy etap wdrażania powinien przynieść ustalenia, w którym miejscu jest dany podmiot. W aspekcie praktycznym oznacza to dokonanie wstępnej oceny gotowości rozwiązań już istniejących w organizacji względem wymagań rozporządzenia DORA i analizy luk. Kolejny etap to czas na przygotowanie dokumentacji, której podmiot nie posiada, lub dokonanie korekt dokumentacji już istniejącej. Realizując ten krok, trzeba pamiętać, aby treść dokumentacji była zgodna nie tylko z rozporządzeniem DORA, ale również z innymi obowiązującymi przepisami prawnymi, takimi jak m.in. rozporządzenie RODO. Biorąc pod uwagę, że rozporządzenie DORA koncentruje się na przestrzeganiu umów i standardach zewnętrznych dostawców ICT, to szczególną uwagę należy zwrócić na przygotowanie, dostosowanie i renegocjację wzorów umów dla dostawców ICT. Jest to jeden z trudniejszych, a zarazem kluczowych etapów wdrażania zmian w organizacji pod kątem rozporządzenia DORA, co zauważają Parlament Europejski i Rada Unii Europejskiej w motywie 28 do tego aktu prawnego: „[…] podmioty finansowe często napotykają trudności podczas negocjacji warunków umownych, […] lub podczas innego rodzaju egzekwowania konkretnych praw, takich jak prawa dostępu lub prawa do audytu, nawet jeżeli te ostatnie są zapisane w umowach”. W przypadku braku podjęcia negocjacji przez dostawców ICT i efektywnej współpracy z ich strony, w najgorszym scenariuszu trzeba będzie nawet rozwiązać umowy. Podmioty finansowe muszą również ustanowić nowe, minimalne kryteria prawne i techniczne dotyczące współpracy z usługodawcami. Kończąc wątek umów, warto wspomnieć, że w opublikowanym 18 kwietnia 2024 r. na stronie RCL projekcie ustawy, która ma na celu wdrożenie do polskiego systemu prawnego oraz zapewnienie stosowania rozporządzenia DORA, znajduje się obowiązek cyklicznego przekazywania do KNF informacji na temat umów dotyczących ICT do 31 stycznia każdego roku.
Będąc blisko celu określonego przez rozporządzenie DORA, podmioty finansowe muszą pamiętać, aby zadbać o budowanie świadomości w zakresie bezpieczeństwa ICT w organizacji. Rozporządzenie DORA nakłada na podmioty finansowe obowiązek opracowania programów zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej. Jest to zadanie ciągłe i właśnie w tym sensie osiąganie zgodności z rozporządzeniem DORA nigdy się nie kończy.
Wcześniej była mowa o tym, że dostosowywanie działalności do treści rozporządzenia DORA będzie przebiegać inaczej u poszczególnych podmiotów. Wynika to z tego, że przepisy rozporządzenia DORA przewidują zastosowanie zasady proporcjonalności. Przykładowo, podmioty finansowe mające status mikroprzedsiębiorcy część obowiązków wynikających z rozporządzenia DORA zobowiązane są spełnić w mniejszym stopniu, a z części są całkowicie zwolnione. Kwestię proporcjonalności porusza także UKNF we wpisie zamieszczonym na blogu nadzorczym, w którym zaznacza, że opracowuje podejście do proporcjonalności odnośnie do wymogów rozporządzenia DORA.