Cyfryzacja sektora finansowego przynosi klientom i pracownikom liczne udogodnienia. Według danych Związku Banków Polskich na koniec 2023 roku aż 21,7 mln użytkowników korzystało z bankowych aplikacji mobilnych, a 22,7 mln z bankowości internetowej. Takie rozwiązania to jednak nie tylko wygoda – wiążą się one również z zupełnie nowymi zagrożeniami. Według raportu firmy Check Point Software Technologies polskie banki są atakowane w cyberprzestrzeni ponad 1100 razy tygodniowo. W obliczu tych zagrożeń obecne przepisy dotyczące cyberbezpieczeństwa sektora finansowego są niewystarczające, a ich zmiana, wyłącznie na poziomie krajowym, pogłębiłaby rozbieżności legislacyjne w stosunku do regulacji unijnych. Z tego powodu unijni ustawodawcy opracowali rozporządzenie DORA (ang. Digital Operational Resilience Act).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011, czyli rozporządzenie DORA, to akt prawny, który ma na celu osiągniecie wysokiego poziomu operacyjnej odporności cyfrowej podmiotów z sektora finansowego oraz firm świadczących dla nich usługi z zakresu ICT. Objęte tymi przepisami podmioty muszą posiadać zdolność do reagowania i zapobiegania sytuacjom kryzysowym oraz zakłóceniom w działaniach ich systemów.

Dokument obejmuje ustalenia dotyczące:

• zarządzania ryzykiem związanym z ICT,
• zarządzania incydentami związanymi z ICT,
• sposobu zgłaszania incydentów,
• testowania operacyjnej odporności cyfrowej,
• wymiany informacji między podmiotami i organami nadzorczymi,
• nadzoru, w tym uprawnienia organów nadzorczych oraz ich obowiązki,
• przepisów ws. nakładania kar.

DORA jest rozporządzeniem, a więc nowe przepisy będą obowiązywały bezpośrednio we wszystkich państwach członkowskich UE bez konieczności tworzenia wewnętrznych interpretacji. Używane przez niektórych określenie „dyrektywa DORA” jest błędne i wynika ze złego zrozumienia kategorii aktów prawnych UE.

DORA jako element systemu cyberbezpieczeństwa

Filarami unijnego cyberbezpieczeństwa operatorów usług kluczowych i krytycznych są dyrektywy NIS2 i CER. Obydwa akty prawne odwołują się do tej samej listy podmiotów, ale dyrektywa CER wykracza poza kwestie związane z cyberbezpieczeństwem.

Rozporządzenie DORA jest aktem sektorowym, który obejmuje wyłącznie podmioty finansowe i ma bardziej szczegółowy charakter w porównaniu do wspomnianych dokumentów. Jest niejako uzupełnieniem takich aktów prawnych, jak dyrektywy NIS/NIS2 i rozporządzenie RODO. W przyszłości można spodziewać się kolejnych sektorowych aktów prawnych regulujących kwestie związane z cyberbezpieczeństwem.

Inne sektory także starają się uodpornić na ataki cybernetyczne. Na przykład w branży automotive stosowany jest mechanizm oceny i wymiany informacji dotyczących bezpieczeństwa TISAX.

To właśnie NIS/NIS2 stworzyły fundament do uchwalenia polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dotyczy ona wszystkich dostawców kluczowych usług o krytycznym znaczeniu dla funkcjonowania państwa.

Sprawy związane z cyberbezpieczeństwem instytucji finansowych w Polsce regulowały dotąd głównie dyrektywa PSD2 oraz Rekomendacja D wydana w 2002 roku przez Komisję Nadzoru Finansowego. Rekomendacja D została podzielona na 4 obszary rozwoju środowiska w kierunku poprawy bezpieczeństwa, a nadchodzące zmiany związane z DORA powinny uszczelnić przede wszystkim luki obowiązujących przepisów, wynikające z niedostatecznego poziomu zarządzania ryzykiem.

Projekt regulacji DORA powstał 24 września 2020 roku. Parlament Europejski zatwierdził go 10 listopada 2022 roku, a już 28 listopada przyjęła go także Rada Europejska. Przepisy weszły w życie 16 stycznia 2023 roku. Unijni prawodawcy przewidzieli 24-miesięczny okres vacatio legis – przepisy zaczną obowiązywać od 17 stycznia 2025 roku.