Jak sprostać wyzwaniom związanym z DORA – operacyjna odporność cyfrowa w sektorze bankowym

Wraz z wprowadzeniem dyrektywy dotyczącej nadzoru nad infrastrukturą krytyczną (DORA), sektor bankowy staje przed nowymi wyzwaniami w zakresie zarządzania ryzykiem. Celem DORA jest wzmocnienie bezpieczeństwa i stabilności systemów finansowych. Dyrektywa ta dąży do zapewnienia cyfrowej odporności operacyjnej, czyli zdolności instytucji finansowych do utrzymania ciągłości i stabilności działania, niezależnie od tego, czy korzystają z własnych zasobów IT, czy technologii dostarczanych przez zewnętrznych dostawców.

Aneta Fidler
Data: 24.09.2024
Praca nad DORA

Wraz z wprowadzeniem dyrektywy w sprawie nadzoru nad infrastrukturą krytyczną (DORA), sektor bankowy stoi przed nowymi wyzwaniami w zakresie zarządzania ryzykiem. DORA ma na celu wzmocnienie bezpieczeństwa i stabilności systemów finansowych. Nowa dyrektywa zmierza do osiągnięcia operacyjnej odporności cyfrowej, czyli zdolność instytucji finansowej do zapewnienia nieprzerwanej, stabilnej pracy niezależnie od tego, czy instytucja wykorzystuje w tym celu własne zasoby IT, czy korzysta z technologii ICT dostarczanych przez zewnętrznych dostawców. 

Zarządzanie ryzykiem w organizacji

Zarządzanie ryzykiem jest kluczowym elementem w sektorze bankowym. Obejmuje ono identyfikację, analizę, ocenę i monitorowanie ryzyka, aby minimalizować potencjalne straty i maksymalizować korzyści. W kontekście DORA, zarządzanie ryzykiem staje się jeszcze bardziej istotne, ponieważ organizacje finansowe będą musiały wykazać, że mają skuteczne systemy zarządzania ryzykiem, aby chronić swoje systemy i dane. Ze szczególnym uwzględnieniem zdolność do utrzymania ciągłości działania, niezawodności i jakości usług opartych się na technologiach ICT. Dyrektywa wymaga od sektora bankowego większej staranność w zakresie wyboru dostawców ICT. 

Analiza ryzyka i oceny ryzyka

Analiza ryzyka i oceny ryzyka są fundamentalnymi elementami zarządzania ryzykiem. Polega na identyfikacji potencjalnych zagrożeń i szacowaniu prawdopodobieństwa ich wystąpienia. Oceny ryzyka natomiast polegają na określeniu potencjalnych skutków tych zagrożeń. W kontekście DORA, organizacje finansowe będą musiały przeprowadzać regularne analizy ryzyka i oceny ryzyka, aby identyfikować i minimalizować potencjalne zagrożenia dla swoich systemów i danych w celu zapewnienia operacyjnej odporności cyfrowej. 

DORA ICT i oprogramowanie do zarządzania ryzykiem

W kontekście DORA, organizacje finansowe będą musiały wykazać, że mają skuteczne systemy zarządzania ryzykiem. Przydatne do tego celu może być wprowadzenie systemów informatycznych wspierających GRC i realizację wymogów dyrektywy, w tym bazę umów zgodną z DORA. Wprowadzone oprogramowanie powinno umożliwiać identyfikację, analizę, ocenę i monitorowanie ryzyka, a także szacowanie ryzyka i prowadzenie audytów. 

Baza umów zgodna z DORA

Baza umów zgodna z DORA jest ważnym elementem wprowadzenia DORA w instytucji finansowej. Powinna zawierać informacje o wszystkich umowach i transakcjach, w tym o ryzyku związanym z nimi. Prowadzenie ewidencji zgodnie z wymogami dotyczyć będzie nie tylko nowych umów, a będzie wymagało przejrzenia już obowiązujących kontraktów. Prowadzona baza umów powinna być zgodna z szablonami w ramach Rejestru Informacji. 

Baza umów zgodna z DORA powinna zawierać następujące informacje: 

1. Lista podmiotów i umów ICT: 

  • RT.01.01-RT.01.04: Identyfikacja wszystkich podmiotów w grupie nadzorczej oraz poza nią. 
  • RT.02.01-RT.02.04: Szczegóły dotyczące umów ICT, w tym dalsze outsourcingi, krytyczne funkcje oraz analiza ryzyka. 

2. Zarządzanie ryzykiem: 

  • RT.03.01-RT.03.04: Analiza ryzyka i monitorowanie umów ICT. 
  • RT.04.01-RT.04.02: Identyfikacja i zarządzanie ryzykiem koncentracji. 

3. Ciągłość działania: 

  • RT.05.01-RT.05.03: Dokumentacja łańcucha dostaw, w tym dalsze outsourcingi i koncentracja ryzyka. 
  • RT.06.01-RT.06.02: Metryki dostępności (np. RTO, RPO) dla krytycznych funkcji. 

4. Raportowanie i zgodność: 

  • RT.07.01-RT.07.02: Regularne raportowanie do organów nadzoru. 
  • RT.99.01-RT.99.02: Zarządzanie rejestrem, jego aktualizacje i utrzymanie zgodności z DORA. 

Jeśli dotyczy, należy uwzględnić także: 

  • RT.02.03: Uwzględnienie umów ICT z podmiotami spoza Unii Europejskiej, co jest istotne z perspektywy międzynarodowego zarządzania ryzykiem. 
  • RT.03.01-RT.03.04: Obejmują także konieczność monitorowania zgodności z przepisami dotyczącymi ochrony danych i cyberbezpieczeństwa. 
  • RT.99.01-RT.99.02: Powinien także obejmować mechanizmy audytu i weryfikacji, aby zapewnić ciągłą zgodność z wymogami regulacyjnymi. 

GRC (Governance, Risk, Compliance)

W kontekście DORA, GRC staje się jeszcze bardziej istotne, ponieważ organizacje finansowe będą musiały wykazać, że mają skuteczne systemy zarządzania ryzykiem, aby chronić swoje systemy i dane. GRC może pomóc w implementacji wymagań dyrektywy poprzez zapewnienie, że organizacja ma skuteczne systemy zarządzania ryzykiem, monitorowania i kontroli. 

Wsparcie w implementacji DORA z DahliaMatic

Wprowadzenie DORA w sektorze bankowym jest krokiem w kierunku zwiększenia bezpieczeństwa i stabilności systemów finansowych. Aby przygotować się do tych zmian, instytucje finansowe powinny: 

  • Dostosować swoje procesy i procedury do wymagań DORA. 
  • Utworzyć bazę umów zgodną z dyrektywą, zawierającą kompleksowe informacje o ustaleniach umownych. 
  • Wdrożyć systemy zarządzania ryzykiem i audytu, które pomogą w monitorowaniu i zarządzaniu ryzykiem związanym z usługami ICT. 

 

W tym celu firmy z sektora finansowego mogą skorzystać z profesjonalnego wsparcia DahliaMatic, by pomóc im w implementacji powyższych wymagań. DahliaMatic jest producentem zaawansowanej aplikacji do zarządzania ryzykiem, audytem i compliance, która pomaga organizacjom finansowym w implementacji wymagań DORA. Skorzystaj z naszych wieloletnich doświadczeń i skontaktuj się z nami. Dzięki temu zyskasz pełną przejrzystość i kontrolę nad procesami, minimalizując ryzyko i zapewniając sobie zgodność z regulacjami. 

Zobacz także

Więcej niż nowa jakość komunikacji w firmie

Potencjał Portalu Pracowniczego to znacznie więcej niż usprawnienie komunikacji w firmie. To również centralizacja informacji, sprawne zarządzanie danymi przez zespoły HR z jednoczesną możliwością samodzielnego zarządzania swoimi danymi przez pracowników. Pozwala też na odpowiednie zabezpieczenie wrażliwych danych, jakimi są dane osobowe przetwarzane przez organizację. Każdy z tych aspektów omawiamy w tym ebooku.
Proponowane artykuły
Praca nad DORA

Jak sprostać wyzwaniom związanym z DORA – operacyjna odporność cyfrowa w sektorze bankowym

Czas czytania: 5 min
Wraz z wprowadzeniem dyrektywy dotyczącej nadzoru nad infrastrukturą krytyczną (DORA), sektor bankowy staje przed nowymi wyzwaniami w zakresie zarządzania ryzykiem. Celem DORA jest wzmocnienie bezpieczeństwa…
Aneta Fidler
Data: 24.09.2024
BezpieczeństwoDokumentówOnline

6 najczęstszych zagrożeń dla cyfrowego archiwum umów – jak zapewnić bezpieczeństwo dokumentów online?

Czas czytania: 5 min
Coraz więcej firm digitalizuje swoje procesy, przechodząc na rozwiązania paperless. Elektroniczne zarządzanie umowami poprawia efektywność, ale popularne dyski współdzielone, choć wygodne, mogą stanowić zagrożenie dla…
Aneta Fidler
Data: 10.09.2024
Low-Code

Low-Code – co to takiego? Automatyzacja procesów dzięki platformom niskokodowym

Czas czytania: 5 min
Dziś wielu przedsiębiorców i menedżerów IT zastanawia się, jak usprawnić swoje procesy biznesowe, zredukować koszty i skrócić czas realizacji projektów. Tradycyjne metody tworzenia oprogramowania często…
Szymon Cegiełko
Data: 26.06.2024