Krzysztof Dąbrowski, dyrektor zarządzający Pionem Bezpieczeństwa Urzędu Komisji Nadzoru Finansowego, oraz Jolanta Gasiewicz, ekspertka z Departamentu Cyberbezpieczeństwa, wzięli udział w konferencji „Wyzwania prawne związane z implementacją rozporządzenia DORA okiem regulatora/ustawodawcy”, organizowanej przez Izbę Domów Maklerskich.
Krzysztof Dąbrowski w swoim wystąpieniu podkreślił, że należy przeprowadzić wiele działań dostosowawczych, dla których punktem wyjścia jest analiza zgodności obecnych praktyk z nowymi wymogami regulacyjnymi. Ekspert zaznaczył, że jedenaście miesięcy pozostałych do momentu stosowania DORA, to nie jest dużo czasu, biorąc pod uwagę zakres prac, które muszą przeprowadzić podmioty rynku finansowego.
Postęp cyfrowy wymusił DORA
Wskazał też, że DORA jest odpowiedzią na m.in. postępującą zależność procesów biznesowych od technologii, rosnące zagrożenie cyberprzestępczością i jej transgraniczny wymiar oraz spore różnice regulacyjne między krajami w zakresie cyberbezpieczeństwa. W obliczu wyzwań związanych z obecnym poziomem wykorzystywania technologii niezbędne jest poważne podejście do kwestii cyberodporności i bezpieczeństwa, ponieważ bez przyłożenia należytej wagi i adekwatnego uwzględnienia ryzyka ICT w zarządzaniu daną organizacją materializacja tego rodzaju ryzyka operacyjnego może doprowadzić do wyeliminowania danego podmiotu z rynku.
Dywersyfikacja zewnętrznej obsługi
Według eksperta wyzwania prawne najbardziej istotne z punktu widzenia implementacji DORA w organizacji to rozpoznanie zmian w istniejących obowiązkach oraz identyfikacja nowych, identyfikacja niezbędnych zasobów ICT czy dostosowanie umów z zewnętrznymi dostawcami usług ICT. Krzysztof Dąbrowski podkreślił, że przeprowadzenie tych działań nie może być zlecone jednemu działowi, lecz jest wyzwaniem interdyscyplinarnym i wymaga zaangażowania wielu obszarów organizacji – zwłaszcza informatyki, compliance, bezpieczeństwa, przy wsparciu z poziomu zarządu.
Jolanta Gasiewicz wystąpiła w panelu na temat polityk zakupowych i przedstawiła wybrane elementy wdrożenia rozporządzenia w kontekście operacyjnym. W swojej wypowiedzi wskazała, że DORA kładzie ogromy nacisk na odpowiedzialność zarządu za obszar związany z nadzorem nad zewnętrznymi dostawcami usług ICT. Dodatkowo podkreśliła, że odpowiedzialność za zgodność z przepisami ponosi podmiot finansowy, dlatego ważne jest, żeby organizacja posiadała w swoich strukturach odpowiednie zasoby, w tym osoby mające odpowiednią wiedzę i kompetencje prawne oraz techniczne.
(AM, źródło: KNF)
