Unijne regulacje DORA (Digital Operational Resilience Act), mające na celu zwiększenie poziomu cyberbezpieczeństwa w sektorze finansowym, wchodzą w życie 17 stycznia 2025 roku. Mimo że badania McKinsey sugerują, iż koszty dostosowania się do tych regulacji mogą być znacznie wyższe niż pierwotnie zakładano, senior associate w KWKR Gabriela Kocurek wraz z innymi ekspertami na łamach portalu Bizblog.pl uspokaja, że w praktyce, szczególnie dla mniejszych organizacji, wydatki te mogą być niższe. Zapraszamy do lektury!
Dla wielu firm w Polsce DORA nie jest rewolucją, a raczej ewolucją w kierunku zwiększenia bezpieczeństwa cybernetycznego. Wdrożenie tych regulacji może przynieść szereg korzyści, takich jak zmniejszenie liczby incydentów naruszenia bezpieczeństwa, redukcja strat związanych z cyberprzestępczością oraz wzrost zaufania klientów.
Gabriela Kocurek, radca prawny i ekspert ds. regulacji FinTech w naszej kancelarii, rzuca nowe światło na proces wdrażania DORA. Podkreśla, że Komisja Europejska w dużej mierze wypełniła swój harmonogram, publikując 17 lipca drugi pakiet finalnych wersji projektów standardów technicznych. Zwraca jednak uwagę na opóźnioną publikację (26 lipca) finalnej wersji projektu standardów dotyczących podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje.
Senior associate w KWKR podkreśla znaczenie tych standardów zarówno dla podmiotów finansowych, jak i dostawców ICT. Wyjaśnia, że wcześniejsze wdrożenia opierały się na wersjach RTS (Regulatory Technical Standards) udostępnionych na etapie konsultacji publicznych, które uległy zmianie, co generowało dodatkowe prace w projektach wdrożeniowych. Dodaje jednak, że w projektach zwykle przewidywany był stosowny bufor kosztowy i czasowy na ewentualne zmiany w harmonogramie wydawania RTS.
Obecnie branża oczekuje na formalne zatwierdzenie przez Komisję Europejską kompletu finalnych wersji drugiego pakietu RTS. Ten najprawdopodobniej nie ulegnie już zmianie i nie będzie generować opóźnień ani zwiększać kosztów. Ekspert wskazuje też na złożoność procesu wdrażania DORA, ale jednocześnie sugeruje, że firmy, które we współpracy z ekspertami odpowiednio zaplanowały swoje działania, powinny być w stanie dostosować się do nowych regulacji w wyznaczonym terminie.