DORA obejmuje zarówno tradycyjne instytucje finansowe, jak i fintechy, które muszą dostosować się do nowych wymogów do 17 stycznia 2025 roku. Wymagania te będą kluczowe dla fintechów ze względu na ich unikalne uwarunkowania operacyjne, takie jak uzależnienie od zewnętrznych usług ICT oraz ograniczone zasoby kadrowe.

Unijne rozporządzenie DORA a branża FinTech

Firmy z sektora FinTech, bardziej niż inne instytucje finansowe, polegają na usługach dostawców zewnętrznych – od chmury obliczeniowej po analitykę danych. Wysoka zależność od usług ICT sprawia, że muszą się przyjrzeć swoim łańcuchom dostaw i dokonać jej analizy o. Podlegają też obowiązkowi stworzenia rejestru informacji o umowach, co może nastręczać nie lada trudności ze względu na format danych oczekiwany przez regulatora.

Kolejnym wyzwaniem związanym z dostosowaniem do wymogów regulacji jest konieczność szacowania ryzyka. Można porównać je do rysowania mapy niebezpieczeństw. Wyobraźmy sobie instytucję finansową jako statek na burzliwym oceanie. Analiza ryzyka to jak dokładna mapa, na której zaznaczone są wszystkie niebezpieczeństwa – od ukrytych raf po groźne prądy morskie. To także przyrządy nawigacyjne, które pozwalają zorientować się w aktualnej pozycji. Bez tej mapy i przyrządów nawet doświadczony kapitan jest skazany na ślepe dryfowanie w nieznane, narażając statek i jego pasażerów na katastrofę.

DORA wymaga także, by fintechy współpracowały tylko z dostawcami, którzy spełniają najwyższe standardy bezpieczeństwa informacji – gdy usługi ICT dotyczą krytycznych funkcji. Dzięki publikacji regulacyjnych standardów technicznych (RTS), fintechy mają wytyczne, jakie konkretne wymagania techniczne muszą spełnić dostawcy ICT.

Spełnienie wymogów DORA jest kluczowe nie tylko z perspektywy zgodności prawnej, ale również dla budowy zaufania klientów i partnerów biznesowych. Dziś informacja finansowa jest jedną z najcenniejszych. Bez odpowiedniej ochrony danych finansowych stoimy przed widmem ogromnych strat – nie tylko finansowych, ale także operacyjnych i reputacyjnych. Przestrzeganie DORA może być też ważnym atutem w relacjach z większymi partnerami biznesowymi, którzy wymagają od swoich dostawców zgodności z regulacjami.

Kluczowe aspekty DORA dla fintechów

Zarządzanie ryzykiem ICT. Fintechy muszą regularnie identyfikować, oceniać i monitorować ryzyko związane z dostawcami ICT. Analiza ryzyka powinna uwzględniać krytyczność danych i usług oraz wpływ ich utraty na funkcje biznesowe. Trzeba więc nie tylko oceniać ryzyko na bieżąco, ale również elastycznie dostosowywać poziom zarządzania ryzykiem do swojej skali i specyfiki działalności.

Na szczęście DORA opiera się na zasadzie proporcjonalnego podejścia do zarządzania ryzykiem i uwzględnia różne możliwości i potrzeby w zakresie instytucji finansowych w zależności od ich wielkości i charakteru działalności. Jednak oznacza to jednocześnie, że nie ma jednego, gotowego zestawu procedur lub dokumentów, których zastosowanie pozwoli ogłosić: „Jesteśmy zgodni z DORA”.

Testowanie odporności cyfrowej

Wymagane jest regularne testowanie systemów i procesów ICT, aby ocenić ich skuteczność wobec różnorodnych zagrożeń. RTS-y wskazują na konieczność częstych testów i aktualizacji systemów, co ma na celu zapobieganie przestojom i incydentom cyfrowym.

Obowiązek raportowania incydentów ICT

Firmy będą musiały raportować wszelkie poważne incydenty ICT do odpowiednich organów nadzoru. Standaryzacja procesu raportowania, określona w RTS-ach, pozwala na skuteczne monitorowanie zagrożeń i szybsze reagowanie.

Wdrażanie DORA w fintechach

Warto rozpocząć od oceny poziomu ryzyka i stworzenia planu wdrożenia z podziałem na etapy. DORA nie narzuca konkretnej metodyki analizy ryzyka, co daje fintechom swobodę wyboru narzędzi, które najlepiej odpowiadają ich potrzebom.

Na rynku dostępne są gotowe narzędzia – np. Dora register (https://doraregister.io/), która automatyzuje proces tworzenia rejestru dostawców na potrzeby DORA (jeden z elementów wdrożenia, który będzie wymagany przez KNF jako pierwszy).

W styczniu 2025 roku instytucje finansowe i współpracujący z nimi dostawcy ICT będą musieli wykazać, że działają zgodnie z rozporządzeniem DORA (Digital Operational Resilience Act) Jest to zatem ostatni dzwonek, aby rozpocząć intensywne prace nad analizą ryzyka, wdrożeniem odpowiednich narzędzi i weryfikacją dostawców ICT, by współpracować tylko z tymi, którzy spełniają najwyższe standardy bezpieczeństwa.