Unijne regulacje dotyczą takich zagadnień jak zarządzanie ryzykiem, ujednolicenie, rozbudowanie i scentralizowanie zgłaszania poważnych incydentów, cykliczne testy penetracyjne systemów, a także stworzenie ram kontroli i nadzoru wśród krajowych i unijnych organów.

Przepisy DORA wchodzą w życie. Co to oznacza dla sektora FinTech?

DORA (Digital Operational Resilience Act) obejmuje zarówno tradycyjne instytucje finansowe, jak i fintechy, które musiały dostosować się do nowych wymogów do 17 stycznia 2025 roku. Rozporządzenie ma na celu regulowanie kwestii związanych z zarządzaniem ryzykiem operacyjnym w zakresie technologii informacyjnych i komunikacyjnych (ICT) w sektorze finansowym. Banki i fintechy muszą wdrożyć szereg środków zapobiegających incydentom technologicznym, takim jak cyberataki oraz dostosować umowy z dostawcami ICT do nowych wymogów​.

DORA nakłada również obowiązek raportowania incydentów ICT i przeprowadzania regularnych testów odporności technologicznej. Wdrożenie wszystkich wymogów DORA zapewne będzie dość złożone i kosztowne dla instytucji finansowych – zarówno banków, jak i fintechów.

Firmy z sektora FinTech, bardziej niż inne instytucje finansowe, polegają na usługach dostawców zewnętrznych – od chmury obliczeniowej po analitykę danych. Wysoka zależność od usług ICT sprawia, że muszą się przyjrzeć swoim łańcuchom dostaw i dokonać jej analizy o. Podlegają też obowiązkowi stworzenia rejestru informacji o umowach, co może nastręczać nie lada trudności ze względu na format danych oczekiwany przez regulatora.

Kolejnym wyzwaniem związanym z dostosowaniem do wymogów regulacji jest konieczność szacowania ryzyka. DORA wymaga także, by fintechy współpracowały tylko z dostawcami, którzy spełniają najwyższe standardy bezpieczeństwa informacji – gdy usługi ICT dotyczą krytycznych funkcji. Dzięki publikacji regulacyjnych standardów technicznych (RTS), fintechy mają wytyczne, jakie konkretne wymagania techniczne muszą spełnić dostawcy ICT.

Co z przepisami w Polsce?

W Polsce przepisy DORA ma zaimplementować „Ustawa o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego”. Jej projekt jest obecnie w trakcie procesowania, a postępy prac można śledzić na stronach Rządowego Centrum Legislacji. Na razie nie wiadomo, kiedy ustawa wejdzie w życie. Co do zasady unijne rozporządzenia stosuje się wprost, ale niektóre aspekty wymagają jednak uszczegółowienia ustawą. Chodzi między innymi o kary za niestosowanie przepisów.

Pod koniec zeszłego roku KNF opublikował swoje stanowisko w sprawie DORA. Czytamy w nim, że obecny brak przepisów krajowych zapewniających stosowanie rozporządzenia nie wstrzymuje obowiązku przestrzegania przez podmioty
finansowe wymogów wynikających z unijnych regulacji. Pełne stanowisko KNF w sprawie DORA można znaleźć tutaj.