Aby osiągnąć zgodność z Rozporządzeniem DORA w kontekście dostawców zewnętrznych usług ICT, konieczne jest wcześniejsze zidentyfikowanie:
- Procesów zależnych od usług ICT dostarczanych przez zewnętrznych dostawców, w szczególności tych wspierających kluczowe lub istotne funkcje.
- Wszystkich umów dotyczących korzystania z usług ICT w celu prowadzenia działalności gospodarczej i świadczenia usług finansowych.
- Usług ICT podwykonawców, które wspierają kluczowe lub istotne funkcje w całym łańcuchu dostaw.
- Rozporządzenie DORA wprowadza wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych. Ma to na celu osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej. W tym kontekście istotne są ustalenia umowne między podmiotami finansowymi a zewnętrznymi dostawcami usług ICT.
W okresie od wejścia w życie do dnia stosowania Rozporządzenia, podmioty działające na rynku finansowym mają czas na analizę luk, dostosowanie się do jego wymogów i wdrożenie DORA. W tym czasie powinny przeprowadzić następujące działania: zidentyfikować, sklasyfikować i odpowiednio udokumentować wszystkie funkcje biznesowe wspierane przez ICT, zadania i obowiązki z nimi związane, a także zasoby informacyjne i ICT, które wspierają te funkcje.
Dodatkowo, podmioty działające na rynku finansowym powinny wskazać i udokumentować wszystkie procesy, które zależą od dostawców zewnętrznych usług ICT. Powinny również określić wzajemne powiązania z tymi dostawcami, którzy świadczą usługi wspierające kluczowe lub istotne funkcje.
Wprowadzenie akty wykonawcze do Rozporządzenia DORA będzie miało wpływ na niektóre wymogi. Te akty zostaną opracowane w dwóch pakietach, z terminem finalizacji do 17 stycznia 2024 roku oraz do 17 lipca 2024 roku. Ważne jest śledzenie postępów prac w tym zakresie. Warto również uwzględnić czas, jaki pozostanie od finalizacji ostatnich aktów wykonawczych do rozpoczęcia stosowania Rozporządzenia DORA. W związku z tym, działania wdrożeniowe powinny zostać podjęte niezwłocznie, uwzględniając postępy prac nad tymi aktami wykonawczymi.
Należy więc jak najszybciej rozpocząć proces identyfikacji i dostosowania umów dotyczących korzystania z usług ICT od zewnętrznych dostawców tych usług, aby spełnić wymogi Rozporządzenia DORA w omawianym zakresie od dnia jego wprowadzenia (17 stycznia 2025 roku). W przeciwnym razie podmioty finansowe nie będą w pełni zgodne z przepisami Rozporządzenia DORA.
https://rigdora.pl/ - narzędzie do wdrożenia DORA