Rozporządzenie Digital Operational Resilience Act (DORA)
Rozporządzenie Digital Operational Resilience Act (DORA) nakłada na podmioty finansowe obowiązek zarządzania incydentami związanymi z ICT oraz zgłaszania tego rodzaju poważnych incydentów do organu nadzoru. Poważny incydent związany z ICT to incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne wspierające krytyczne lub istotne funkcje podmiotów finansowych.
Zgodnie z art. 23 DORA, tego rodzaju wymogi odnoszą się również do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami, które wystąpiły w instytucjach kredytowych, instytucjach płatniczych, instytucjach pieniądza elektronicznego oraz u dostawców świadczących usługę dostępu do informacji o rachunku.
System raportowania stworzony przez CSIRT KNF umożliwia skuteczną klasyfikację oraz zgłaszanie takich incydentów zgodnie z kryteriami DORA. Narzędzie wspiera podmioty finansowe w określaniu wpływu incydentów i spełnianiu wymogów regulacyjnych, zapewniając klarowność, zgodność oraz sprawną komunikację z organem nadzoru.
W celu zapewnienia skutecznego przepływu informacji raportowanie incydentów zostało podzielone na 3 etapy:
- wstępne powiadomienie;
- sprawozdanie śródokresowe;
- sprawozdanie końcowe.
Dodatkowo zostały także wprowadzone ramy czasowe, na każdy z wyżej wymienionych etapów:
- Wstępne powiadomienie składane jest tak szybko, jak to możliwe, ale maksymalnie w ciągu czterech godzin od sklasyfikowania incydentu związanego z ICT jako poważny i nie później niż 24 godziny od momentu, w którym podmiot finansowy dowiedział się o incydencie.
- Sprawozdanie śródokresowe składane jest do 72 godzin od zgłoszenia wstępnego powiadomienia.
- Sprawozdanie końcowe składane jest do 30 dni od złożenia sprawozdania śródokresowego.