Koniec roku to w sektorze finansowym tradycyjnie czas podsumowań i audytów. W tym roku ma on jednak szczególne znaczenie. 17 stycznia 2025 roku weszło w życie rozporządzenie DORA (Digital Operational Resilience Act). Dla Biur Usług Płatniczych (BUP), nawet tych najmniejszych, oznacza to koniec ery „dobrowolnego” dbania o IT i początek ery twardych wymogów w zakresie odporności cyfrowej.
Jeśli Twoje biuro usług płatniczych zatrudnia mniej niż 10 osób, a jego obrót nie przekracza 2 mln EUR, kwalifikujesz się jako mikroprzedsiębiorstwo. Dobra wiadomość? Podlegasz uproszczonym ramom zarządzania ryzykiem ICT (zgodnie z art. 16 DORA) i kilku dodatkowym zwolnieniom z obowiązków DORA. Zła wiadomość? Obowiązek okresowych przeglądów jest nieubłagany.
Uproszczone ramy, czyli co musi mieć BUP?
Uproszczenie nie oznacza braku obowiązków. Zgodnie z art. 16 ust. 1 rozporządzenia DORA oraz standardem RTS 2024/1774, Twoja organizacja musi posiadać:
- Prawidłowe i udokumentowane ramy zarządzania ryzykiem ICT – czyli zestaw polityk, które określają, jak chronisz dane klientów.
- Politykę bezpieczeństwa informacji – jeden spójny dokument określający zasady ochrony poufności i dostępności danych.
- Plany ciągłości działania (BCP) i odzyskiwania danych (DRP) – musisz wiedzieć, co zrobisz, gdy system lub dostęp do bankowości zawiedzie.
Dlaczego przegląd właśnie teraz?
Artykuł 16 ust. 2 DORA oraz art. 28 ust. 2 lit. d rozporządzenia RTS 2024/1774 nakładają na organ zarządzający (Zarząd BUP) obowiązek okresowego przeglądu ram zarządzania ryzykiem.
DORA oraz, mam nadzieję, Twoja wewnętrzna procedura wprost zaleca wykonanie analizy ryzyka przynajmniej raz w roku. Wykonanie tej czynności teraz pozwala na:
- Weryfikację inwentarza sprzętu (ISMS-A05-09-1) – czy np. każdy laptop i pendrive jest w ewidencji?.
- Aktualizację Rejestru Dostawców ICT – zgodnie z art. 28 ust. 3 DORA, musisz mieć spis wszystkich umów, w tym numery LEI swoich partnerów.
- Testowanie kopii zapasowych – procedura ISMS-C01-1 wymaga testu pełnego odtworzenia systemu raz w roku. Jeśli jeszcze tego nie zrobiłeś w ciągu roku – to ostatni moment.
Jak przeprowadzić przegląd? (Krótki poradnik po naszych procedurach)
- Uruchom procedurę ISMS-09-3 (Przegląd zarządzania): Zwołaj spotkanie kierownictwa jeśli jesteś w większej firmie. Przeanalizujcie incydenty z mijającego roku oraz wyniki testów bezpieczeństwa. Przeanalizujcie procedury i ich zgodność z aktualnych prawem.
- Wypełnij Raport z przeglądu (wzór ISMS-09-3a): Dokument ten musi zawierać podsumowanie profilu ryzyka i skuteczności Twoich zabezpieczeń. Pamiętaj, że sprawozdanie to musi być zatwierdzone przez Zarząd.
- Zweryfikuj dostawców: Upewnij się, że Twój „Excelowy” rejestr zawiera informacje o krytyczności usług i exit planach (strategiach wyjścia).
- Ustal plan na 2026: DORA wymaga, aby każda „poważna zmiana” w systemie była poprzedzona oceną ryzyka. Zaplanuj szkolenia dla pracowników (np. z phishingu) na nadchodzący rok.
Podsumowanie
Dla mikroprzedsiębiorcy takiego jak BUP zarządzanie ryzykiem ICT to nie tylko „papierologia”. To realna ochrona przed karami finansowymi i utratą reputacji. Zatwierdzony protokół przeglądu DORA jest pierwszym dokumentem, o który zapyta KNF w trakcie kontroli.
Nie czekaj – zrób audyt teraz, by wejść w nowy rok z bezpiecznym i zgodnym z prawem biurem.
