Monitor Prawniczy
no. 8/2025
ICT classifications and incidents following the initiation of DORA
DOI: 10.32027/MOP.25.8.5
Autor jest radcą prawnym, doktorantem Uniwersytetu Ekonomicznego w Krakowie, jego praktyka i zainteresowania naukowe skupiają się na prawie nowych technologii, w szczególności cyberbezpieczeństwie
Abstract
The article delineates the recent obligations incumbent upon financial institutions to classify and report ICT incidents in accordance with DORA Regulation (EU 2022/2554). The author proceeds to discuss the definition of an ICT incident, the eight-criteria classification model, and materiality thresholds set forth in Executive Order 2024/1772. The text places particular emphasis on identification of incidents considered serious, and the three-step model for their reporting procedure. The article emphasises that the classification of incidents serves not only the reporting function, but is an important element of ICT risk management and macroprudential supervision. It is also important to consider the legal consequences that institutions and board members may face if they fail to meet their disclosure obligations to customers.
Keywords
DORA, ICT incidents, incident classification, financial sector, cyber security, operational risk, financial supervision, incident reporting
Literature
A. Arshhad, A. Ahmad, S.B. Maynard, Factors Influencing the Organizational Decision to Outsource IT; J. Greser, Wprowadzenie [w:] FinTech. Nowe technologie w sektorze bankowym, pod red. K. Szpyta, 2024; Rozporządzenie UE w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Komentarz, pod red. J. Byrskiego, J. Kurek-Sobieraj, Warszawa 2025; D. Echaust-Przybytniak, Regulacyjne ramy operacyjnej odporności cyfrowej w sektorze finansowym - zagadnienia wybrane, „Prawo Nowych Technologii” Nr 3/2024, s. 50-56; ENISA, 2023. Cybersecurity Threat Landscape for the Financial Sector. European Union Agency for Cybersecurity, https://www.enisa.europa.eu/publications/enisa-threat-landscape-finance-sector; European Commission, 2020. EU Cybersecurity Strategy for the Digital Decade, https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0; M. Kulesza, P. Filipowski, Ryzyko wykorzystywania usług ICT w sektorze finansowym, dodatek do MoP 15/2022, s. 1038-1045; Rekomendacje Zarządu Związku Banków Polskich z dnia 9 października 2024 r. ws. zgodnych z Rozporządzeniem DORA wzorów aneksów do umów o świadczenie usług ICT, 9.10.2024 r.; Rozporządzenie DORA - rewolucja czy ewolucja w polskim sektorze bankowym? Raport Związku Banków Polskich we współpracy z EY, https://www.ey.com/pl_pl/insights/law/raport-rozporzadzenie-dora-rewolucja-czy-ewolucja-w-polskim-sektorze-bankowym; M. Synowiec, Wpływ DORA na wybrane wymogi związane z outsourcingiem bankowym, MoP Nr 1/2024, s. 18-26; A. Szulc, Obowiązki podmiotów finansowych w obszarze cyberbezpieczeństwa w świetle prawodawstwa Unii Europejskiej, „Zeszyt Prawniczy UAM” Nr 14/2024.
