Jak koncentracja na kluczowych procesach, danych i zdolności do ich szybkiego odtworzenia staje się fundamentem stabilności instytucji finansowej. W połączeniu z cyberodpornością jako filarem zgodności z regulacjami i ochrony przed incydentami, MVC wyznacza praktyczną ścieżkę budowania odpornej organizacji.
Celem dyskusji jest podsumowanie wpływu uchylenia wcześniejszych regulacji i zastąpienia ich przez DORA. Uczestnicy zastanowią się, czy nowe przepisy rzeczywiście wypełniły lukę regulacyjną i zapewniły jednoznaczne interpretacje, a także jak wpłynęły na procesy, zespoły, budżety oraz strukturę compliance w instytucjach finansowych. Ważnym elementem rozmowy będzie również zestawienie podejścia do cyberodporności z szerzej definiowaną odpornością operacyjną – czy obie te perspektywy tworzą spójną całość, czy też generują dodatkowe wyzwania.
Regulacja DORA to wielowymiarowy program angażujący IT, bezpieczeństwo, ryzyko, operacje i biznes. Podczas wystąpienia pokażę jak skutecznie zarządzać programem regulacyjnym: od zbudowania wspólnego celu, przez zarządzanie interesariuszami, po monitorowanie postępów i radzenie sobie z konfliktami odpowiedzialności.
W trakcie wystąpienia omówione zostaną wyzwania podmiotów finansowych w przygotowywaniu się do zgodności z AI Act, w kontekście innych wymogów regulacyjnych dla ICT oraz outsourcingu. W szczególności:
- regulacje mające zastosowanie do wykorzystania AI przez podmiot finansowy
- definicje prawne 'systemu AI' oraz 'usługi ICT'
- zarządzanie ryzykami AI w świetle ram zarządzania ryzykiem ICT
- regulacje i standardy dla AI w chmurze obliczeniowej
Instytucje finansowe implementują wymogi DORA. Ale co dokładnie implementują? Niektórzy tworzą dużą ilość dokumentacji i regulacji (zwykle będącą zmodyfikowanymi materiałami z RODO lub ISO27001), inni kupują sprzęt i oprogramowanie, bo handlowiec obiecał, że jest wymagane przez DORA. Problem bierze się z tego, że nie bardzo wiadomo kto ma w efekcie końcowym za implementację wymogów DORA odpowiadać: Zarząd? Compliance? Dział prawny? Dział IT? Na naszym wystąpieniu spróbujemy uporządkować ten galimatias i pokazać, jak w spójny i rzetelny sposób zaimplementować DORA tak aby wszyscy mówili o tym samym, ale każdy językiem zrozumiałym dla siebie. A wisienką na torcie będzie to, że system pomiaru DORA będzie całkowicie samodzielnie wypełniał się wskaźnikami zagrożeń technicznych - dla łańcuch dostawców też!
Bezpieczeństwem w kontekście procesu wytwarzania oprogramowania interesuję się ponad 5 lat. Czy obecnie jest lepiej (bezpieczniej) niż było 5 lat temu? Czy tworzenie bezpiecznego oprogramowania jest łatwiejsze niż było kiedyś? Odpowiedź brzmi: nie i nie. Te same problemy, które mieliśmy kilka lat temu nadal są obecne, doszło też kilka nowych. Wszędzie tam, gdzie zapragniemy użyć jakiegoś zewnętrznego komponentu open source możemy napotkać coś złośliwego lub coś, co używamy może w kolejnej wersji stać się złośliwe. Na podstawie różnych przykładów ta prezentacja ma na celu pokazanie, na co należy uważać podczas tworzenia oprogramowania.
Przyjrzymy się:
• problemom w zewnętrznych bibliotekach (dostępnych poprzez npm, pypi, Nuget, Packagist itd.),
• błędom w infrastrukturze oraz narzędziach wykorzystywanych podczas tworzenia oprogramowania,
• wybranym niedawnym incydentom związanym z bezpieczeństwem oprogramowania.
Na koniec omówimy przeciwdziałania i dobre praktyki pod kątem bezpiecznego tworzenia oprogramowania.
Rozporządzenie DORA ma na celu zwiększenie harmonizacji przepisów dotyczących odporności cyfrowej w sektorze finansowym w całej Unii Europejskiej. Nowe regulacje w wielu przypadkach zastępują dotychczasowe lokalne wytyczne i stanowiska nadzorcze, wprowadzając jednolite ramy prawne dla instytucji finansowych oraz dostawców usług ICT. W trakcie wystąpienia przyjrzymy się, które obszary zostały rzeczywiście ujednolicone, a gdzie pozostawiono przestrzeń na krajowe interpretacje i dostosowania. Omówimy również, w jaki sposób wybrane organy nadzoru skorzystały z przysługujących im uprawnień w zakresie implementacji i egzekwowania przepisów DORA. Zapraszamy na subiektywny przegląd podejść regulacyjnych w różnych państwach członkowskich UE, który pozwoli lepiej zrozumieć praktyczne wyzwania i różnice w interpretacji przepisów dotyczących operacyjnej odporności cyfrowej.
Nowe regulacje DORA wprowadzają znaczące zmiany w zarządzaniu ryzykiem ICT oraz odpornością operacyjną instytucji finansowych. Zakończono erę "papierowego bezpieczeństwa", ograniczającego się do spisywania polityk i procedur. W obecnych czasach regulatorzy wymagają solidnych dowodów w postaci rzeczywistych działań, konkretnych efektów oraz nieustającego nadzoru. Prezentacja przedstawi, jak opracować system zgodności z DORA, opierając się na praktykach audytu informatycznego i wewnętrznego. System ten umożliwi nie tylko spełnianie wymagań, ale także ich łatwe wykazanie. Uczestnicy dowiedzą się, jak transformować procesy od checklist i deklaracji zgodności do "kultury operacyjnej odporności cyfrowej", w której zgodność podlega regularnemu mierzeniu, obserwacji i ulepszaniu. Zostaną ujęte następujące zagadnienia: - Jak wykazać skuteczność mechanizmów kontrolnych ICT i w jaki sposób działy Compliance mogą w tym pomóc, - Praktyczne podejście do dokumentowania zgodności – co powinno być gotowe do przedstawienia regulatorowi, - Wskazówki dotyczące projektowania systemu ciągłego monitorowania oraz wyboru mierników opartych na wymaganiach DORA.
Podczas prelekcji skupimy się na analizie rozbieżności pomiędzy definicją usługi ICT zawartą w rozporządzeniu DORA a praktycznym katalogiem usług ICT stosowanym przez dostawców, np. w ITS. Z perspektywy dostawcy wykażemy, że nie każda usługa ICT świadczona na rzecz instytucji finansowej musi automatycznie podlegać pełnym wymogom DORA. Kluczowe będzie zaprezentowanie metodyki oceny usługi ICT, która pozwala na określenie, czy dana usługa rzeczywiście mieści się w zakresie regulacyjnym DORA.
Wskażemy, jak podejść do klasyfikacji usług, aby uniknąć nadmiernych, nieadekwatnych lub wręcz niepotrzebnych wymogów umownych – np. w przypadku usług developerskich czy body leasingu. Uczestnicy dowiedzą się, że w niektórych przypadkach wdrożenie aneksu DORA nie jest konieczne, a bezpieczeństwo i odporność operacyjna mogą być zapewnione innymi, proporcjonalnymi środkami.
Współczesna rozprawa między Panem, Wójtem a Plebanem – czyli jak znaleźć złoty środek między tym co chcemy osiągnąć, co możemy, a czego oczekuje nasz klient?
Jak menadżer projektu w realiach obsługi zdalnej może zadbać o bezpieczeństwo klienta, gdy oczekiwania biznesu zderzają się z wymaganiami regulacyjnymi i bezpieczeństwa oraz możliwościami technologii?
Zobaczmy, dlaczego na wdrożenie projektu nie można patrzyć tylko z perspektywy wymagań DORA oraz jak nie stracić widoku klienta w całej projektowej układance.
Podczas prezentacji zostanie omówiony sposób budowania systemów łączności stanowiących fundament funkcjonowania współczesnych systemów informatycznych. Podczas prezentacji na przykładzie doświadczeń zebranych w czasie powodzi na Dolnym Śląsku zostanie przedstawiona strategia budowania wielowarstwowego systemu łączności. Prezenter wskaże sposoby połączenia łączy światłowodowych, LTE/5G oraz satelitarnych na potrzeby realizacji komunikacji realtime. Punktem kulminacyjnym prezentacji będzie pokaz symulujący połączenie wideokonferencyjne w oparciu o system bazujący na protokole SIP, poddawany atakowi DDoS. W przypadku realizacji strategii wielowarstwowości podczas ataku system przekierowuje ruch na media niebędące wystawionymi bezpośrednio do Internetu bez zrywania sesji. W dobie optymalizacji kosztów po stronie operatorów sieci światłowodowych musimy pamiętać, iż wpływ na nasze bezpieczeństwo to również dywersyfikacja mediów transmisyjnych. By spełnić wymagania stawiane przez regulacje DORA warto przyglądać się technologiom satelitarnym, których rozwój pozwala traktować je jako logiczną alternatywę dla sieci światłowodowych. Dywersyfikacja w tym obszarze stanowi swoiste koło ratunkowe dla wszystkich organizacji obligowanych do spełnienia regulacji DORA.
Jako uczestnik dyskusji przy okrągłym stole wymienisz się opiniami i doświadczeniami z osobami o różnym poziomie doświadczenia, w zróżnicowanych branżach. Część z nich zmaga się z podobnymi wyzwaniami, część już je rozwiązała i może podzielić się swoją drogą. Dzięki temu spojrzysz na dany problem z różnych perspektyw i znajdziesz odpowiedzi na swoje wątpliwości.
Dyskusje prowadzą eksperci z ogromną wiedzą i doświadczeniem, więc możesz liczyć na wartościowe wskazówki oraz inspiracje! Tematyka dyskusji jest tak różnorodna, że na pewno znajdziesz wartościową pozycję dla siebie!
To idealne miejsce, aby nawiązać nowe kontakty i wymienić się praktycznymi doświadczeniami w atmosferze otwartej dyskusji! Rozpoczęte rozmowy bardzo często przenoszą się w kuluary, a nawet poza konferencję
Wybierz temat dla siebie!
Dyskusja o wyzwaniach i szansach, jakie niesie rozporządzenie DORA w kontekście odporności cyfrowej instytucji finansowych. Omówimy jak regulacyjne wymogi w zakresie zarządzania ryzykiem ICT, testowania i planów odtwarzania przekładają się na praktyczne działania w organizacjach oraz czy prowadzi to do realnej cyberodporności na ataki.
- DORA jako katalizator zmian – jak regulacja wpływa na podejście do zarządzania ryzykiem ICT, testowania odporności oraz zarządzania incydentami.
- Synergia regulacji i praktyki – w jaki sposób wymagania DORA mogą wspierać istniejące ramy bezpieczeństwa (np. NIST, ISO 27001) i praktyki cyberresilience.
- Doświadczenia rynkowe – najlepsze praktyki i przykłady z organizacji, które już wdrożyły rozwiązania dla zgodności z DORA.
- Podejście praktyczne vs. compliance – jak połączyć obowiązki regulacyjne z realnym wzmacnianiem bezpieczeństwa i ciągłości działania.
- Przyszłość cyberodporności – jakie długofalowe efekty może przynieść DORA w skali całego sektora finansowego i ekosystemu technologicznego.
Podczas dyskusji przyjrzymy się wyzwaniom związanym z klasyfikacją i raportowaniem poważnych incydentów ICT w kontekście wymogów rozporządzenia DORA oraz interpretacji organów nadzoru. Po kilku miesiącach stosowania przepisów w praktyce okazuje się, że ich literalne stosowanie może prowadzić do konieczności raportowania zdarzeń, które realnie nie stanowią incydentów o dużym negatywnym wpływie na sieci i systemy informatyczne. Uczestnicy będą mogli wymienić się doświadczeniami, omówić przykłady niejasnych lub kontrowersyjnych sytuacji oraz wspólnie poszukać dobrych praktyk, które pomogą w spójnej i racjonalnej interpretacji obowiązków.
Wdrożenie regulacji DORA to nie tylko teoria i interpretacje przepisów – to przede wszystkim codzienna praktyka, wyzwania i sposoby ich rozwiązywania. Podczas tej dyskusji porozmawiamy o tym, jak banki i instytucje finansowe faktycznie podchodzą do dostosowania systemów, procesów i organizacji do wymagań DORA. Będzie to okazja do otwartej wymiany doświadczeń – zarówno z perspektywy dużych instytucji, jak i sektora banków spółdzielczych. Uczestnicy podzielą się dobrymi praktykami, napotkanymi barierami oraz pomysłami na skuteczne wdrożenia. Dyskusja pozwoli lepiej zrozumieć, które elementy regulacji sprawiają najwięcej trudności w praktyce i jak je przekładać na realne działania operacyjne oraz techniczne.
Podczas dyskusji przyjrzymy się wyzwaniom związanym z całościowym zarządzaniem ryzykiem ze strony zewnętrznych dostawców usług ICT. Po kilku miesiącach stosowania przepisów rozporządzenia DORA okazuje się, że nadal wiele kontrowersji przynosi praktyczne stosowania regulacji odnoszących się do wstępnej oceny zewnętrznych dostawców usług ICT wraz z oceną ryzyka koncentracji w obszarze ICT. Dodatkowo nadal negocjowane są umowy dotyczące korzystania z usług ICT oraz korzystania z usług ICT wspierających krytyczne lub istotne funkcje ze względu na obowiązujący (dopiero) od 22 lipca 2025 r. RTS 2025/532 określający elementy, które podmiot finansowy powinien określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje.
DORA wprowadza obowiązek wdrożenia i testowania ram zarządzania ryzykiem IT. Dla instytucji finansowych, w tym banków zarządzanie ryzykiem IT oparte na ocenie zgodności z wymaganiami czy międzynarodowymi standardami może okazać się niewystarczające. W ramach okrągłego stołu porozmawiamy o stosowanych podejściach – opartych na ocenie zgodności czy identyfikacji zagrożeń, stosowanych metodykach oceny ryzyka czy kontekście analizy ryzyka. Nie zabraknie także dyskusji o tym, kiedy ryzyko akceptować, a kiedy podejmować działania naprawcze.
Pobieranie biogramu... Proszę czekać...
Warsztaty skierowane są do osób odpowiedzialnych za bezpieczeństwo, zgodność i zarządzanie ryzykiem w organizacjach, które chcą zdobyć praktyczne umiejętności w zakresie prowadzenia audytów oraz utrzymywania cyberodporności operacyjnej zgodnej z rozporządzeniem DORA.
Podczas spotkania uczestnicy poznają:
Przygotowanie i przebieg audytu – od analizy wstępnej po realizację działań kontrolnych.
Czynności poaudytowe i utrzymanie zgodności – dokumentacja, prowadzenie rejestrów, monitorowanie infrastruktury ICT, testy odporności, zarządzanie ryzykiem oraz audyt wewnętrzny.
Wymagania wobec dostawców ICT – jak weryfikować i monitorować podmioty trzecie w kontekście zgodności i bezpieczeństwa.
Warsztaty mają charakter praktyczny – uczestnicy zyskają wiedzę i narzędzia, które pozwolą im skutecznie przygotować organizację do audytu oraz utrzymać zgodność operacyjną na co dzień.
Pobieranie biogramu... Proszę czekać...
