W dynamicznie rozwijającym się cyfrowym świecie, technologia stała się nieodłącznym elementem sektora finansowego. Wraz z postępującą cyfryzacją, pojawiają się nowe zagrożenia i wyzwania związane z cyberbezpieczeństwem, które mogą mieć poważne konsekwencje dla stabilności całego systemu.
W odpowiedzi na te wyzwania, Unia Europejska wprowadziła rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego tzw. DORA [Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE)].
DORA to kompleksowy akt prawny, mający na celu zwiększenie odporności operacyjnej podmiotów sektora finansowego. Czym dokładnie jest DORA, jakie są jej cele, kogo obejmuje i co reguluje? Ten tekst niech będzie wprowadzeniem w tę niezwykle ciekawą i skrojoną na obecne czasy tematykę.
Technologie informacyjno-komunikacyjne ICT. Czym właściwe są?
ICT (Information and Communication Technologies) to szerokie pojęcie, które obejmuje wszelkie technologie używane do przetwarzania, przechowywania, przesyłania i zabezpieczania informacji. Na gruncie rozporządzenia DORA, ICT będące przedmiotem jego regulacji to w szczególności wszelkie technologie stosowane w bankowości, świadczeniu usług finansowych w ogóle, e-commerce, komunikacji, rzez podmioty realizujące płatności elektroniczne, sektor ubezpieczeń, czy dostawców usług back-office, a także dostawców usług chmurowych.
Kontekst i geneza DORA – dlaczego potrzebujemy nowych regulacji?
W motywach rozporządzenia wskazano, że za potrzebą jego wprowadzenia przemawiały m.in. istniejące rozbieżności legislacyjne i niejednolite podejścia regulacyjne w poszczególnych państwach członkowskich UE. One zaś generują przeszkody dla funkcjonowania rynku wewnętrznego w zakresie usług finansowych, utrudniając transgraniczną działalność podmiotów finansowych i zakłócając konkurencję. Przepisy w tym zakresie nie były do tej pory harmonizowane. Jak podkreśla się jednocześnie w motywach rozporządzenia – jest to konieczne dla zachowania stabilności finansowej rynku wspólnotowego w sytuacji gdy od efektywności i skuteczności tych technologii uzależnionych jest coraz więcej dziedzin naszego życia.
Funkcjonujące przed era DORA, podejście do ryzyka operacyjnego skupiało się głównie na zapewnieniu pokrycia ryzyka operacyjnego odpowiednim kapitałem. Dzisiaj takie podejście straciło swoją aktualność.
Innymi słowy DORA ma na celu ujednolicenie podejścia i zwiększenie odporności operacyjnej w całym sektorze finansowym. Wprowadzenie DORA jest także podyktowane potrzebą zapewnienia spójności z innymi regulacjami UE w obszarze cyberbezpieczeństwa, takimi jak dyrektywa NIS2.
Reasumując, DORA wprowadzono aby realizować następujące cele:
- konieczność harmonizacji i wzmocnienia odporności operacyjnej w obliczu tych zagrożeń (motyw 2);
- konieczność ustalenia jasnych i weryfikowalnych zasad współpracy i nadzoru nad dostawcami usług technologicznych (np. dostawców chmurowych), z uwagi na uzależnienie się od nich podmiotów finansowych (motyw 8 i 22);
- konieczność konsolidacji i aktualizacji wymogów dotyczących ryzyka związanego z ICT jako części wymogów dotyczących ryzyka operacyjnego zawartych dotychczas osobno w różnych unijnych aktach prawnych (motyw 12);
- potrzeba wzmocnienia nadzoru – ujednolicenie i wzmocnienie kompetencji oraz uprawnień organów nadzoru w tym umożliwienie organom nadzoru finansowego uzyskania informacji na temat cyberincydentów, obowiązek przekazywania informacji przez organy nadzoru innym organom publicznym spoza nadzoru, wsparcie przed podkomitet EUN tzw. „forum nadzoru” (motyw 24 i 52, 86).
Zakres podmiotowy DORA – kto podlega regulacjom rozporządzenia?
Można wyróżnić trzy grupy podmiotów, które są zobligowane wdrożyć DORA. Pierwszą grupę stanowią podmioty sektora finansowego. Będzie więc to większość instytucji działających w sektorze finansowym, w tym:
- Banki (instytucje kredytowe),
- Instytucje płatnicze,
- Instytucje pieniądza elektronicznego,
- Firmy inwestycyjne,
- Towarzystwa ubezpieczeniowe i zakłady reasekuracyjne,
- Fundusze inwestycyjne, w tym zarządzające nimi towarzystwa,
- Firmy prowadzące systemy emerytalne,
- Dostawcy usług płatniczych, takich jak inicjowanie płatności (PISP) czy dostęp do rachunków (AISP).
Do drugiej grupy zaliczymy podmioty infrastrukturalne rynku finansowego:
- Izby rozliczeniowe (CCP),
- Centralne depozyty papierów wartościowych (CSD),
- Systemy płatności i rozrachunku.
Do trzeciej grupy zaś, zewnętrznych dostawców usług ICT, i będą to:
- Dostawcy chmury obliczeniowej, zarządzania danymi i infrastruktur technologicznych,
- Dostawcy usług bezpieczeństwa ICT, w tym usług związanych z ochroną przed cyberzagrożeniami,
- Firmy zajmujące się outsourcingiem technologii ICT, które współpracują z sektorem finansowym.
Jakie obowiązki musi spełnić podmiot finansowy, aby zapewnić zgodność z DORA?
Rozporządzenie DORA nakłada na podmioty finansowe naprawdę sporo obowiązków, których zasadniczym zadaniem jest zwiększenie odporności operacyjnej tych podmiotów na zakłócenia immanentnie związane ze stosowaniem technologii ICT. Poniżej szczegółowo przestawię obowiązki jakie DORA nakłada na podmioty finansowe. W ogólności trzeba wymienić tutaj zarządzanie ryzykiem ICT, raportowanie incydentów, testowanie systemów oraz zarządzanie relacjami z dostawcami zewnętrznymi. Wszystkie wymogi mają na celu zapewnienie tego, by podmioty finansowe mogły skutecznie reagować na zagrożenia cyfrowe i chronić stabilność rynku finansowego w obecnej epoce cyfrowej.
1. Zarządzanie ryzykiem ICT (Art. 5–14)
Podmioty rynku finansowego muszą wdrożyć systemowe podejście do zarządzania ryzykiem związanym z ICT, obejmujące:
- Strategie i polityki: Opracowanie i wdrożenie strategii zarządzania ryzykiem ICT, które muszą być zgodne z ogólną strategią działalności.
- Identyfikacja zagrożeń: Regularne monitorowanie i identyfikacja potencjalnych zagrożeń, takich jak cyberataki czy awarie systemów.
- Zarządzanie ciągłością działania: Zapewnienie planów awaryjnych i procedur odzyskiwania danych, aby minimalizować skutki incydentów ICT oraz konieczność wykorzystywania i utrzymywania zaktualizowanych systemów, protokołów i narzędzi ICT.
- Uczenie się i personel: Dysponowanie zdolnościami i personelem umożliwiającymi gromadzenie informacji na temat podatności oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków.
- Odpowiedzialność kadry kierowniczej: najwyższe kierownictwo ponosi odpowiedzialność za efektywne zarządzanie ryzykiem ICT, w tym za zatwierdzanie polityk i monitorowanie ich realizacji.
2. Raportowanie incydentów ICT (Art. 17–19)
Każdy podmiot finansowy musi wdrożyć mechanizmy umożliwiające szybkie i skuteczne raportowanie poważnych incydentów związanych z ICT. Wymienić tutaj trzeba m.in.:
- Rejestracja, kategoryzowanie i zgłaszanie incydentów: Obowiązek rejestracji, klasyfikacji i zgłaszania poważnych incydentów ICT organowi zarządzającemu oraz właściwemu organowi nadzoru w ciągu określonego czasu.
- Analiza incydentów: Dokumentowanie szczegółowych informacji o charakterze i skutkach incydentów w celu ich późniejszej analizy.
- Powiadamianie klientów: W przypadku poważnych incydentów, które mogą wpłynąć na usługi dla klientów, podmioty finansowe bez zbędnej zwłoki informują Klientów o incydencie, oraz o środkach, które podjęto w celu złagodzenia negatywnych jego skutków.
3. Testowanie odporności operacyjnej ICT (Art. 24–27)
Podmioty finansowe celem m.in. identyfikacji słabości, niedoskonałości oraz luk są zobowiązane do przeprowadzania regularnych testów odporności operacyjnej swoich systemów ICT. Najważniejsze cechy tej grupy obowiązków to:
- Niezależność testów: Testy powinny być przeprowadzone przed podmioty zewnętrzne lub wewnętrzne, przede wszystkim tak aby unikać konfliktu interesów w zakresie projektowania i testowania.
- Zakres testów: Testy powinny obejmować podstawowe mechanizmy bezpieczeństwa (np. oceny podatności, oceny bezpieczeństwa sieci, kontrole bezpieczeństwa fizycznego) oraz bardziej zaawansowane procedury, takie jak TLPT (Threat-Led Penetration Testing); te ostatnie przez pewne kategorie podmiotów powinny być przeprowadzane nie rzadziej niż 1 raz na 3 lata.
- Częstotliwość: Testy powinny być przeprowadzane regularnie, a także w odpowiedzi na poważne zmiany w systemach ICT, przy czym podmioty inne niż mikroprzesiebiorstwa powinny testować systemy ICT o istotnych lub krytycznym charakterze przynajmniej raz w roku.
- Działania naprawcze: Wyniki testów muszą być analizowane, a wszelkie wykryte słabości powinny zostać niezwłocznie usunięte.
4. Zarządzanie relacjami z dostawcami zewnętrznymi (Art. 28–30)
Podmioty finansowe muszą oceniać i monitorować ryzyko związane z usługami świadczonymi przez zewnętrznych dostawców ICT, w ramach generalnego wdrożonego programu zarządzania ryzykiem. W ramach tych obowiązków, poniżej najważniejsze z nich:
- Ocena dostawców: Przed rozpoczęciem współpracy z dostawcą ICT należy ocenić ryzyko związane z jego usługami, dokonać jego wyboru z zachowaniem należytej staranności a po zawarciu umowy zidentyfikować te rodzaje usług, które wspierają krytyczne lub istotne funkcje podmiotu finansowego.
- Monitorowanie relacji: Regularne audyty i monitorowanie działań dostawców w celu zapewnienia zgodności z umową i przepisami; należy określić z góry częstotliwość audytów i kontroli oraz obszary, które mają podlegać kontroli.
- Umowy z dostawcami: Umowy muszą jasno określać poziom usług (SLA), mechanizmy zarządzania ryzykiem oraz procedury w przypadku incydentów, w tym zapewniać możliwość wypowiedzenia umowy w przypadkach wymienionych w rozporządzeniu (np. poważne naruszenie przepisów przez dostawcę ICT); umowy powinny być zawierane w formie pisemnej i zawierać szczegółowe zapisy, o których mowa w rozporządzeniu w zależności od poziomu usług.
- Ryzyko koncentracji: Konieczność analizy zależności podmiotu finansowego od jednego dostawcy lub grupy dostawców, aby uniknąć ryzyka systemowego.
5. Koordynacja i wymiana informacji (Art. 45)
Podmioty rynku finansowego są zobowiązane do współpracy i wymiany informacji w zakresie cyberbezpieczeństwa. Najważniejsze to:
- Wymiana informacji: Podmioty finansowe mogą się wymieniać informacjami o cyberzagrożeniach, taktyce, technikach i procedurach dotyczących cyberbezpieczeństwa.
- Współpraca na poziomie UE: Współdziałanie z innymi podmiotami finansowymi oraz organami nadzoru w celu lepszego zrozumienia zagrożeń i wymiany dobrych praktyk.
Podsumowanie i perspektywy
DORA stanowi przełomowy akt prawny, który ma za zadanie zwiększyć odporność operacyjną sektora finansowego na zagrożenia cyfrowe. Cele jest przede wszystkim ujednolicenie przepisów, wzmocnienie nadzoru, wprowadzenie jednolitych standardów i promowanie współpracy. DORA ma przyczynić się do wzmocnienia stabilności finansowej i ochrony klientów podmiotów finansowych. Rozporządzenie to solidny o obszerny akt prawny nakładający na podmioty finansowe szereg obowiązków. Ważne, aby już teraz wdrażać odpowiednie procedury, normy, regulacje, polityki w zgodzie z rozporządzeniem.
Mam nadzieję, że to rozszerzone omówienie DORA dostarczyło Ci wyczerpujących informacji na temat tego istotnego rozporządzenia. W kolejnych wpisach będziemy szczegółowo analizować poszczególne aspekty DORA, takie jak zarządzanie ryzykiem, zgłaszanie incydentów, testowanie odporności cyfrowej i nadzór nad zewnętrznymi dostawcami.
Specjalizacje w tym wpisie:
Zobacz także:
Dyrektywa NIS2 – nowe obowiązki w zakresie bezpieczeństwa…
Rozwój technologiczny powoduje, że cyberbezpieczeństwo staje się ogromnym wyzwaniem dla przedsiębiorców. W ostatnich latach coraz częściej słyszymy o cyberatakach, które paraliżują…
Rozporządzenie GPSR – nowe wymogi bezpieczeństwa produktów i…
Od 13 grudnia 2024 roku zacznie obowiązywać tzw. rozporządzenie GPSR, które znacząco zmieni zarówno rynek handlu elektronicznego, jak i tradycyjny. GPSR…
Zmiany w e-commerce w 2025 roku i nowe…
Jakie zmiany prawne nadchodzą dla branży e-commerce w 2025 roku? Przedsiębiorcom prowadzącym handel elektroniczny zostało już tylko kilka miesięcy na dostosowanie…