Czym jest DORA (digital operational resilience act) - rozporządzenie o operacyjnej odporności cyfrowej?

Zgodnie z definicją zawartą w art. 3 projektu rozporządzenia, cyfrowa odporność operacyjna to zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.

Innymi słowy, każdy podmiot finansowy objęty zakresem rozporządzenia DORA, aby zagwarantować sobie i swoim klientom możliwie najwyższy stopień zabezpieczenia przed zagrożeniami czającymi się w cyberprzestrzeni, będzie miał obowiązek kontrolowania czy systemy i narzędzia informatyczne, z których korzysta, są stworzone i utrzymywane w sposób minimalizujący ryzyko związane z ICT.

Jego obowiązkiem będzie systematyczne i ciągłe identyfikowanie źródeł zagrożeń, wykrywanie nietypowych operacji, utrzymywanie strategii zapobiegania i przeciwdziałania zagrożeniom oraz testowanie planów ciągłości działania po wystąpieniu incydentu. Poprzez stosowanie wskazanych metod, instytucja będzie w stanie zapewnić sobie odporność przed cyberzagrożeniami. Wprowadzenie ujednoliconych norm w tym zakresie ma docelowo zagwarantować powstanie powszechnej cyfrowej odporności operacyjnej w całym unijnym systemie finansowym.

Rozporządzenie DORA w praktyce – kluczowe zmiany

Projekt rozporządzenia proponuje konkretne sposoby na wzmocnienie cyfrowej odporności operacyjnej wśród podmiotów finansowych.

Zarządzanie ryzykiem związanym z ICT

Projektowane rozporządzenie obarcza odpowiedzialnością za zarządzanie ryzykiem związanym z technologią cyfrowo-informacyjną organy zarządzające podmiotów, a więc w znacznej mierze zarządy spółek. Rolą organu będzie zarządzanie ryzykiem, ale także jego monitoring i kontrola. U podstaw pracy zarządu mają stać identyfikacja, ochrona i zapobieganie ryzyku, jego wykrywanie i reagowanie, a także przywrócenie gotowości do pracy po wystąpieniu incydentu, uczenie się i rozwój oraz komunikacja. Organ będzie także musiał w szczególności kłaść nacisk na kwestie integralności, bezpieczeństwa i odporności infrastruktur fizycznych i urządzeń, które wspierają wykorzystywanie ICT.

Drugą kategorią ryzyka, która podlegać będzie zarządzaniu w ramach przepisów niniejszego rozporządzenia, jest ryzyko związane z korzystaniem z usług zewnętrznych dostawców technologii. Rozporządzenie reguluje minimalne wymogi dotyczące umów zawieranych między podmiotami finansowymi, a dostawcami rozwiązań. Umowy te będą musiały zawierać pełny opis usług, wskazanie lokalizacji, w których mają być przetwarzane dane, pełne opisy poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności, stosowne postanowienia w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych oraz gwarancje dostępu, odzyskiwania i zwrotu w przypadku awarii zewnętrznych dostawców usług ICT, okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznych dostawców usług ICT, prawa dostępu, kontroli i audytu podmiotu finansowego lub wyznaczonego podmiotu zewnętrznego, jasne prawa do odstąpienia od umowy i specjalne strategie wyjścia.

Zarządzanie, klasyfikacja i zgłaszanie incydentów

Wszelkiego rodzaju nieprawidłowości, pojawiające się w zakresie wykorzystywania i operowania nowymi technologiami, powinny być monitorowane i zgłaszane. Wprowadzony będzie także wymóg ich klasyfikowania na podstawie kryteriów określonych szczegółowo w rozporządzeniu. Samego zaś zgłoszenia incydentu podmiot finansowy będzie miał obowiązek dokonać, stosując wspólny szablon i zgodnie ze zharmonizowaną procedurą opracowaną przez Europejskie Urzędy Nadzoru. Instytucjefinansowe będą także zobligowane do przedkładania sprawozdań oraz informowania swoich klientów w sytuacji, gdy incydent mógłby mieć wpływ na ich sytuację finansową.

Testy operacyjnej odporności cyfrowej

Aby podmioty finansowe miały niezbędną wiedzę na temat odporności cyfrowej systemów, z których korzystają, zobligowane zostaną do przeprowadzania okresowych testów. Projekt rozporządzenia uzależnia sposób i zakres przeprowadzanych testów od rozmiaru, profilu działalności i profilu ryzyka podmiotów finansowych. Nie mniej każda instytucja, która wykorzystuje cyberprzestrzeń do świadczenia usług finansowych będzie zmuszona dokonywać przeglądów stosowanych rozwiązań i systemów oraz analizować ich wyniki. Ma to sprzyjać poprawie warunków świadczenia usług i eliminowaniu błędów w zakresie projektowania systemów.

Wymiana informacji

Rozporządzenie, poza aspektami wskazanymi powyżej, dotyczyć będzie także kwestii wymiany informacji między podmiotami finansowymi na temat metod i technik stosowanych w celu skutecznej obrony przed zagrożeniami płynącymi z cyberprzestrzeni. Ma to na celu stworzenie sieci wsparcia dla zainteresowanych podmiotów, co poszerzy wśród nich świadomości i wiedzę na temat możliwych metod obrony przed zagrożeniami.

Jak proponowane zmiany wpłyną na sektor finansowy?

Zmiany jakie wprowadzi w życie rozporządzenie DORA przede wszystkim obciążą zarząd podmiotów nowymi obowiązkami związanymi z nadzorem nad systemami informatycznymi stosowanymi przez instytucje. Ponadto, pojawią się nowe obowiązki sprawozdawcze związane z pojawianiem się incydentów i reagowaniem na nie. Na pierwszy rzut oka wydaje się, że wprowadzenie rozporządzania nastręczy podmiotom przede wszystkim nowych obowiązków. Nie mniej, projekt został ciepło przyjęty przez sektor podczas konsultacji.

Wdrożenie rozporządzenia dla wielu podmiotów będzie stanowiło wyzwanie, a jednak wszyscy uczestnicy rynku są świadomi, że dążenie do stworzenia bezpiecznej przestrzeni dla rozwoju usług finansowych w sieci jest absolutnie niezbędne. Co istotne, DORA zamierza „obarczać” podmioty finansowe nowymi obowiązkami w sposób proporcjonalny, proponując m.in. zwolnienie dla mikroprzedsiębiorstw zatrudniających mniej niż 10 pracowników oraz tych, z obrotem poniżej 2 milionów euro w niektórych obszarach zarządzania ryzykiem ICT, a także indywidualne podejście do podmiotów w zakresie raportowania incydentów i przeprowadzania testów, przy uwzględnieniu wielkości podmiotów i zakresu prowadzonej działalności.