Co właściwie oznacza DORA i do kogo kierowane jest rozporządzenie?
Usługi finansowe w coraz większym stopniu świadczone są w trybie zdalnym. Z tego też powodu, Parlament Unii Europejskiej zwrócił uwagę na konieczność wzmocnienia cyberbezpieczeństwa usług finansowych oraz położył nacisk na przeciwdziałanie ogólnie rozumianemu ryzyku operacyjnemu (risk management). Z technologiami cyfrowymi (ICT) wiążą się bowiem coraz większe zagrożenia. W odpowiedzi na konieczność wypracowania wspólnotowych rozwiązań legislacyjnych, mających być remedium na powyższe bolączki branży finansowej, Parlament pracuje nad stworzeniem pakietu rozwiązań, które z jednej strony optymalizują ryzyko związane z cyfrowym świadczeniem usług finansowych, z drugiej strony wspierają ich rozwój oraz innowacyjność. Na 5- letni plan składać mają się:
-
rozporządzenie w sprawie kryptowalut,
-
rozporządzenie w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT),
-
dyrektywa w sprawie wyjaśnienia lub zmiany niektórych powiązanych unijnych przepisów w zakresie usług finansowych, oraz
-
rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, w skrócie DORA.
DORA, a więc Digital Operational Resilience Act, w wolnym tłumaczeniu oznacza akt o cyfrowej odporności operacyjnej. Jego zapisy kierowane są przede wszystkim do podmiotów finansowych. Pod pojęciem “podmiotu finansowego” projekt rozporządzenia definiuje:
-
instytucje kredytowe;
-
instytucje płatnicze;
-
instytucje pieniądza elektronicznego;
-
firmy inwestycyjne;
-
dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów,
-
emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami;
-
centralne depozyty papierów wartościowych;
-
kontrahentów centralnych;
-
systemy obrotu;
-
repozytoria transakcji;
-
zarządzających alternatywnymi funduszami inwestycyjnymi;
-
spółki zarządzające;
-
dostawców usług w zakresie udostępniania informacji;
-
zakłady ubezpieczeń i zakładów reasekuracji;
-
pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające;
-
instytucje pracowniczych programów emerytalnych;
-
agencje ratingowe;
-
biegłych rewidentów i firmy audytorskie;
-
administratorów kluczowych wskaźników referencyjnych;
-
dostawców usług finansowania społecznościowego;
-
repozytoriów sekurytyzacji;
-
zewnętrznych dostawców usług ICT.
Cele i zadania rozporządzenia DORA
Celem projektowanego rozporządzenia jest wzmocnienie i zwiększenie stabilności oraz odporności unijnegosystemu finansowego poprzez ustanowienie ujednoliconych norm regulacyjnych i nadzorczych. DORA ma stanowić szczegółowy i kompleksowy zbiór przepisów w zakresie operacyjnej odporności cyfrowej, koordynujący inicjatywy krajowe, które zdążyły się już pojawić w państwach członkowskich. Przy pomocy projektowanego rozporządzenia Parlament chce dążyć do wyeliminowania niespójności, zapobiec powielaniu wymogów i powstawaniu wysokich kosztów administracyjnych w wyniku transgranicznego stosowania przepisów. Nadto, zadaniem rozporządzenia jest zapobieżenie fragmentaryzacji rynku i osłabieniu integralności unijnego sektora finansowego a tym samym, wzmocnienie i usprawnienie zarządzania ryzykiem związanym z ICT.
Zgodnie z założeniami projektu, rozporządzenie będzie ustanawiało wspólne wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do zarządzania ryzykiem. Nadto, projekt rozporządzenia stawia wymogi w odniesieniu do ustaleń umownych zawartych między zewnętrznymi dostawcami usług ICT a podmiotami finansowymi, ramy nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych, a także zasady współpracy między właściwymi organami oraz zasady nadzoru i egzekwowania przepisów przez właściwe organy.
Konkludując powyższe, DORA zamierza wprowadzić środki niezbędne do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej. Ale co to właściwie oznacza?
DORA – Cyfrowa odporność operacyjna
Zgodnie z definicją zawartą w art. 3 projektu rozporządzenia, cyfrowa odporność operacyjna to zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.
Innymi słowy, każdy podmiot finansowy objęty zakresem rozporządzenia DORA, aby zagwarantować sobie i swoim klientom możliwie najwyższy stopień zabezpieczenia przed zagrożeniami czającymi się w cyberprzestrzeni, będzie miał obowiązek kontrolowania czy systemy i narzędzia informatyczne, z których korzysta, są stworzone i utrzymywane w sposób minimalizujący ryzyko związane z ICT.
Jego obowiązkiem będzie systematyczne i ciągłe identyfikowanie źródeł zagrożeń, wykrywanie nietypowych operacji, utrzymywanie strategii zapobiegania i przeciwdziałania zagrożeniom oraz testowanie planów ciągłości działania po wystąpieniu incydentu. Poprzez stosowanie wskazanych metod, instytucja będzie w stanie zapewnić sobie odporność przed cyberzagrożeniami. Wprowadzenie ujednoliconych norm w tym zakresie ma docelowo zagwarantować powstanie powszechnej cyfrowej odporności operacyjnej w całym unijnym systemie finansowym.
Rozporządzenie DORA w praktyce – kluczowe zmiany
Projekt rozporządzenia proponuje konkretne sposoby na wzmocnienie cyfrowej odporności operacyjnej wśród podmiotów finansowych.
Zarządzanie ryzykiem związanym z ICT
Projektowane rozporządzenie obarcza odpowiedzialnością za zarządzanie ryzykiem związanym z technologią cyfrowo-informacyjną organy zarządzające podmiotów, a więc w znacznej mierze zarządy spółek. Rolą organu będzie zarządzanie ryzykiem, ale także jego monitoring i kontrola. U podstaw pracy zarządu mają stać identyfikacja, ochrona i zapobieganie ryzyku, jego wykrywanie i reagowanie, a także przywrócenie gotowości do pracy po wystąpieniu incydentu, uczenie się i rozwój oraz komunikacja. Organ będzie także musiał w szczególności kłaść nacisk na kwestie integralności, bezpieczeństwa i odporności infrastruktur fizycznych i urządzeń, które wspierają wykorzystywanie ICT.
Drugą kategorią ryzyka, która podlegać będzie zarządzaniu w ramach przepisów niniejszego rozporządzenia, jest ryzyko związane z korzystaniem z usług zewnętrznych dostawców technologii. Rozporządzenie reguluje minimalne wymogi dotyczące umów zawieranych między podmiotami finansowymi, a dostawcami rozwiązań. Umowy te będą musiały zawierać pełny opis usług, wskazanie lokalizacji, w których mają być przetwarzane dane, pełne opisy poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności, stosowne postanowienia w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych oraz gwarancje dostępu, odzyskiwania i zwrotu w przypadku awarii zewnętrznych dostawców usług ICT, okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznych dostawców usług ICT, prawa dostępu, kontroli i audytu podmiotu finansowego lub wyznaczonego podmiotu zewnętrznego, jasne prawa do odstąpienia od umowy i specjalne strategie wyjścia.
Zarządzanie, klasyfikacja i zgłaszanie incydentów
Wszelkiego rodzaju nieprawidłowości, pojawiające się w zakresie wykorzystywania i operowania nowymi technologiami, powinny być monitorowane i zgłaszane. Wprowadzony będzie także wymóg ich klasyfikowania na podstawie kryteriów określonych szczegółowo w rozporządzeniu. Samego zaś zgłoszenia incydentu podmiot finansowy będzie miał obowiązek dokonać, stosując wspólny szablon i zgodnie ze zharmonizowaną procedurą opracowaną przez Europejskie Urzędy Nadzoru. Instytucjefinansowe będą także zobligowane do przedkładania sprawozdań oraz informowania swoich klientów w sytuacji, gdy incydent mógłby mieć wpływ na ich sytuację finansową.
Testy operacyjnej odporności cyfrowej
Aby podmioty finansowe miały niezbędną wiedzę na temat odporności cyfrowej systemów, z których korzystają, zobligowane zostaną do przeprowadzania okresowych testów. Projekt rozporządzenia uzależnia sposób i zakres przeprowadzanych testów od rozmiaru, profilu działalności i profilu ryzyka podmiotów finansowych. Nie mniej każda instytucja, która wykorzystuje cyberprzestrzeń do świadczenia usług finansowych będzie zmuszona dokonywać przeglądów stosowanych rozwiązań i systemów oraz analizować ich wyniki. Ma to sprzyjać poprawie warunków świadczenia usług i eliminowaniu błędów w zakresie projektowania systemów.
Wymiana informacji
Rozporządzenie, poza aspektami wskazanymi powyżej, dotyczyć będzie także kwestii wymiany informacji między podmiotami finansowymi na temat metod i technik stosowanych w celu skutecznej obrony przed zagrożeniami płynącymi z cyberprzestrzeni. Ma to na celu stworzenie sieci wsparcia dla zainteresowanych podmiotów, co poszerzy wśród nich świadomości i wiedzę na temat możliwych metod obrony przed zagrożeniami.
Jak proponowane zmiany wpłyną na sektor finansowy?
Zmiany jakie wprowadzi w życie rozporządzenie DORA przede wszystkim obciążą zarząd podmiotów nowymi obowiązkami związanymi z nadzorem nad systemami informatycznymi stosowanymi przez instytucje. Ponadto, pojawią się nowe obowiązki sprawozdawcze związane z pojawianiem się incydentów i reagowaniem na nie. Na pierwszy rzut oka wydaje się, że wprowadzenie rozporządzania nastręczy podmiotom przede wszystkim nowych obowiązków. Nie mniej, projekt został ciepło przyjęty przez sektor podczas konsultacji.
Wdrożenie rozporządzenia dla wielu podmiotów będzie stanowiło wyzwanie, a jednak wszyscy uczestnicy rynku są świadomi, że dążenie do stworzenia bezpiecznej przestrzeni dla rozwoju usług finansowych w sieci jest absolutnie niezbędne. Co istotne, DORA zamierza „obarczać” podmioty finansowe nowymi obowiązkami w sposób proporcjonalny, proponując m.in. zwolnienie dla mikroprzedsiębiorstw zatrudniających mniej niż 10 pracowników oraz tych, z obrotem poniżej 2 milionów euro w niektórych obszarach zarządzania ryzykiem ICT, a także indywidualne podejście do podmiotów w zakresie raportowania incydentów i przeprowadzania testów, przy uwzględnieniu wielkości podmiotów i zakresu prowadzonej działalności.
Rozporządzenie DORA – Wnioski
Wprowadzenie w życie rozwiązań, o których stanowi projekt rozporządzenia DORA, wpłynie pozytywnie nie tylko na cyberbezpieczeństwo podmiotów finansowych, ale przede wszystkim na bezpieczeństwo konsumentów. DORA będzie stanowiła wyzwanie dla wszystkich – nie tylko podmiotów finansowych, ale także organów nadzoru, czy firm informatycznych, które są dostawcami rozwiązań. Jeżeli wszystko pójdzie zgodnie z planem, finalny tekst rozporządzenia ma zostać opublikowany jeszcze w pierwszym kwartale 2022 roku. Po publikacji rozporządzenia podmioty sektora finansowego otrzymają od 12 do 18 miesięcy na dostosowanie się do wymagań. Będzie to pierwszy krok na drodze do stworzenia jednolitego i bezpiecznego cyfrowego sektora finansowego w Unii Europejskiej.
Zaufali nam: