Czy moja organizacja musi stosować DORA?
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/10111, zwane potocznie „DORA”, jest aktem dedykowanym instytucjom sektora finansowego, między innymi bankom, firmom inwestycyjnym, instytucjom płatniczym oraz towarzystwom funduszy inwestycyjnych. Jak wskazano w preambule do aktu, wykorzystywane – w ramach działalności przez ww. podmioty – technologie informacyjno-komunikacyjne, obarczone są szczególnie wysoki ryzykiem operacyjnym. W związku z powyższym ustawodawca unijny postanowił ustanowić jednolite przepisy związane z koniecznością zabezpieczenia procesów ICT (Information and Communication Technology) dla wszystkich instytucji finansowych działających w ramach państw członkowskich wspólnoty.
Ustawodawca oczekuje, że podmioty finansowe będą stosowały rozwiązania pozwalające na ograniczenie ryzyka związanego ze stosowaniem technologii informacyjno-komunikacyjnych. W szczególności, kładzie nacisk na konieczność zgłaszania organom wszystkich przypadków incydentów, testowania operacyjnej odporności cyfrowej, wymiany informacji i analiz w związku z cyberzagrożeniami, a także zwraca uwagę na konieczność zawarcia odpowiednich umów z dostawcami ICT.
O głównych założeniach DORA mogą Państwo przeczytać w artykule: Czym jest DORA – rozporządzenie o operacyjnej odporności cyfrowej?
Chociaż Rozporządzenie DORA weszło w życie w 2023 roku, jego przepisy zaczną obowiązywać w styczniu 2025 roku. Do tego czasu instytucje finansowe powinny wdrożyć wszystkie obowiązki, które stawia przed nimi Rozporządzenie. Z czym jednak przyjdzie im się zmierzyć w praktyce? Co konkretnie należy przygotować i na co zwrócić uwagę?
Strategia zarządzania ryzykiem cyberataków
Aby dowiedzieć się, na jakie ataki i w jakim stopniu narażona jest organizacja, punktem wyjścia dla wdrożenia wytycznych DORA, powinno być przygotowanie oceny ryzyka procesów ICT zachodzących w podmiocie.
Ocena ryzyka, o której mowa powyżej, powinna opierać się na identyfikacji obszarów, będących w organizacji obszarami szczególnie wrażliwymi. W tym celu należy przygotować zestawienie kluczowych zasobów z jakich korzysta podmiot (systemów, baz danych, serwerów) oraz potencjalnych zagrożeń. Kolejnym krokiem jest ocena, w jakim stopniu zasoby te są podatne na cyberataki, o których stanowi DORA. W ten sposób, będziemy mogli ocenić, z jakim prawdopodobieństwem możemy mieć do czynienia z incydentem w danym obszarze oraz jakie ewentualne skutki owy incydent wywoła.
Bogatsi w wiedzę, której dostarcza nam ocena ryzyka, możemy zastanowić się nad środkami, których celem jest zapobieganie wystąpieniu incydentów oraz mitygowanie ryzyka operacyjnego. Jest to jeden z wymogów, który stawia przed podmiotami finansowymi DORA. W szczególności, wśród metod ochrony procesów ICT wskazać należy:
Przygotowanie odpowiedniej dokumentacji wewnętrznej
Firmy powinny rozważyć wprowadzenie lub odpowiednie zmodyfikowanie postanowień regulacji wewnętrznych, obowiązujących w podmiocie, ze szczególnym uwzględnieniem takich kwestii jak:
– zasady korzystania ze środków komunikacji oraz urządzeń końcowych w podmiocie,
– zasady archiwizacji danych;
– polityka bezpieczeństwa informacji;
-procedura zgłaszania incydentów bezpieczeństwa informacji;
– procedury zarządzania ryzykiem.
Ponadto, dokumentem który należy posiadać – lub odpowiednio uzupełnić – jest plan ciągłości działania. Pozwala on firmie na określenie, w jaki sposób możliwe jest prowadzenie działalności przy założeniu wystąpienia określonych okoliczności np. utraty dostępu do zasobów.
Przygotowanie szkoleń dla personelu
Podstawowym środkiem prowadzącym do wzmocnienia ochrony przed cyberatakami, jest uwrażliwienie na tę kwestię pracowników. Szkolenia te warto cyklicznie powtarzać. Organizacja może także rozważyć przeprowadzenie „pozorowanego” cyberataku, który w praktyce sprawdziłby znajomość procesów wśród pracowników.
Zastosowanie systemów służących monitorowaniu zagrożeń w podmiocie
Podmioty finansowe powinny rozważyć wprowadzenie w ramach organizacji systemów pozwalających śledzić ruch sieciowy, a tym samym wykrywać „intruzów” oraz włamania do zasobów. Obecnie na rynku funkcjonują także rozwiązania pozwalające na śledzenie logów (zapisów dotyczących zdarzeń mających miejsce w systemie), skanowanie i ochronę urządzeń końcowych czy wykrywania anomalii.
Wszystkie powyższe elementy składają się razem na strategię zarządzania ryzykiem cyberataków w ramach organizacji. Należy mieć jednak na uwadze, że przepisy DORA nakazują wdrażać wymogi z zachowaniem zasady proporcjonalności. Oznacza to, że każda instytucja – przez pryzmat skali prowadzonej działalności oraz znaczących czynników, takich jak rozmiar przedsiębiorstwa, wymiar zatrudnienia czy mnogość procesów ICT – powinna dopasować środki organizacyjne do swoich potrzeb. A zatem ocena tego, jakie elementy powinny zawierać się w ramach strategii, będzie co do zasady subiektywna. Z tego powodu, nieocenionym wsparciem w przygotowaniu ww. środków oraz odpowiedniej autoidentyfikacji podmiotu, okazuje się zwykle zewnętrzny doradca. Jest on w stanie niezależnym okiem ocenić, w jaki sposób należy przygotować organizację do wdrożenia DORY. Nasza kancelaria zawsze jest gotowa świadczyć Państwu tego typu pomoc, w szczególności w ramach przygotowania procedur oraz szkolenia pracowników.
Konieczność zgłaszania incydentów bezpieczeństwa
Kolejnym elementem obligatoryjnym, który wejdzie w życie w styczniu 2025 roku, będzie konieczność zgłaszania, ewidencjonowania oraz informowania organów o zarejestrowanych incydentach bezpieczeństwa.
Rejestrowanie i reagowanie na incydenty w pierwszej kolejności odbywa się wewnątrz organizacji. Dlatego należy przygotować zestaw procedur, które szczegółowo uregulują proces oraz podniosą świadomość zagrożeń wśród pracowników. Aby procedury te mogły działać, niezbędne jest dokonanie podziału ról i obowiązków wśród pracowników instytucji. Ponadto, w podmiocie powinien zostać przyjęty system identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ. Przygotowanie precyzyjnej matrycy nie tylko ułatwi zadanie komórkom compliance, ale także wspomoże podmiotom identyfikację incydentów, które podlegać będą zgłoszeniu organom. Jak zatem powinna ona wyglądać?
Odpowiednio skonstruowana matryca pozwala ocenić incydent, biorąc pod uwagę m.in. następujące kryteria: liczbę klientów instytucji z uwzględnieniem transakcji oraz wysokości transakcji (a co za tym idzie ewentualne straty reputacyjne), okres trwania incydentu, ilość i ważność utraconych danych, krytyczność danej usługi oraz skutki gospodarcze jaki wygenerował incydent.
Jeśli – w oparciu o przeprowadzoną ocenę – podmiot sklasyfikuje incydent jako poważny, zaktualizuje się obowiązek dokonania zgłoszenia do organu nadzorczego (w Polsce, dla większości podmiotów finansowych, organem nadzorczym jest Komisja Nadzoru Finansowego). Dobrowolnej notyfikacji mogą podlegać także inne incydenty, jeśli instytucja uzna, że niosą one znaczne, negatywne skutki dla niej lub w szczególności dla jej klientów. W takich przypadkach podmioty finansowe zobligowane są w ramach zgłoszenia do przekazania: wstępnego powiadomienia, sprawozdania z przebiegu incydentu tzw. śródokresowego oraz sprawozdania końcowego, po zakończeniu analizy całego zdarzenia.
Nie wiesz jak przygotować zgłoszenie do nadzorcy? Zgodnie z art. 19 ust. 5 DORA, podmioty finansowe mogą zlecić w drodze outsourcingu, zadania związane z obowiązkami sprawozdawczymi zewnętrznemu dostawcy usług. Warto zatem rozważyć, czy dobrym pomysłem nie byłoby skorzystanie z usług profesjonalistów, w tym kancelarii prawnych, które są wyspecjalizowane w świadczeniu pomocy prawnej dla spółek sektora finansowego.
Testy penetracyjne
DORA nakłada na podmioty finansowe obowiązek cyklicznego weryfikowania, czy stosowane środki techniczne i organizacyjne pozwalają na występowanie luk i słabości w ramach zabezpieczeń. Regularne audyty wpływają pozytywnie na zapobieganie i ewentualne zarządzanie podatnościami systemu. Jak wskazuje art. 24 ust. 2 DORA, program testowania operacyjnej odporności cyfrowej obejmuje szereg ocen, testów, metodyk, praktyk i narzędzi.
Z uwagi na fakt, że do przeprowadzenia adekwatnych testów penetracyjnych wymagana jest odpowiednia wiedza i kompetencje, rozporządzenie wskazuje wprost, że testy powinny być przeprowadzane przez niezależne strony wewnętrzne lub zewnętrzne. Testy te powinny być – dla podmiotów innych niż mikroprzedsiębiorstwa – obligatoryjne przynajmniej raz do roku.
Ponadto, co najmniej raz na trzy lata podmioty finansowe zobowiązane są także do przeprowadzania zaawansowanych testów za pomocą TLPT. Są to testy, które od zwykłych testów penetracyjnych różnią się przede wszystkim sposobem przeprowadzania weryfikacji systemu. „Zwykłe” testy skupiają się na wykryciu potencjalnych wrażliwych punktów poszczególnych procesów. Tymczasem, w ramach testów TLPT na systemach organizacji symulowany jest rzeczywisty cyberatak. Test ten pozwala więc sprawdzić, w jaki sposób całość systemu ICT reaguje w zetknięciu z zagrożeniem. Należy zauważyć, że są to testy o wiele bardziej złożone i wymagające pod kątem ich przygotowania. Dlatego, w art. 27 ust. 1 DORA, wskazane zostały wymagania, jakie muszą spełniać testerzy TLPT.
Nowe podejście do dostawców usług ICT
Jednym z najbardziej kluczowych elementów DORA dla instytucji finansowych, jest kwestia związana z outsourcingiem procesów ICT do podmiotów trzecich. Chociaż sama DORA nie definiuje outsourcingu (właściwych definicji należy szukać w aktach dedykowanych m.in. w ustawie Prawo bankowe2, Ustawa o obrocie3, czy Ustawie o funduszach inwestycyjnych4) to w sposób wyczerpujący normuje obowiązki wynikające z tego procesu dla instytucji finansowych.
W art. 6 ust. 10 DORA, wskazane zostało, że w ramach outsourcingu podmioty finansowe mogą zlecać podmiotom trzecim także wykonywanie czynności z zakresu procesów ICT, na przykład zarządzanie infrastrukturą IT, czy rozwój i utrzymanie aplikacji. Aby jednak odbywało się to zgodnie z wytycznymi rozporządzenia, podmiot finansowy musi dopełnić obowiązków, o których mowa w dalszej części DORA.
Analiza kategorii outsourcingu
Wszystkie procesy, wykonywane przez podmioty trzecie na rzecz instytucji, dzielimy zasadniczo na trzy podstawowe kategorie:
– zwykłe nabywanie dóbr lub usług (purchasing) – instytucja finansowa w ramach prowadzonej działalności korzysta ze wsparcia podmiotu trzeciego, które nie kwalifikuje się jako outsourcing tzn. nie prowadzi do wykonywania przez podmiot trzeci procesów w imieniu i na rzecz podmiotu finansowego. Takim „zwykłym” nabyciem będzie na przykład pozyskanie przez instytucję finansową danych z biura informacji gospodarczej lub kredytowej;
– outsourcing zwykły – gdy podmiot trzeci przyjmuje do wykonania funkcję, która byłyby lub mogłyby rzeczywiście być wykonywana przez instytucję finansową, na przykład prowadzenie księgowości lub obsługa IT systemów informatycznych;
– outsourcing podstawowych lub istotnych funkcji operacyjnych (tzw. outsourcing krytyczny) – funkcje powierzane do wykonywania podmiotom trzecim są z perspektywy działalności podmiotu finansowego kluczowe lub niezwykle istotne, w związku z czym wybór podmiotu oraz zawarcie z nim umowy, obarczone jest dodatkowymi wymogami i procedurami.
Aby stwierdzić, czy proces, który chcemy powierzyć, kwalifikuje się jako outsourcing (a jeśli tak, to czy jako outsourcing zwykły czy krytyczny), instytucja finansowa przed zawarciem umowy powinna przeprowadzić ocenę, która pozwoli jej na przyporządkowanie procesu do określonej kategorii. Jak widać więc, system ten powinien być przynajmniej dwuetapowy. W szczególności, należy zwrócić uwagę, czy proces, który instytucja zamierza powierzyć, nie stanowi czynności będącej corem jej działalności – wówczas mielibyśmy do czynienia z outsourcingiem niedozwolonym. Przygotowanie matrycy pozwalającej na zidentyfikowanie kategorii outsourcingu jest niezwykle ważne dla określenia związanych z tym powierzeniem ryzyk regulacyjnego, reputacyjnego, operacyjnego i finansowego.
Due dilligance dostawcy usług ICT
Podmiot finansowy zobowiązany jest przepisami do przeprowadzenia drobiazgowego due dilligance podmiotu, któremu planuje powierzyć czynności. Proces ten każdorazowo powinien poprzedzić zawarcie umowy. W jego toku, dedykowana komórka instytucji finansowej dokonuje oceny dostawcy przez pryzmat następujących kryteriów:
– możliwości wystąpienia konfliktów interesów outsourcera i insourcera, w tym identyfikacji beneficjentów rzeczywistych insourcera;
– sytuację finansową insourcera – sprawdzenie, czy kondycja finansowa podmiotu pozwala na prawidłowe i rzetelne wykonywanie powierzonych procesów;
– weryfikacja reputacji insourcera – sprawdzenie jaką opinię w ramach rynku posiada podmiot trzeci, jakie inne podmioty z rynku obsługuje;
– sprawdzenie, czy podmiot posiada odpowiednią liczbę wykwalifikowanych pracowników, środki techniczne i organizacyjne do odpowiedniego wykonania przedmiotu umowy;
– weryfikacja czy podmiot posiada zawarte polisy, których wysokość pozwoli na ewentualne pokrycie szkód.
Dobrym rozwiązaniem jest także przyjęcie w ramach organizacji dokumentu nazwanego Polityką outsourcingu. Warto zawrzeć w nim wszystkie etapy prowadzące do zawarcia umowy, od pierwszej analizy procesu do finalnego podpisania dokumentu. Pozwoli to na uporządkowanie całego postępowania, przypisanie ról do poszczególnych osób uczestniczących w procesie, a także zapewni, że każde zawarcie umowy outsourcingu będzie poprzedzone wyczerpującą weryfikacją.
Przygotowanie rejestru umów outsourcingowych
Aby komórce compliance łatwiej było zarządzać i nadzorować wszystkie procesy powierzone podmiotom trzecim, DORA nakazuje, aby w organizacji wdrożyć Rejestr umów outsourcingu. Ewidencjonowanie wszystkich zawartych umów ma wiele zasadniczych korzyści operacyjnych i strategicznych. Przede wszystkim pozwala ocenić historię współpracy, weryfikować przeprowadzone kontrole u insourcerów, a także ewidencjonować koszty, efektywność współpracy oraz zgodność z przepisami prawa.
W praktyce – z uwagi na mnogość obowiązków związanych z rejestrowaniem i przygotowywaniem procesów outsourcowanych w podmiotach – większe organizacje dążą do wyodrębnienia stanowisk lub komórek dedykowanych outsourcingowi. Takie rozwiązanie pozwala na lepsze zarządzanie ryzykiem operacyjny, usprawnienie procesów due dilligance i weryfikacji dostawców usług oraz zapewnienie ciągłości działania.
Obligatoryjne elementy umowy outsourcingu usług ICT
DORA wskazuje także, że w przypadku powierzenia wykonywania czynności o charakterze krytycznym, umowa zawierana między stronami, powinna spełniać minimalne wymogi wskazane w przepisach. Poza essentialia negotii wynikającymi z przepisów ogólnych, minimalny zakres umowy na dostawę usług ICT powinien zawierać w szczególności:
– zapisy dotyczące gwarantowanych poziomów usług – w szczególności ze wskazaniem odniesień jakościowych oraz ilościowych, a także z uwzględnieniem zmian i modyfikacji w tych poziomach na przestrzeni okresu trwania umowy;
– zasady bieżącego monitoringu powierzonych czynności oraz prowadzenia kontroli i audytów przez zlecającą instytucję finansową;
– obowiązki sprawozdawcze oraz sposoby informowania outsourcera przez insourcera w zakresie wykonywania i przedmiotu umowy;
– wskazanie wymogów jakie dostawca musi spełniać, aby podmiot finansowy podjął z nim współpracę, a także plan awaryjny na wypadek okoliczności, w których dostawca zaprzestaje spełniać ww. wymogi;
– obowiązek uczestniczenia dostawcy w testach penetracyjnych prowadzonych przez instytucję zlecającą;
– uzgodnienie strategii wyjścia – w jaki sposób i na jakich warunkach strony mogą rozwiązać umowę, a także w jaki sposób nastąpi zakończenie współpracy i świadczenia usług;
– przesłanki prowadzące do rozwiązania umowy – z uwagi na to, że outsourcing krytyczny nie może ustać „z dnia na dzień’, strony powinny wskazać w umowie zamknięty katalog okoliczności, w których dojdzie do rozwiązania umowy, m.in. poważne naruszenie przez dostawcę obowiązujących przepisów, lub zaprzestanie spełniania wymogów przez dostawcę, które były warunkiem zawarcia z nim umowy.
Zawarcie umowy outsourcingu krytycznego może być zatem wyzwaniem zarówno dla podmiotu finansowego, jak i dla dostawcy usług ICT. W takim przypadku każdorazowo warto wesprzeć się wiedzą i doświadczeniem profesjonalistów, którzy zweryfikują postanowienia umowy i zabezpieczą interesy stron.
Podsumowanie
To już ostatni dzwonek, aby rozpocząć przygotowania do wejścia w życie postanowień rozporządzenia DORA. Aby wdrożyć je w prawidłowy sposób należy zapoznać się także z Regulacyjnymi Standardami Technicznymi (RTSami), które Europejski Urząd Nadzoru cyklicznie publikuje. Jeżeli przytłacza Cię wizja bogatej listy nowych obowiązków i dokumentów do przygotowania – to doskonały czas aby udać się po wsparcie. Zachęcamy do kontaktu z naszymi prawnikami, którzy w każdym czasie gotowi są dostarczać Państwu pomocy prawnej w całym procesie przygotowania organizacji do wdrożenia DORA.
Pytania i odpowiedzi
Nie – nie wydarzy się to z urzędu. DORA reguluje jednak wiele kwestii, które poruszał Komunikat i doprecyzowuje je. KNF może więc zaktualizować komunikat lub uznać, że DORA wystarczająco wyczerpuje zagadnienie.
W związku z wejściem w życie DORA, polski legislator rozpoczął prace nad projektem ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego. Akt ten obecnie jest na etapie opiniowania.
Nie ma co do tego jednoznacznych wymagań – instytucja może przeprowadzić samoocenę według własnego pomysłu, skorzystać ze wsparcia podmiotu zewnętrznego, jak również wykorzystać narzędzie przygotowane przez Komisję Nadzoru Finansowego – Ankietę samooceny.
Może Ciebie również zainteresować:
AML dla branż:
- PROCEDURA AML DLA BIURA RACHUNKOWEGO
- PROCEDURA AML DLA POŚREDNIKÓW NIERUCHOMOŚCI
- PROCEDURA AML DLA CENTRUM USŁUG WSPÓLNYCH
- PROCEDURA AML DLA BANKU SPÓŁDZIELCZYM
- PROCEDURA AML DLA KANTORU WYMIANY WALUT
- PROCEDURA AML DLA KANTORU KRYPTOWALUT
- PROCEDURA AML DLA OPERATORÓW POCZTOWYCH
- PROCEDURA AML W FUNDACJI I STOWARZYSZENIU
- PROCEDURA AML DLA NOTARIUSZY
- PROCEDURA AML DLA FAKTORINGU
- PROCEDURA AML – OBRÓT ZŁOTEM DEWIZOWYM
- ZASADY ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH
Warto wiedzieć:
- DOKUMENTACJA AML (PROCEDURA)
- SZKOLENIE AML
- AUDYT AML
- AML – FORMUŁOWANIE OCENY RYZYKA
- AML – POJĘCIE BENEFICJENTA RZECZYWISTEGO
- AML – LIMITY TRANSAKCJI
- AML – ZASADY RAPORTOWANIA DO GIIF
- AML – GRUPOWA PROCEDURA PRZECIWDZIAŁANIU PRANIU PIENIĘDZY
- AML – OŚWIADCZENIE O ŹRÓDLE POCHODZENIA ŚRODKÓW
- AML – KONTROLA W INSTYTUCJI OBOWIĄZANEJ
- AML – KARTY PRZEDPŁACONE
- NOWELIZACJA AML 6 – WSKAZÓWKI FATF
- PROCEDURY KYC (Know Your Customer)
- AML DLA FUNDACJI RODZINNYCH
Zaufali nam: