Do niedawna wymagania stawiane przedsiębiorcom w zakresie bezpieczeństwa cyfrowego obowiązujące w polskim porządku prawnym były rozproszone i fragmentaryczne. Było to szczególnie dotkliwe dla podmiotów działających w branży finansowej, ponieważ brakowało jednoznacznych kryteriów, jakie należy spełnić, aby firma mogła należycie wykonywać swoje obowiązki w dynamicznie rozwijającym się środowisku nowych technologii. Te wszystkie trudności mają zniknąć wraz z wejściem w życie rozporządzenia o operacyjnej odporności cyfrowej (DORA). Kogo ono dotyczy i co zmienia na rynkach finansowych?
Jaki jest cel DORA?
Celem nowego rozporządzenia ma być oczywiście zwiększenie bezpieczeństwa osób korzystających z usług świadczonych przez podmioty objęte jego zakresem. Unijny ustawodawca definiuje operacyjną odporność cyfrową jako zdolność podmiotu rynku finansowego do budowania, gwarantowania i weryfikowania swojej integralności i niezawodności w zakresie sieci i systemów informatycznych.
Kogo dotyczy rozporządzenie DORA?
Zakres obowiązywania rozporządzenia DORA został wskazany w art. 2 aktu prawnego. Zgodnie z tym przepisem nowymi rozwiązaniami dotyczącymi odporności cyfrowej są objęte m.in. następujących grup podmiotów:
- instytucje kredytowe;
- instytucje płatnicze MIP i KIP;
- instytucje pieniądza elektronicznego;
- firmy inwestycyjne;
- dostawcy w zakresie kryptoaktywów;
- zakłady ubezpieczeń i reasekuracji;
- pośrednicy ubezpieczeniowi i reasekuracyjni;
- dostawcy usług crowdfundingowych;
- zewnętrzni dostawcy rozwiązań ICT;
- agencje ratingowe.
W sumie kategorii podmiotów objętych rozporządzeniem jest ponad 20 i stanowią one naprawdę spory segment rynku.
Co dokładnie zmienia rozporządzenie DORA?
Zakres przedmiotowy DORA można podzielić na pięć obszarów w obrębie których powinny być podejmowane działania. Przyjrzyjmy się im po kolei. Czego oczekuje unijny ustawodawca?
Zarządzanie ryzykiem związanym z ICT
Aspekt zarządzania ryzykiem powinien być rozumiany, jako zaprojektowanie procesów i procedur, które umożliwią analizę ryzyka. Od organu zarządzającego danej organizacji wymaga się m.in.:
- wprowadzenia polityki zapewniającej utrzymanie odpowiednio wysokich standardów dostępności, autentyczności, integralności i poufności danych;
- zatwierdzenia i nadzorowania strategii zapewniającej ciągłość działania oraz stworzenia planów reagowania i przywracania pełnej sprawności po awarii sieci lub systemów IT;
- zatwierdzania i regularnych przeglądów audytów bezpieczeństwa dotyczących obszaru IT;
- utworzenia specjalnych kanałów zgłoszeń dotyczących usług IT.
Jednocześnie oczekuje się, aby firmy wygospodarowały odpowiednio wysoki budżet na realizację powyższych obowiązków. Unijny ustawodawca nie wprowadza konkretnych wymagań względem systemów IT. Zakłada się jednak, że będą one odporne, wiarygodne i pozwolą na sprawne przetwarzanie danych odpowiednio do skali działalności podmiotu.
Zarządzanie ryzykiem polega także na ochronie danych poprzez zaimplementowanie rozwiązań i procesów IT, które zapewniają wysokie bezpieczeństwo przetwarzanych danych, ale też zapobiegają ingerencjom w nie przez podmioty trzecie.
Testowanie operacyjnej odporności cyfrowej
Nie wystarczy raz wdrożyć rozwiązań cyfrowych, aby móc zapomnieć o wymaganiach rozporządzenia. Dla zgodności z prawem kluczowe znaczenie ma ustalenie słabości, niedoskonałości i luk systemowych w zakresie odporności cyfrowej. Firmy z sektora finansów powinny wdrożyć narzędzia, praktyki i metody oraz systemy ocen, które pozwalają na testowanie infrastruktury w tym zakresie. Jednocześnie należy uwzględnić wszystkie, chociażby potencjalne ryzyka właściwe dla danego rodzaju działalności. Wśród przykładowych rozwiązań w zakresie cyberbezpieczeństwa wskazuje się na:
- oceny podatności;
- oceny otwartego oprogramowania;
- oceny bezpieczeństwa sieci;
- przeglądy kodu źródłowego;
- testy scenariuszowe;
- testy wydajności i kompatybilności;
- testy penetracyjne.
Szczególny nacisk kładzie się na TLPT, czyli testy penetracyjne pod kątem wyszukiwania zagrożeń. Powinny być one przeprowadzone według ujednoliconych standardów i odwzorowywać strategie działania potencjalnych agresorów. W przepisach można znaleźć dosyć obszerne wymagania względem podmiotów świadczących usługi TLPT. Nie można zlecić takiej usługi komukolwiek!
Ustalania dotyczące wymiany informacji o cyberzagrożeniach
Rozporządzenie DORA wprowadza także ramowe wytyczne dotyczące wymiany informacji w zakresie cyberbezpieczeństwa między podmiotami rynku finansowego. Takie działania mają na celu globalną poprawę jakości świadczonych usług, mogą być realizowane wyłącznie za pośrednictwem zaufanych społeczności i muszą przestrzegać wymagań w zakresie ochrony konkurencji oraz rozporządzenia RODO.
Zarządzanie ryzykiem ze strony stron zewnętrznych dostawców IT
W sytuacji, kiedy podmioty finansowe decydują się na korzystanie z usług zewnętrznych dostawców usług IT, biorą za nich odpowiedzialność, a także zarządzają ryzykiem w tym zakresie. Mają również obowiązek przekazywać organowi nadzoru najważniejsze ustalenia w tym zakresie. W rozporządzeniu pojawiają się też wymagania poprzedzające zawarcie umowy z dostawcą usług IT. Podmiot finansowy ma obowiązek ustalić m.in.:
- czy zewnętrzny dostawca usług wspiera krytyczną lub istotną funkcję systemu;
- czy spełniono warunki nadzorcze w zakresie zawierania umów;
- obszary ryzyka związane ze współpracą;
- czy dostawca usług IT jest wystarczająco wiarygodny i doświadczony;
- ewentualne konflikty interesów.
Jednocześnie niezbędne jest sformułowanie umowy w taki sposób, aby możliwe było jej niezwłoczne wypowiedzenie w konkretnych sytuacjach. Co więcej wymaga się, aby Exit Plan zapewniał ciągłość działalności, nie wpływał na zgodność z wymaganiami regulacyjnymi oraz nie zmniejszał jakości usług świadczonych na rzecz klientów.
Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie
Nowe przepisy regulują także zarządzanie incydentami, czyli sytuacje, kiedy doszło do próby naruszenia integralności infrastruktury teleinformatycznej. Od podmiotu finansowego wymaga się m.in.:
- wprowadzenia wskaźników wczesnego ostrzegania;
- ustanowienia procedur kategoryzacji incydentów ze względu na ich wagę;
- określenia planów informacyjnych skierowanych do poszczególnych grup odbiorców, m.in. klientów lub interesariuszy;
- zapewnienia zgłaszania przynajmniej poważnych incydentów kadrze kierowniczej.
Kto zajmie się nadzorem nad stosowaniem DORA w Polsce?
Wiadomo już, że wejście w życie DORA poszerzy kompetencje KNF, która zostanie w tym zakresie organem nadzorczym. Odpowiada ona nie tylko za kontrolę, czy rozporządzenie jest wdrażane w sposób prawidłowy, ale przede wszystkim dbanie o zachowanie integralności cyberbezpieczeństwa na rynku finansowym. W razie stwierdzenia nieprawidłowości KNF ma prawo nakazać lub zakazać realizację określonego działania, wstrzymać członka organu w wykonywaniu przez niego funkcji, a także nałożyć karę pieniężną. Wysokość sankcji może przekroczyć nawet 20 milionów złotych lub 10% przychodów netto albo dwukrotność uzyskanych korzyści lub unikniętych strat za naruszenie DORA.
Kiedy rozporządzenie DORA wchodzi w życie?
Firmy objęte zakresem rozporządzenia DORA mają czas do 17 stycznia 2025 roku, aby dostosować się do nowych wymagań. Warto jednak przeprowadzić w tym zakresie audyt już teraz, zidentyfikować obszary wymagające poprawy i wdrożyć odpowiednie rozwiązania. Dlaczego warto skorzystać z pomocy profesjonalistów, wdrażając rozporządzenie DORA? Regulacje w zakresie cyberbezpieczeństwa nakładają na podmioty rynku finansowego cały szereg nowych wymagań. Dostosowanie się do nich może oznaczać znaczące i kosztowne zmiany organizacyjne oraz technologiczne, które trzeba dobrze zaplanować. Jednocześnie ceną za niedochowanie staranności w tym obszarze są dotkliwe sankcje.