Jak wdrożyć rozporządzenie DORA (Digital Operational Resilience Act)

Ze względu na rosnące ryzyko cyberataków, UE stara się zwiększyć bezpieczeństwo cybernetyczne w instytucjach finansowych, takich jak banki, zakłady ubezpieczeń i firmy inwestycyjne, poprzez program DORA. Po wdrożeniu, DORA wymagałaby od wszystkich instytucji finansowych regulowanych w UE zapewnienia, że są one w stanie oprzeć się wszystkim rodzajom naruszeń i zagrożeń związanych z cyberprzestrzenią.

DORA ustanowi bardziej uproszczony kanał zgłaszania incydentów związanych z technologiami informacyjno-komunikacyjnymi, co stanowi pożądaną konsolidację obowiązujących obecnie licznych wymogów w zakresie zgłaszania. Ponieważ wymogi dotyczące zgłaszania są obecnie rozproszone wśród różnych państw członkowskich i organów, program DORA ma na celu scentralizowanie zgłaszania i zharmonizowanie treści zgłoszeń incydentów za pomocą standardowych szablonów.

Obecne reakcje i strategie naprawcze będą musiały zostać ocenione w odniesieniu do wymogów DORA, ze szczególnym uwzględnieniem procesu legislacyjnego dotyczącego zgłaszania incydentów. Obiekty krytyczne będą musiały zidentyfikować istotne zagrożenia, które mogłyby w znacznym stopniu zakłócić funkcjonowanie podstawowych usług, przyjąć odpowiednie środki w celu zwiększenia swojej odporności oraz zgłosić incydenty niszczące odpowiednim organom.

Podmioty finansowe powinny posiadać solidne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem cybernetycznym w ramach ogólnego systemu zarządzania ryzykiem, w tym polityki ciągłości działania i proces odzyskiwania danych po katastrofie, aby osiągnąć wysoki poziom cyfrowej odporności operacyjnej. Zarządzanie ryzykiem ICT: Instytucje finansowe będą musiały ustanowić i utrzymać solidne systemy informatyczne, a także wprowadzić kompleksową politykę ciągłości działania, łagodzącą ryzyko cybernetyczne, pogorszenie jakości usług, zakłócenia w pracy dostawców oraz ryzyko koncentracji. Zgodnie z nowymi przepisami firmy z sektora finansowego są zobowiązane do ustanowienia i utrzymania solidnych systemów i narzędzi ICT, które będą w stanie w sposób spójny i wiarygodny identyfikować i ograniczać ryzyko związane z ICT.

Organy regulacyjne i nadzorcze w coraz większym stopniu interesują się ograniczaniem ryzyka związanego z technologiami informacyjno-komunikacyjnymi i cyberbezpieczeństwem dla instytucji finansowych oraz zarządzaniem tym ryzykiem, a także dążą do zwiększenia odporności i stabilności całego systemu finansowego.

Ponieważ egzekwowanie przepisów jest główną siłą napędową odporności cybernetycznej, rozsądna i spójna strategia regulacyjna mogłaby przyczynić się do zapewnienia niezbędnych podstaw bezpieczeństwa dla europejskiego sektora finansowego, ograniczając tym samym ryzyko instytucjonalne i systemowe. W swojej analizie dotyczącej opracowania spójnych ram testowania odporności, ESA dostrzegły korzyści płynące ze spójnych ram w postaci potencjalnego zwiększenia świadomości zagrożeń cybernetycznych i wymiany wiedzy. Ze względu na heterogeniczność dojrzałości cybernetycznej w europejskim sektorze finansowym, ESA zasugerowały, że przed stworzeniem spójnych ram testowania należy najpierw skoncentrować się na stworzeniu podstawowego poziomu odporności cybernetycznej dla całego sektora finansowego. Jak wspomniano wcześniej, EBA określił już szereg wymogów związanych z testowaniem odporności w swoich wytycznych dla branży IT.

Tak zwani kluczowi zewnętrzni dostawcy ICT byliby objęci bezpośrednim nadzorem głównego organu nadzoru (jednego z europejskich organów nadzoru finansowego, EUNB, EUNGiPW lub EUNUiPPE), który monitorowałby ich procedury i ustalenia dotyczące zarządzania ryzykiem związanym z ICT, na które mogłyby być narażone podmioty finansowe. Ponadto europejskie organy nadzoru (ESA) - odpowiedzialne za nadzór nad rynkami finansowymi w UE - będą mogły identyfikować zewnętrznych dostawców usług z krytycznymi ICT (zwanych dalej krytycznymi dostawcami) na podstawie kryteriów takich jak odporność i potencjalne skutki systemowe, które mogłyby wynikać z ich masowych awarii operacyjnych. DORA przewiduje regulację zewnętrznych dostawców ICT, w tym dostawców usług w chmurze, przez jeden z europejskich organów nadzoru (ESA), który będzie uprawniony do żądania informacji, wydawania zaleceń i wniosków, przeprowadzania audytów, a także nakładania kar za nieprzestrzeganie nowych przepisów Unii Europejskiej dotyczących zarządzania ryzykiem operacyjnym i odporności.

Wraz z wdrożeniem DORA, firmy świadczące usługi finansowe otrzymują ścisłe ramy czasowe 24 miesiące na wdrożenie niezbędnych zmian w celu zapewnienia pełnej zgodności z przepisami wydanymi przez europejskie organy nadzoru (ESA). Ustawa DORA obejmuje konsolidację istniejących wymogów, które są wzmocnione, aby pomóc pchnąć firmy świadczące usługi finansowe w kierunku cyfrowej przyszłości.

DORA to przełomowy akt prawny, który wprowadzi znaczące wymogi operacyjne i regulacyjne dla instytucji finansowych w całej UE, w tym w zakresie sposobu, w jaki obsługują one zabezpieczenia pochodzące od stron trzecich. Rada przyjęła ustawę o cyfrowej odporności operacyjnej (DORA), która zapewni branży finansowej w Europie możliwość zachowania odporności podczas poważnych zakłóceń operacyjnych. Unia Europejska oficjalnie przyjęła DORA dla instytucji finansowych Europy.

Europejskie firmy świadczące usługi finansowe będą miały mniej niż 24 miesiące na wdrożenie nowych wymogów Komisji Europejskiej w zakresie cyberbezpieczeństwa obejmujących zarządzanie ryzykiem i inne aspekty cyfrowej odporności operacyjnej.

DORA ma na celu wprowadzenie zharmonizowanych, kompleksowych ram cyfrowej odporności operacyjnej dla europejskich instytucji finansowych, określając jasne wymogi dotyczące przeciwdziałania i ograniczania ryzyka cybernetycznego i informatycznego. Celem DORA jest ustanowienie jednolitych wymogów w całej UE, które zwiększają bezpieczeństwo cybernetyczne i odporność operacyjną wszystkich regulowanych europejskich podmiotów finansowych, a także krytycznych stron trzecich świadczących tym instytucjom usługi związane z ICT. Aby to osiągnąć, DORA określa jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych dla firm i organizacji działających w sektorze finansowym oraz kluczowych stron trzecich świadczących im usługi związane z ICT, takie jak platformy w chmurze.

Nowe przepisy podkreślają kluczową zmianę akcentów w całej UE, polegającą na zapewnieniu firmom nie tylko odporności finansowej, ale także odporności operacyjnej w przypadku wystąpienia poważnego incydentu, takiego jak cyberatak lub awaria systemu. Przedsiębiorstwa finansowe będą musiały również ocenić i udokumentować wszelkie potencjalne ryzyko związane z ich zewnętrznymi dostawcami usług teleinformatycznych oraz dopilnować, aby w umowach z tymi firmami określono ich obowiązki prawne wynikające z nowych przepisów.

Zgodnie z nowymi europejskimi zasadami sprawozdawczości wszystkie firmy finansowe będą zobowiązane do przedstawiania raportów dotyczących pierwotnych przyczyn nie później niż miesiąc po wystąpieniu poważnego incydentu związanego z ICT.

Po tym następuje obowiązek ustanowienia funkcji komunikacji kryzysowej (ust. 6), prowadzenia dokumentacji dotyczącej incydentów (ust. 7), wymóg zgłaszania organom nadzoru wyników testów przez CDPW (ust. 8), a także, po raz kolejny, wszystkie przedsiębiorstwa finansowe będą musiały zgłaszać właściwym organom koszty i straty wynikające z incydentów związanych z ICT. Zgłaszanie incydentów-Instytucje finansowe będą musiały ustanowić i wdrożyć proces zarządzania w celu monitorowania i rejestrowania incydentów związanych z ICT, być w stanie kategoryzować incydenty zgodnie z kryteriami określonymi w DORA oraz zapewnić zgłaszanie incydentów odpowiednim organom. Zgodność z przepisami będzie oceniana w drodze audytów (zewnętrznych i wewnętrznych) oraz wniosków o udzielenie określonych informacji - na przykład szczegółów dotyczących usług ICT, dzienników zgłaszania incydentów oraz szczegółów dotyczących wdrożenia zabezpieczeń przed ryzykiem cybernetycznym.

Wdrożony "system DORA" powinien być dokumentowany i poddawany przeglądowi co najmniej raz w roku, a także po wystąpieniu poważnego incydentu związanego z ICT, zgodnie z wytycznymi organów nadzoru lub wnioskami wyciągniętymi z odpowiednich procesów testowania lub audytu cyfrowej trwałości operacyjnej.

Od podmiotów finansowych wymaga się wprowadzenia solidnych, kompleksowych, dobrze udokumentowanych ram zarządzania ryzykiem ICT, które umożliwiają im szybkie, skuteczne i kompleksowe zarządzanie ryzykiem ICT oraz zapewnienie wysokiego poziomu cyfrowej odporności operacyjnej, stosownie do ich potrzeb biznesowych, wielkości i złożoności (art. 5 ust. 1). W ramach solidności podmioty finansowe, z wyjątkiem mikroprzedsiębiorstw, muszą wprowadzić ramy zarządzania bezpieczeństwem informacji, które są oparte na uznanych normach międzynarodowych i spełniają wytyczne organów nadzoru, oraz muszą dokonywać ich regularnych przeglądów.

Podsumowując, zasady obejmują obszary obejmujące zarządzanie umowami, krytyczność stron trzecich, sprawozdanie, należytą staranność przed wykonaniem umowy, audyt oraz strategię wyjścia.

Niezbędne jest nakreślenie pewnych kluczowych zasad, którymi podmioty finansowe będą się kierować przy zarządzaniu ryzykiem związanym z ICT osób trzecich, a które są szczególnie istotne w przypadku, gdy podmioty finansowe zwracają się do dostawców usług ICT osób trzecich w celu wspierania funkcji krytycznych lub podstawowych. Ponieważ podmioty finansowe muszą identyfikować wszystkie rodzaje ryzyka i skutecznie nimi zarządzać, w tym w kontekście usług ICT nabywanych w ramach grupy finansowej, należy wyjaśnić, że podmioty, które są częścią grupy finansowej i w przeważającej mierze świadczą usługi ICT albo na rzecz ich przedsiębiorstwa dominującego, albo na rzecz filii lub oddziałów ich przedsiębiorstwa dominującego, oraz podmioty finansowe świadczące usługi ICT na rzecz innych podmiotów finansowych ich przedsiębiorstwa dominującego, muszą być również uznawane za dostawców usług ICT będących osobami trzecimi zgodnie z niniejszym rozporządzeniem.

Ponieważ podmioty finansowe powinny w sposób skuteczny i spójny identyfikować wszystkie rodzaje ryzyka i zarządzać nimi, w tym w kontekście usług ICT zamawianych w ramach grupy finansowej, należy wyjaśnić, że przedsiębiorstwa będące częścią grupy finansowej i świadczące usługi ICT głównie na rzecz swojej jednostki dominującej lub jednostek zależnych lub oddziałów swojej jednostki dominującej, a także podmioty finansowe świadczące usługi ICT na rzecz innych jednostek finansowych ich jednostki dominującej, powinny być również uznawane za zewnętrznych dostawców usług ICT zgodnie z niniejszym rozporządzeniem.

Podmioty finansowe muszą odpowiednio wyważyć potrzeby, jakie mają w odniesieniu do świadczenia usług ICT, w stosunku do wielkości i całości ich ogólnych profili ryzyka, a także powinny stale oceniać i weryfikować swoje podejście do tego podziału.

Ramy zarządzania ryzykiem w zakresie ICT muszą obejmować strategie, polityki, procedury, protokoły i narzędzia ICT niezbędne do należytej i skutecznej ochrony wszystkich powiązanych elementów fizycznych i infrastruktury, w tym sprzętu komputerowego, serwerów i wszystkich powiązanych pomieszczeń, centrów danych i wyznaczonych obszarów wrażliwych, w celu zapewnienia, że wszystkie te elementy fizyczne są odpowiednio chronione przed zagrożeniami, w tym przed uszkodzeniem i nieupoważnionym dostępem lub wykorzystaniem (art. 5 ust. 2).

Wymóg ustanowienia ram wewnętrznego zarządzania i nadzoru, które umożliwią skuteczne i rozsądne zarządzanie wszystkimi zagrożeniami związanymi z ICT (art. 4 ust. 1).

Celem DORA jest zatem aktualizacja istniejących (ograniczonych) rozporządzeń regulujących zarządzanie ICT (rozdział I), postępowanie z zagrożeniami związanymi z ICT (rozdział II) oraz zgłaszanie incydentów związanych z ICT (rozdział III), a także wprowadzenie nowych wymogów w miejscach, w których istnieją luki, w szczególności w zakresie testów cyfrowych (rozdział IV), wymiany informacji (rozdział VI) oraz zarządzania ryzykiem związanym z ICT u osób trzecich (rozdział V), w tym ram nadzoru dla kluczowych zewnętrznych dostawców krytycznych ICT w zakresie monitorowania ryzyka cyfrowego.

Ponieważ wymogi dotyczące zgłaszania są obecnie rozproszone pomiędzy różne państwa członkowskie i organy, program DORA ma na celu centralizację zgłaszania oraz harmonizację treści zgłoszeń incydentów za pomocą standardowych szablonów.

DORA ustanowi bardziej uproszczony kanał zgłaszania incydentów związanych z technologiami informacyjno-komunikacyjnymi, co stanowi pożądaną konsolidację istniejących obecnie licznych wymogów w zakresie zgłaszania.

DORA umożliwi i zachęci do wymiany informacji o zagrożeniach cybernetycznych między podmiotami w zaufanych społecznościach finansowych. DORA będzie miała kluczowe znaczenie w pakiecie Digital Finance, wykorzystywanym do promowania innowacji i konkurencji w finansach cyfrowych, przy jednoczesnym ograniczaniu ryzyka wynikającego z cyfryzacji w europejskim sektorze usług finansowych. UE uwielbia wykorzystywać środki regulacyjne w celu agregacji i harmonizacji najlepszych praktyk; GDPR jest jednym z przykładów zharmonizowanych regulacji dotyczących prywatności danych; DORA jest wysiłkiem UE mającym na celu agregację i modernizację zarządzania ryzykiem technologii informacyjnych w całej branży finansowej, a DORA wpływa na unijne firmy świadczące usługi finansowe i ich (krytycznych) dostawców technologii informacyjnych.

W rezultacie krytyczny dostawca ICT obsługujący podmiot objęty DORA podlegałby ścisłym regulacjom, które byłyby stosowane poprzez bezpośrednie interakcje z organami usług finansowych UE (FS). Podmioty objęte ochroną obejmują instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług kryptowalutowych, alternatywne fundusze inwestycyjne, menedżerów ubezpieczeniowych i tak dalej. Wyjątkiem są audytorzy, którzy są obecnie zwolnieni z zasad DORA, ale to prawdopodobnie ulegnie zmianie w ramach przyszłych wersji DORA.

Podmioty Objęte Ochroną są zobowiązane do zapewnienia środków do monitorowania, wyszczególniania i zgłaszania właściwym organom wszelkich poważnych incydentów, które wiążą się z wykorzystaniem technologii komputerowej. Aby to osiągnąć, należy określić ryzyko związane z ICT, stosować nowoczesne technologie i procesy ICT w celu zapewnienia, że urządzenia do przesyłania informacji są bezpieczne i minimalizują ryzyko uszkodzenia lub utraty danych (art. 8 ust. 3), należy wdrożyć mechanizmy wykrywania, ustanowić politykę tworzenia kopii zapasowych i systemy przywracania danych, a także (zgodnie z art. 12 ust. 2) po wystąpieniu incydentu związanego z ICT należy przeprowadzić przegląd po wystąpieniu incydentu, aby podmioty objęte obowiązkiem mogły wyciągnąć wnioski z poprzednich incydentów i odpowiednio poprawić systemy. Przedsiębiorstwa finansowe powinny między innymi ocenić zwiększone ryzyko koncentracji w związku z korzystaniem z ICT.

Podczas gdy trzy artykuły blokujące wymogi dotyczące postępowania z ryzykiem związanym z ICT, zgłaszania problemów związanych z ICT oraz kontroli cyfrowej stabilności operacji dotyczą przedsiębiorstw finansowych, a zatem również zewnętrznych dostawców ICT, artykuł blokujący kontrolę zewnętrznych dostawców ICT pod kątem ryzyka reguluje wyłącznie dostawców technologii.

Nie zaskakuje artykuł 13 Komunikacja, który wymaga od firm finansowych posiadania planów komunikacyjnych (ust. 1) z rozróżnieniem odbiorców wewnętrznych od zewnętrznych, przy czym wewnętrzni są dodatkowo podzieleni na osoby posiadające wiedzę z zakresu zarządzania ryzykiem ICT oraz wszystkich pozostałych, z przydzieleniem co najmniej jednej osoby do uzupełnienia strategii komunikacyjnej i pełnienia funkcji przedstawiciela zewnętrznego. Firmy korzystające z usług takich dostawców powinny podjąć racjonalne wysiłki w celu odpowiedzialnego i skutecznego zorganizowania i nadzorowania ich spraw, przy zastosowaniu odpowiednich systemów zarządzania ryzykiem.

Jak MQX Polska może pomóc?

Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług cyberbezpieczeństwa i ochrony danych osobowych.

Łączymy prawo i technologie cyberbezpieczeństwa.