27 czerwca 2022

DORA coraz bliżej – wstępne porozumienie Parlamentu UE i Rady

Autor: Bartosz Bigaj Mariusz Kuna

Po prawie dwóch latach od opublikowania projektu rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (ang. Digital Operational Resilience Act – DORA), 10 maja prezydencja Rady Unii Europejskiej i Parlament Europejski osiągnęły wstępne porozumienie w sprawie treści DORA. Dora – coraz bliżej.
DORA coraz bliżej – wzmocnienie bezpieczeństwa informatycznego

Celem DORA jest wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych, takich jak banki, zakłady ubezpieczeń, pośrednicy finansowi czy firmy inwestycyjne. Unijni legislatorzy tłumaczą potrzebę wprowadzenia DORA koniecznością zabezpieczania podmiotów finansowych w przypadku poważnych zakłóceń operacyjnych.

DORA przewiduje jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych firm sektora finansowego oraz podmiotów trzecich, które świadczą dla nich usługi ICT (ang. Information Communication Technologies), czyli dostawców technologii przetwarzania, gromadzenia i przesyłania informacji w formie elektronicznej. DORA wymaga wdrożenia rozwiązań umożliwiających przeciwdziałanie, reagowanie na zagrożenia związane z ICT i odzyskiwanie operacyjnej ciągłości po wszelkiego rodzaju zakłóceniach w tym obszarze. Wymagania te będą jednolite we wszystkich państwach członkowskich.

DORA rozszerzy istniejące wymogi dotyczące zarządzania ryzykiem w zakresie ICT regulując m.in. obowiązek corocznej oceny ryzyka w zakresie ICT, identyfikacji i zgłaszania incydentów, reagowania i odzyskiwania danych czy testowania przyjętych rozwiązań.

Dora coraz bliżej – Kontrola ryzyka ICT nie jest nowością

1 lipca 2021 r. weszły w życie , o których pisaliśmy na blogu PIU już w marcu 2020 r. Stanowisko PIU: konsultacje publiczne ICT. O DORA pisaliśmy także w artykule DORA – cyfrowa odporność operacyjna dla sektora finansowego.

DORA – coraz bliżej. to nie tylko zakłady, ale też pośrednicy

Zakres DORA został dostosowany do dyrektywy Wypłacalność II, co oznacza, że z DORA wyłączone będą tylko małe zakłady, w których roczna składka przypisana brutto nie przekracza 5 mln EUR, a rezerwy techniczno-ubezpieczeniowe brutto nie przekraczają 25 mln EUR.

DORA będzie mieć zastosowanie także do pośredników ubezpieczeniowych i reasekuracyjnych z wyłączeniem mikro, małych i średnich pośredników oraz pośredników oferujących ubezpieczenia uzupełniające. Objęcie zakresem DORA pośredników wydaje się nieuzasadnione, a co więcej prawdopodobnie powieli dotychczasowe problemy, które obserwujemy przy okazji chmury obliczeniowej. Po pierwsze, stworzy to kolejne problemy dotyczące podziału i zakresu obowiązków na linii zakład – pośrednik. Po drugie, działalność pośredników nie generuje innych istotnych ryzyk w obszarze ICT, niż te które występują względem zakładów. Po trzecie, będzie skutkowało niepotrzebnym dublowaniem przyjętych rozwiązań zarówno przez zakład i pośrednika, a co za tym idzie także niepotrzebnymi kosztami, które mógłby zostać lepiej zainwestowane, np. w rozwój nowych produktów czy innowacje.

Uproszczenia system zarządzania ryzykiem ICT nie dla ubezpieczycieli

Co prawda przepisy DORA zawierają odniesienie do zasady proporcjonalności w kilku obszarach takich jak zarządzanie ryzykiem ICT, zgłaszanie incydentów ICT, testowaniu cyfrowej odporności operacyjnej oraz zarządzania ryzykiem podmiotów trzecich związanym z ICT, to jednak zakłady ubezpieczeń nie będą mogły stosować specjalnego uproszczonego systemu zarządzania ryzkiem ICT.

Stosując zasadę proporcjonalności zakłady i pośrednicy będą musiały wziąć pod uwagę rozmiar, charakter, skalę i złożoności usług, działań i operacji oraz ich ogólny profil ryzyka. DORA zapewnia przy tym kompetencje organu do żądania sprowadzań dotyczących stosowania zasady proporcjonalności w celu ustalenia czy została ona prawidłowo wdrożona.

Szeroki zakres zarządzania ryzykiem ICT

Krytycznie należy ocenić bardzo szeroki zakres zarządzania ryzykiem ICT zawarty w porozumieniu. Wydaje się, że lepszym odzwierciedleniem zasady proporcjonalności była propozycja Parlamentu ograniczająca zarządzanie ryzykiem ICT tylko do funkcji krytycznych i ważnych. Pozytywnie należy oceniać za to ograniczenia zakresu informowania klientów, partnerów i opinii publicznej o incydentach ICT tylko do poważnych incydentów lub słabych punktów systemu informacyjnego. Dobrym kierunkiem zmian jest także wyłączenie dostawców usług wewnątrzgrupowych z ram nadzoru nad krytycznymi dostawcami usług ICT – wymogi te będą miały zastosowanie tylko zewnętrznych dostawców ICT. Oprócz tego wyłączenia, DORA niestety nie przewiduje żadnych łagodniejszych zasad dotyczących outsourcingu wewnątrzgrupowego.

Incydenty ICT – trzeba będzie raportować tylko te poważne

Podmioty finansowe objęte DORA będą musiały rejestrować i klasyfikować incydenty związane z działaniem obszaru usług ICT, które mają lub mogą mieć wpływ na stabilność, ciągłość lub jakość usług finansowych, lub mogą mieć prawdopodobny wpływ na takie usługi. Incydenty bezpieczeństwa muszą być zgłaszane do wyznaczonego unijnego podmiotu, który będzie odpowiedzialny za ich zbieranie i obsługę. Będą miały na to 24 lub 72 godziny w zależności czy incydent znacznie zakłóca dostępność usług świadczonych przez dany podmiot oraz ma wpływ na integralność, poufność lub bezpieczeństwo danych osobowych przechowywanych przez ten podmiot. Podmioty będą musiały także w stosownych przypadkach, informować swoich klientów, których te zagrożenia potencjalnie dotyczą, o wszelkich środkach ochronnych, które zamierzają podjąć celem ograniczenia wpływu incydentów.

DORA daje podmiotom możliwość dobrowolnego powiadamiania unijnego organu o poważnych zagrożeniach cybernetycznych, jeżeli uznają, że zagrożenie to ma znaczenie dla systemu finansowego, użytkowników usług lub klientów oraz, że informacje te należy przekazać innym właściwym organom zgodnie innymi przepisami.

dora coraz bliżej – Będą potrzebne obowiązkowe testy

DORA wymaga, aby podmioty ustanowiły, utrzymywały i poddawały przeglądom programy testowania cyfrowej odporności w oparciu o analizę ryzyka. Do mikroprzedsiębiorstw będzie stosowany łagodniejszy system testowania. Organy nadzoru będą mogły wskazywać podmioty finansowe, od których wymaga się przeprowadzenia dodatkowych testów penetracyjnych (ang. Threat-Led Penetration Testing – TLPT), czyli kontrolowanych prób naruszenia odporności cybernetycznej poprzez symulowanie taktyk, metod i procedur stosowanych przez rzeczywistych hakerów. Podmioty te będą musiały przeprowadzać testy TLPT co najmniej raz na trzy lata, chociaż organ nadzoru będzie mógł zmniejszyć lub zwiększyć częstotliwości testów. Jeżeli podmioty zdecydują się na do przeprowadzanie testów TLPT przez testerów wewnętrznych, to i tak będą musiały co trzy lata zlecać poprowadzenie TLPT testerowi zewnętrznemu.

Diabeł tkwi w szczegółach – kluczowe kwestie znowu w rękach ESAs

DORA podobnie jak inne ostatnie unijne regulacje przewiduje, że wiele istotnych kwestii zostanie uregulowanych dopiero na poziomie drugim w Regulacyjnych Standardach Technicznych (ang. Regulatory Technical Standards – RTS) przez Wspólny Komitet Europejskich Organów Nadzoru obejmujący trzy Europejskie Organy Nadzoru – EIOPA, ESMA i EBA (ang. European Supervisory Authorites – ESAs). W RTS’ach dopracowane mają być m.in. kryteria rejestrowania incydentów ICT, treść powiadomienia o istotnych cyberzagrożeniach, zakres obowiązkowego raportowania incydentów ICT, terminy zgłaszania incydentów i raportów dla organu nadzoru, czy warunki przeprowadzenia testów TLPT. W treści DORA, co prawda słusznie wskazano, że opracowując standardy techniczne ESAs powinny uwzględniać charakter działalności w różnych sektorach usług finansowych, jednak doświadczenia wielu wcześniejszych horyzontalnych regulacji pokazują, że ESAs często zapominają o sektorze ubezpieczeniowym i skupiają się głównie na bankingu i firmach inwestycyjnych. Miejmy nadzieję, że w tym przypadku będzie inaczej.

Co dalej?

Zanim nowe przepisy DORA zostaną przyjęte porozumienie musi zostać jeszcze formalnie zatwierdzone przez Radę i Parlament. Zakłady i pośrednicy musieli wdrożyć DORA w ciągu 24 miesięcy od momentu jej wejścia w życie. ESAs mają od 12 do 18 miesięcy na przygotowanie poszczególnych RTSów. Termin na wdrożenie DORA wydaje się odległy, ale warto już teraz przygotowywać się do nowych wymogów.