DORA – cyfrowa odporność operacyjna dla sektora finansowego

Autor: Mariusz Kuna

24 września 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA). To część planów i strategii dotyczących finansowania cyfrowego. Co to oznacza dla ubezpieczeń? Jakie wymogi przed nami stawia? Jak do nowych wymagań podejdzie nadzór? Oto kluczowe informacje o DORA.  

DORA jest częścią pakietu strategii finansowania cyfrowego. Wymaga ustanowienia w zakładzie ubezpieczeń specjalnej funkcji, której rolą jest monitorowanie relacji z zewnętrznymi dostawcami technologii informacyjno-telekomunikacyjnych, czyli ICT. W nowych przepisach określono szczegółowe jednolite wymogi dla przedsiębiorstw finansowych w zarządzaniu ryzykiem ICT, zgłaszania incydentów z tym związanych, cyfrowych testów odporności operacyjnej oraz zarządzania ryzykiem ICT osób trzecich.

DORA: ważne definicje

Projekt przepisów zawiera kompleksowy zestaw definicji dotyczących osób i usług w zakresie DORA. Są to m.in. definicje cyfrowej odporności operacyjnej, ryzyka ICT, ryzyka strony trzeciej ICT, zewnętrznego dostawcy usług ICT, w tym usług przetwarzania w chmurze, oraz usługodawcy będącego stroną trzecią z siedzibą w państwie trzecim.

Definicje z projektu oznaczają dla nas koniczność bardzo uważnej analizy wszystkich zapisów. Na naszym rynku mamy już przecież wytyczne KNF. A jakiekolwiek rozbieżności w definicjach mogą w konsekwencji przełożyć się na niepewność prawną powodującą komplikacje w działalności operacyjnej.

Zasada proporcjonalności

W projekcie wiele jest odniesień do zasady proporcjonalności. Co to będzie oznaczać w praktyce? Odniesienia nas cieszą, ale jak zmienią się wymogi określone w proponowanych przepisach prawa? Jest to szczególnie ważne, ponieważ różne podmioty sektora finansowego mają bardzo różne profile biznesowe, co za tym idzie profile ryzyka.

W DORA wprowadzono zasadę proporcjonalności poprzez:

  • Zwolnienia dla mikroprzedsiębiorstw zatrudniających mniej niż 10 pracowników i / lub z obrotem poniżej 2 mln EUR w niektórych obszarach zarządzania ryzykiem ICT. To oznacza brak:
    • konieczności oceny ryzyka w przypadku zmian w sieci i infrastrukturze systemu informatycznego oraz brak konieczności corocznej oceny ryzyka ICT we wszystkich dotychczasowych systemach (art. 7 identyfikacja).
    • realizacji audytu planu odtwarzania po awarii ICT;
    • konieczności scenariuszy testowych cyberataków i przełączeń między podstawową infrastrukturą teleinformatyczną a nadmiarową wydajnością, kopiami zapasowymi i nadmiarowymi obiektami;
    • zapewnienia funkcji zarządzania kryzysowego; brak obowiązku zgłaszania właściwym organom wszystkich kosztów i strat spowodowanych zakłóceniami ICT i incydentami związanymi z ICT (art. 10 Reagowanie i odzyskiwanie i art. 11 Zasady tworzenia kopii zapasowych i metody odzyskiwania).
  • Indywidualne zasady dla niektórych kategorii podmiotów. Zaawansowane testy warunków skrajnych tylko dla znaczących podmiotów finansowych, które zostaną wyznaczone jako takie na podstawie kryteriów określonych przez Europejskie Organy Nadzoru – ESA.
  • Indywidualne zasady dotyczące określonych kategorii incydentów. Tylko poważne incydenty związane z ICT wymagają zgłaszania, które należy określić za pomocą progów istotności opracowanych przez ESA.

System zarządzania ryzykiem ICT

DORA będzie wymagać od podmiotów finansowych kompleksowego zarządzania i kontroli w zakresie ryzyka ICT, ale to nie jest nowością dla zakładów ubezpieczeń. W lipcu 2021 r. przecież wejdą w życie wytyczne EIOPAChodzi w nich przede wszystkim o posiadanie i utrzymywanie aktualności używanych systemów teleinformatycznych, protokołów i narzędzi. DORA nakłada na to obowiązek identyfikacji i dokumentowania tego, co stanowi potencjalne źródło ryzyka teleinformatycznego. W szczególności konfiguracji systemów, które łączą się z wewnętrznymi i zewnętrznymi systemami teleinformatycznymi. Celem jest jak najlepsza ochrona infrastruktury ICT, czyli zapobieganie, wykrywanie, reagowanie i usuwanie zagrożeń teleinformatycznych. Trzeba to udokumentować w polityce ciągłości działania ICT. Zakres obowiązkowych zagadnień, jakie będą musiały się w takiej polityce znaleźć, określi EIOPA w standardzie technicznym.

Trzeba będzie stale monitorować skuteczność wdrażania strategii odporności cyfrowej. Jednak nie wiadomo, jakie oczekiwania będzie miał nadzór w stosunku do częstotliwości i celów audytów, które mają być współmierne do ryzyk ICT zakładu.

Podmioty objęte regulacją będą musiały zapewnić plan komunikacji umożliwiający „odpowiedzialne ujawnianie incydentów związanych z ICT lub głównych słabych punktów”.

DORA wymagać będzie również ustanowienia specjalnej funkcji. Jej rolą będzie monitorowanie relacji z zewnętrznymi dostawcami ICT. Może być wyznaczony członek kadry kierowniczej wyższego szczebla odpowiedzialny za nadzorowanie powiązanej ekspozycji na ryzyko i odpowiedniej dokumentacji.

To jednak nie koniec listowania wymogów. Czeka nas dalsza harmonizacja narzędzi, metod, procesów i polityk zarządzania ryzykiem ICT. Z art. 14 wynika, że ESA, w porozumieniu z ENISA, będą zobowiązane do opracowania projektu standardu technicznego w tym zakresie.

Incydenty związane z ICT

By monitorować i rejestrować incydenty związane z ICT, podmioty finansowe muszą wprowadzić odpowiednie procedury zarządzania. Incydenty będziemy też klasyfikować w oparciu o kryteria opracowane przez ESA za pomocą wspólnej taksonomii incydentów związanych z ICT, która określi m.in. progi istotności. Zgłaszać będziemy wszystkie poważne incydenty związane z ICT w wyznaczonym czasie i przy użyciu zharmonizowanych szablonów sprawozdań.

ESA, w porozumieniu z ENISA i EBC, ocenią możliwość ustanowienia jednego unijnego centrum zgłaszania poważnych incydentów związanych z ICT. Sprawozdanie przedłożą KE, PE i Radzie nie później niż trzy lata po wejściu w życie DORA.

I tu znów będziemy musieli zadbać o szczegółowe zapisy dotyczące wymogów sprawozdawczych wynikających z różnych regulacji. Przykładowo, incydenty bezpieczeństwa teleinformatycznego, jeśli będą wiązały się z naruszeniem danych osobowych, również będą wymagały zgłoszenia do organów ochrony danych zgodnie z wymogami RODO.

Cyfrowe testy odporności operacyjnej

Podmioty finansowe ustanawiają, utrzymują i dokonują przeglądu uwzględniając przy tym swoją wielkość, profil działalności i ryzyka. Rzetelny i kompleksowy program cyfrowego testowania odporności operacyjnej jest integralną częścią zarządzania ryzykiem ICT. Tu znów pojawiają się pytania o wymagania nadzoru w zakresie podejścia opartego na ryzyku. Jak daleko w praktyce uwzględnić zmieniający się krajobraz ryzyk ICT? Wszelkie szczególne zagrożenia, na które podmiot finansowy jest lub może być narażony, krytyczności aktywów informacyjnych i świadczonych usług, a także wszelkich innych czynników, które podmiot uzna za stosowne?

Zarządzanie ryzykiem ICT osób trzecich

DORA wprowadza szczegółowe wymagania dla podmiotów finansowych w ich relacjach z dostawcami usług. Chodzi przede wszystkim o przedumowne oceny ryzyka, dostępu, praw kontroli i audytów, zakończenia uzgodnień umownych (art 25) oraz oceny koncentracji ryzyk ICT i dalsze uzgodnienia dotyczące podoutsourcingu (art. 26).

Chociaż w proponowanych przepisach jest mowa o zasadzie proporcjonalności, to jednak nakładają one pełną odpowiedzialność na podmioty finansowe za zapewnienie, że ich zewnętrzni dostawcy usług ICT spełniają wymogi określone w DORA. Wyjątkiem są usługodawcy wyznaczeni przez ESA jako krytyczni. Wymogi związane z nadzorem nad wszystkimi niekrytycznymi usługodawcami mogą okazać się bardzo uciążliwe w zależności od oczekiwań w zakresie zastosowania zasady proporcjonalności. Tu ważne będzie również rozróżnienie pomiędzy dostawcami zewnętrznymi a tymi wewnątrzgrupowymi.

Nadzór nad krytycznymi zewnętrznymi dostawcami usług ICT

Projekt zawiera oddzielny zestaw przepisów, które będą miały zastosowanie do krytycznych dostawców usług od stron trzecich. Zostaną oni wyznaczeni przez Wspólny Komitet Europejskich Urzędów Nadzoru (Joint Committee) na podstawie listy kryteriów określonych w DORA.

Nadzorcy unijni będą wyposażeni w daleko idące uprawnienia, w tym nieograniczone prawo dostępu do wszystkich informacji uznanych za niezbędne, prawo do inspekcji. Za ten nadzór trzeba będzie zapłacić.

Wymiana informacji

Proponowane przepisy pozwolą podmiotom finansowym na wymianę między sobą informacji i danych wywiadowczych na temat zagrożeń cybernetycznych. W tym wskaźników naruszenia bezpieczeństwa, taktyk, technik, procedur, alertów bezpieczeństwa cybernetycznego i narzędzi konfiguracyjnych.

DORA – co dalej?

Projekt rozporządzenia trafi do Parlamentu Europejskiego i Rady do przeglądu i przyjęcia. Prawodawcy unijni wprowadzą zmiany. Ostateczna wersja przepisów może więc różnić się od projektu zaproponowanego przez Komisję. Ważne, byśmy się zaangażowali od wczesnych etapów prac i wskazywali potencjalne rozbieżności w wymogach płynących z wielu stron. Ponadto istotne będą opinie branży dotyczące praktyk w zakresie zarządzania ryzykiem ICT, które funkcjonują już w zakładach ubezpieczeń od dawna.

Nowa regulacja stanowi też wyzwanie dla krajowego nadzoru i regulatorów. Wymagać będzie wkomponowania nowych przepisów i obowiązków w już funkcjonujące przepisy. A przecież już obowiązuje szereg regulacji, wytycznych i komunikatów dotyczących zarządzania bezpieczeństwem i ryzykami środowisk ICT, które nakładają liczne wymagania dla podmiotów nimi objętych. DORA w tym zakresie powiela wiele z nich. Pozostaje otwarte pytanie, czy to zasadne.

 

Tekst przygotowali:

Iwona Szczęsna

Mariusz Kuna