17 lipca Europejskie Organy Nadzoru (ang. European Supervisory Authorities) opublikowały drugą partię finalnych projektów standardów technicznych przygotowanych na podstawie Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA).

Delegacje do opracowania i wydania regulacji prawnych drugiego poziomu – m.in. Regulatory technical standard (RTS) oraz Implementing Technical Standard (ITS) – przełożone zostały na dwie partie dokumentów (batches). Przekazanie pierwszej, w terminie wskazanym przez DORA, nastąpiło 17 stycznia 2024 r.

Co składa się na tzw. Second batch?

W lipcowym pakiecie znalazło się siedem dokumentów. Z perspektywy operacyjnej działalności zakładów ubezpieczeń na szczególną uwagę zasługują:

• Regulacyjny standard techniczny dotyczący testów penetracyjnych pod kątem wyszukiwania zagrożeń (ang. Regulatory technical standard specifying elements related to threat led penetration tests);
• Regulacyjny standard techniczny dotyczący zgłaszania i raportowania poważnych incydentów związanych z ICT oraz znaczących cyberzagrożeń (ang. Regulatory technical standard on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents);
• Implementacyjny standard techniczny dotyczący standardowych formularzy, szablonów oraz procedur raportowania poważnego incydentu związanego z ICT oraz zgłaszania znaczącego cyberzagrożenia ( Implementing technical standard on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat);
• Wspólne wytyczne dotyczące szacowania zagregowanych rocznych kosztów i strat spowodowanych przez poważne incydenty związane z ICT ( Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents).

W komunikacie Europejskich Organów Nadzoru poinformowano, że publikacja standardu dotyczącego podwykonawstwa – pomimo wcześniejszych planów jego publikacji do 17 lipca – nastąpi
w późniejszym terminie.

Na czym polegają nowe obowiązki?

Zgodnie z art. 26 ust. 1 DORA, po 17 stycznia 2025 r. wybrane podmioty finansowe będą zobowiązane do przeprowadzania cyklicznych – nie rzadziej niż co trzy lata – zaawansowanych testów penetracyjnych pod kątem wyszukiwania zagrożeń (TLPT). Skoro nie każdą instytucję objętą zakresem DORA dotyka obowiązek TLPT – czym należy kierować się podczas wyboru właściwych podmiotów? Opublikowany standard techniczny pozwala odpowiedzieć na to pytanie. Do kryteriów wyboru mających zastosowanie do zakładów ubezpieczeń i zakładów reasekuracji zaliczono m.in. wartość składki przypisanej brutto (GWP) oraz rezerw techniczno-ubezpieczeniowych. Są to inne kryteria, niż te, które wskazano w roboczej wersji standardu opublikowanej przez Europejskie Organy Nadzoru pod koniec roku ubiegłego. Jak odnotowano w uzasadnieniu, zmiana ta ma na celu „zapewnienie większej przewidywalności dla interesariuszy na rynku”.

Organ TLPT może zdecydować się na włączenie do zakresu kolejnych podmiotów, o ile uzasadnia to wpływ, charakter systemowy i profil ryzyka ICT, ocenione na podstawie kryteriów wskazanych
w art. 2 ust. 4 standardu. Na podobnych zasadach wprowadzona została możliwość wyłączenia
z zakresu – w takich sytuacjach ocena kryteriów wymienionych w ust. 4 prowadzić powinna do stwierdzenia, że wpływ podmiotu finansowego, związane z nim obawy dotyczące stabilności finansowej lub jego profil ryzyka ICT nie uzasadniają przeprowadzenia TLPT.

W dalszej części dokumentu podmioty zobowiązane do przeprowadzania TLPT poznały założenia metodyczne procesu testowania. Został on oparty na metodyce TIBER-EU, która w swojej pierwotnej wersji opracowana została przez Europejski Bank Centralny oraz krajowe banki centralne państw Unii Europejskiej.

Zgodnie z DORA, podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi. W opublikowanej partii dokumentów określone zostały szczegółowe wymogi względem treść poszczególnych raportów, a także terminów, w których należy kierować zawiadomienia.

• W przypadku wstępnego powiadomienia – podmiot finansowy zobowiązany będzie do jego złożenia „jak najwcześniej w ciągu 4 godzin od momentu zaklasyfikowania incydentu jako poważny, ale nie później niż 24 godziny od momentu, w którym podmiot finansowy dowiedział się o incydencie”;
• W przypadku sprawozdania śródokresowego – „najpóźniej w ciągu 72 godzin od złożenia wstępnego powiadomienia, nawet jeżeli status incydentu lub postępowania z nim nie uległy zmianie”;
• W przypadku sprawozdania końcowego – „nie później niż miesiąc od przedłożenia ostatniego zaktualizowanego sprawozdania śródokresowego”.

Gdy termin złożenia wstępnego powiadomienia, sprawozdania śródokresowego lub sprawozdania końcowego przypada na dzień weekendu lub dzień wolny od pracy, podmiot finansowy może złożyć właściwy raport do południa następnego dnia roboczego.

Europejskie Organy Nadzoru, pomimo licznych postulatów zgłaszanych w ramach konsultacji, nie zdecydowały się na wydłużenie terminu, w którym należy przekazać wstępne powiadomienie
o poważnym incydencie związanym z ICT. Za korzystną zmianę uznać należy wydłużenie terminu
w sytuacji, gdy bazowa data złożenia raportu przypada na dzień wolny od pracy. W takim przypadku dopuszcza się, że raport przekazany zostanie do południa pierwszego dnia roboczego przypadającego po dniu weekendu lub dniu wolnym od pracy – pierwotny projekt mówił o godzinie po rozpoczęciu pierwszego roboczego dnia.

Jakie są kolejne kroki?

Publikacja dokumentów nastąpiła 6 miesięcy przed datą obowiązywania DORA – w momencie, w którym zdecydowana większość zakładów ubezpieczeń prowadzi zaawansowane prace nad wdrożeniem nowych zasad. Najbliższe zadanie to szczegółowa analiza dodatkowych wymogów
i ocena ich wpływu na dotychczasowe założenia i cele toczących się projektów. W następnym kroku konieczne może okazać się: dostosowanie aktów legislacji wewnętrznej, rozwiązań procesowych, a niejednokrotnie również warunków współpracy z zewnętrznymi dostawcami świadczącymi usługi m.in. monitorowania środowiska i obsługi incydentów.

Ostateczne projekty standardów zostały przekazane Komisji Europejskiej, która rozpocznie proces zmierzający do ich formalnego przyjęcia.

Damian Jagusz  – Chief Digital Operational Resilience Officer oraz Head of Digital Operational Resilience and ICT Compliance Unit w Sopockim Towarzystwie Ubezpieczeń ERGO Hestia SA oraz Sopockim Towarzystwie Ubezpieczeń na Życie ERGO Hestia SA.

Przewodniczący Zespołu ds. DORA w Polskiej Izbie Ubezpieczeń.