- Kategorie: Nowe technologie, Rynek,
Projekty standardów technicznych europejskich organów nadzoru
Europejskie organy nadzoru (ang. ESAs – European Supervisory Authorities, dalej jako: EUN) opublikowały pierwszą partię finalnych projektów standardów technicznych opracowanych na podstawie Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Co to oznacza dla polskiego rynku?
17 stycznia 2024 r. Europejskie Organy Nadzoru (EBA – Europejski Urząd Nadzoru Bankowego, EIOPA – Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych, ESMA – Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) opublikowały finalne projekty pierwszych standardów technicznych, uzupełniających wymogi Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operational Resilience Act – DORA).
Delegacje do opracowania i wydania regulacji prawnych drugiego poziomu – regulacyjnych standardów technicznych (ang. Regulatory technical standard – RTS) oraz implementujących standardów technicznych (ang.Implementing Technical Standard -ITS) – przełożone zostały na dwie partie dokumentów (ang. batches). Przekazanie pierwszej, zgodnie z treścią DORA, nastąpiło 17 stycznia 2024 r., a publikacji drugiej należy spodziewać się pół roku później – do dnia 17 lipca 2024 r.
DORA – co zawierają standardy techniczne?
W styczniowym pakiecie znalazły się:
- Regulacyjny standard techniczny dotyczący ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (ang. Regulatory Technical Standard on ICT risk management framework and on simplified ICT risk management framework);
- Regulacyjny standard techniczny dotyczący klasyfikacji poważnych incydentów oraz znaczących cyberzagrożeń (ang. Regulatory Technical Standard on the classification of major incidents and significant cyber threats);
- Regulacyjny standard techniczny w celu określenia polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT (ang. Regulatory Technical Standard to specify the policy on ICT services supporting critical or important functions provided by ICT third-party service providers);
- Implementacyjny standard techniczny dotyczący rejestru ustaleń umownych (ang. Implementing Technical Standard on register of information).
Co wynika z opublikowanych regulacji?
Dokumentem o najszerszym zakresie przedmiotowym jest standard dotyczący ram zarządzania ryzykiem ICT. W jego treści określono szczegółowe oczekiwania względem partykularnych procesów bezpieczeństwa ICT, z uwzględnieniem m.in. zarządzania zasobami (ang. asset management), zarządzania podatnościami i poprawkami (ang. vulnerability and patch management), zarządzania bezpieczeństwem sieci (ang. network security management) i innych. Pierwsze analizy prowadzą do wniosku, że są to niejednokrotnie bardziej kazuistyczne wymogi, aniżeli te, które wynikają z obowiązujących Wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r.
W standardzie poświęconym klasyfikacji poważnych incydentów oraz znaczących cyberzagrożeń określone zostały kryteria pozwalające na ocenę wpływu incydentów, w tym progi istotności do celów ustalania poważnych incydentów związanych z ICT, a także kryteria oceny znaczących cyberzagrożeń, w tym progi istotności do celów ustalania znaczących cyberzagrożeń.
Kolejny standard określa minimalne wymagania względem polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Doprecyzowane zostały cele i podstawowe założenia oceny ryzyka, obowiązki w ramach due diligence oraz wymogi względem postanowień umownych, które skoncentrowano na uprawnieniach audytowo-kontrolnych.
Last but not least – ostatni z dokumentów uznać można za jeden z bardziej wyczekiwanych. Standard ten wprowadza szablon rejestru ustaleń umownych (rejestru umów na usługi ICT). Ilość i charakter wymaganych informacji, będących składowymi tego rejestru, znacząco przekracza dotychczasowe wymagania Ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako: UDUiR), mówiące o składowych rejestru (ewidencji) umów outsourcingu (art. 77 UDUiR).
Co dalej?
Ostateczne projekty standardów zostały przekazane Komisji Europejskiej, która rozpoczęła proces prowadzący do ich przyjęcia w najbliższych miesiącach. Po ich zatwierdzeniu przez Komisję, standardy staną się integralna częścią DORA. Jednocześnie, ostateczny kształt projektów pozwala podmiotom finansowym postawić kolejny krok w działaniach zakładających implementację zmian determinowanych przez DORA. Prace nad interpretacją tych regulacji prowadzi również Zespół ds. DORA, działających w ramach Polskiej Izby Ubezpieczeń – o rezultatach będziemy informować już niedługo.
Damian Jagusz
Corporate IT Security Officer (CITSO), Chief Digital Operational Resilience Officer oraz Head of IT Security and Compliance Team w Sopockim Towarzystwie Ubezpieczeń ERGO Hestia SA oraz Sopockim Towarzystwie Ubezpieczeń na Życie ERGO Hestia SA. Przewodniczący Zespołu ds. DORA w Polskiej Izbie Ubezpieczeń.