Projekty standardów technicznych europejskich organów nadzoru

Europejskie organy nadzoru (ang. ESAs – European Supervisory Authorities, dalej jako: EUN) opublikowały pierwszą partię finalnych projektów standardów technicznych opracowanych na podstawie Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Co to oznacza dla polskiego rynku?

17 stycznia 2024 r. Europejskie Organy Nadzoru (EBA – Europejski Urząd Nadzoru Bankowego, EIOPA – Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych, ESMA – Europejski Urząd Nadzoru Giełd i Papierów Wartościowych) opublikowały finalne projekty pierwszych standardów technicznych, uzupełniających wymogi Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operational Resilience Act – DORA).

Delegacje do opracowania i wydania regulacji prawnych drugiego poziomu – regulacyjnych standardów technicznych (ang. Regulatory technical standard – RTS) oraz implementujących standardów technicznych (ang.Implementing Technical Standard -ITS) – przełożone zostały na dwie partie dokumentów (ang. batches). Przekazanie pierwszej, zgodnie z treścią DORA, nastąpiło 17 stycznia 2024 r., a publikacji drugiej należy spodziewać się pół roku później – do dnia 17 lipca 2024 r.

DORA – co zawierają standardy techniczne?

W styczniowym pakiecie znalazły się:

Regulacyjny standard techniczny dotyczący ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT (ang. Regulatory Technical Standard on ICT risk management framework and on simplified ICT risk management framework);
Regulacyjny standard techniczny dotyczący klasyfikacji poważnych incydentów oraz znaczących cyberzagrożeń (ang. Regulatory Technical Standard on the classification of major incidents and significant cyber threats);
Regulacyjny standard techniczny w celu określenia polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT (ang. Regulatory Technical Standard to specify the policy on ICT services supporting critical or important functions provided by ICT third-party service providers);
Implementacyjny standard techniczny dotyczący rejestru ustaleń umownych (ang. Implementing Technical Standard on register of information).

Co wynika z opublikowanych regulacji?

Dokumentem o najszerszym zakresie przedmiotowym jest standard dotyczący ram zarządzania ryzykiem ICT. W jego treści określono szczegółowe oczekiwania względem partykularnych procesów bezpieczeństwa ICT, z uwzględnieniem m.in. zarządzania zasobami (ang. asset management), zarządzania podatnościami i poprawkami (ang. vulnerability and patch management), zarządzania bezpieczeństwem sieci (ang. network security management) i innych. Pierwsze analizy prowadzą do wniosku, że są to niejednokrotnie bardziej kazuistyczne wymogi, aniżeli te, które wynikają z obowiązujących Wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r.

W standardzie poświęconym klasyfikacji poważnych incydentów oraz znaczących cyberzagrożeń określone zostały kryteria pozwalające na ocenę wpływu incydentów, w tym progi istotności do celów ustalania poważnych incydentów związanych z ICT, a także kryteria oceny znaczących cyberzagrożeń, w tym progi istotności do celów ustalania znaczących cyberzagrożeń.

Kolejny standard określa minimalne wymagania względem polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Doprecyzowane zostały cele i podstawowe założenia oceny ryzyka, obowiązki w ramach due diligence oraz wymogi względem postanowień umownych, które skoncentrowano na uprawnieniach audytowo-kontrolnych.

Last but not least – ostatni z dokumentów uznać można za jeden z bardziej wyczekiwanych. Standard ten wprowadza szablon rejestru ustaleń umownych (rejestru umów na usługi ICT). Ilość i charakter wymaganych informacji, będących składowymi tego rejestru, znacząco przekracza dotychczasowe wymagania Ustawy o działalności ubezpieczeniowej i reasekuracyjnej (dalej jako: UDUiR), mówiące o składowych rejestru (ewidencji) umów outsourcingu (art. 77 UDUiR).

Co dalej?

Ostateczne projekty standardów zostały przekazane Komisji Europejskiej, która rozpoczęła proces prowadzący do ich przyjęcia w najbliższych miesiącach. Po ich zatwierdzeniu przez Komisję, standardy staną się integralna częścią DORA. Jednocześnie, ostateczny kształt projektów pozwala podmiotom finansowym postawić kolejny krok w działaniach zakładających implementację zmian determinowanych przez DORA. Prace nad interpretacją tych regulacji prowadzi również Zespół ds. DORA, działających w ramach Polskiej Izby Ubezpieczeń – o rezultatach będziemy informować już niedługo.

Damian Jagusz

Corporate IT Security Officer (CITSO), Chief Digital Operational Resilience Officer oraz Head of IT Security and Compliance Team w Sopockim Towarzystwie Ubezpieczeń ERGO Hestia SA oraz Sopockim Towarzystwie Ubezpieczeń na Życie ERGO Hestia SA. Przewodniczący Zespołu ds. DORA w Polskiej Izbie Ubezpieczeń.

Cookie	Duration	Description
ARRAffinity		This cookie is set by websites that run on Windows Azure cloud platform. The cookie is used to affinitize a client to an instance of an Azure Web App.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Duration	Description
_gat_gtag_UA_90817145_1	1 minute	No description
ARRAffinitySameSite	session	No description

DORA – co zawierają standardy techniczne?

Co wynika z opublikowanych regulacji?

Co dalej?

Insurance Europe: wspólna praca nad tym, aby głos europejskich ubezpieczycieli liczył się w kształtowaniu polityki UE

Jak zmieni się rynek ubezpieczeń UFK w najbliższych miesiącach?

Resolution w ubezpieczeniach – lepsza ochrona klientów i poszkodowanych – perspektywa BFG