Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będące częścią regulacji związanych z cyfrowymi finansami, ustanawia wytyczne dla instytucji finansowych w zakresie zarządzania incydentami informatycznymi.

 

Treść

• Co to jest DORA?
• Jakie są główne cele DORA?
• Które podmioty są objęte regulacjami DORA?
• Jakie definicje są używane w DORA?
• Kluczowe obszary objęte regulacją DORA
• Jakie są spodziewane wyzwania związane z DORA?
• Jakie działania powinny być podjęte przez podmioty finansowe?

 

Co to jest DORA?

DORA, czyli rozporządzenie Parlamentu Europejskiego i Rady w sprawie cyfrowej odporności operacyjnej sektora finansowego, jest częścią pakietu regulacji Digital Finance.

 

W skład pakietu wchodzą również:

• rozporządzenie w sprawie rynków kryptowalut (MiCA),
• rozporządzenie w sprawie pilotażowego systemu dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT).

DORA weszła w życie 16 stycznia 2023 roku, a przepisy rozporządzenia będą stosowane od 17 stycznia 2025 roku.

Obecnie ogólne ramy cyberbezpieczeństwa na poziomie UE określa dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (NIS - Network and Information Systems Directive). Jej nowelizacja, tzw. dyrektywa NIS 2, ma wejść w życie już wkrótce.

Oczekuje się, że DORA stanie się głównym punktem odniesienia w zakresie cyberbezpieczeństwa w sektorze finansowym.

 

Jakie są główne cele DORA?

Ogólnym celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów sektora finansowego UE poprzez uproszczenie i poprawę istniejących regulacji, a także wprowadzenie nowych wymogów w obszarach, w których widoczne są luki. 

Rozporządzenie ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka ICT (Information and Communications Technology) zawartych oddzielnie w poszczególnych rozporządzeniach i dyrektywach.

 

Które podmioty są objęte regulacjami DORA?

Przepisy DORA mają zastosowanie w działalności następujących podmiotów:

• instytucje kredytowe,
• instytucje płatnicze,
• instytucje pieniądza elektronicznego,
• firmy inwestycyjne,
• dostawcy usług w zakresie aktywów kryptograficznych, emitenci aktywów kryptograficznych, emitenci tokenów powiązanych z aktywami oraz emitenci tokenów powiązanych z istotnymi aktywami,
• centralne depozyty papierów wartościowych,
• partnerzy centralni,
• systemy obrotu,
• repozytoria transakcji,
• zarządzający alternatywnymi funduszami inwestycyjnymi,
• spółki zarządzające,
• dostawcy usług w zakresie raportowania danych,
• zakłady ubezpieczeń i zakłady reasekuracji,
• pośrednicy ubezpieczeniowi i reasekuracyjni,
• instytucje zajmujące się pracowniczymi programami emerytalnymi,
• agencje ratingowe,
• biegli rewidenci i firmy audytorskie,
• administratorzy krytycznych wskaźników referencyjnych,
• dostawcy usług crowdfundingowych,
• repozytoria sekurytyzacyjne,
• dostawcy usług dla stron trzecich w zakresie technologii informacyjno-komunikacyjnych.

 

Jakie definicje są używane w DORA?

• Cyfrowa odporność operacyjna oznacza zdolność podmiotu finansowego do budowania, zapewniania i kontrolowania swojej integralności operacyjnej z technologicznego punktu widzenia poprzez zapewnienie – bezpośrednio lub pośrednio, poprzez korzystanie z usług zewnętrznych dostawców TIK – pełnego zakresu zdolności związanych z TIK niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.
• Incydent związany z ICT oznacza nieprzewidziane zidentyfikowane zdarzenie w sieci i systemach informatycznych, niezależnie od tego, czy jest ono wynikiem złośliwego działania, czy nie, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przekazywanych przez te systemy, lub ma niekorzystny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy.
• Ryzyko związane z technologiami informacyjno-komunikacyjnymi oznacza każdą racjonalnie możliwą do określenia okoliczność związaną z korzystaniem z systemów sieciowych i informatycznych, w tym nieprawidłowe działanie, przekroczenie zdolności, awarię, zakłócenie, uszkodzenie, niewłaściwe użycie, utratę lub inny rodzaj złośliwego lub niezłośliwego zdarzenia, które w przypadku urzeczywistnienia może zagrozić bezpieczeństwu sieci i systemów informatycznych, wszelkich narzędzi lub procesów zależnych od technologii, operacji i przebiegu procesów lub świadczenia usług (...).
• Dostawca usług zewnętrznych ICT oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług przetwarzania w chmurze, oprogramowania, usług analizy danych, centrów danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw upoważnionych na mocy prawa Unii, które świadczą usługi komunikacji elektronicznej.

 

Kluczowe obszary objęte regulacją DORA

DORA składa się z 5 kluczowych obszarów:

 

• Zarządzanie ryzykiem ICT – kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem ICT (strategie, polityki, protokoły i narzędzia niezbędne do właściwej i skutecznej ochrony infrastruktury), które podlegają przeglądowi co najmniej raz w roku.
  • Identyfikacja, klasyfikacja i dokumentacja funkcji biznesowych związanych z ICT,
  • Opracowanie polityki bezpieczeństwa informacji,
  • Posiadanie mechanizmów pozwalających na szybkie wykrywanie nieprawidłowych działań,
  • Wdrożenie kompleksowej polityki ciągłości działania w zakresie ICT,
  • Polityka tworzenia kopii zapasowych,
  • Wnioski z testów i incydentów,
  • Obowiązkowe szkolenia dla personelu (pracowników i kadry kierowniczej),
  • Plany komunikacyjne umożliwiające odpowiedzialne ujawnienie incydentów związanych z ICT lub poważnych podatności klientom i kontrahentom.
• Incydenty związane z ICT – zarządzanie, klasyfikacja i raportowanie – procesy zapewniające monitorowanie incydentów związanych z ICT i działania naprawcze.
  • Klasyfikacja incydentów i określenie ich wpływu w oparciu o określone kryteria (w tym czas trwania incydentu, liczba użytkowników, których dotyczy incydent, krytyczność usług, których dotyczy incydent),
  • zgłaszanie poważnych incydentów do odpowiedniego właściwego organu (wstępne zgłoszenie, sprawozdanie pośrednie i końcowe).
• Testowanie cyfrowej odporności operacyjnej – sprawdzanie wszystkich kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania obejmuje:
  • Analizę open source,
  • Oceny bezpieczeństwa sieci,
  • Testowanie scenariuszy,
  • Testowanie wydajności,
  • Testy penetracyjne (podmioty inne niż mikroprzedsiębiorstwa powinny co najmniej raz na trzy lata przeprowadzić zaawansowane testy z wykorzystaniem testów penetracyjnych do wyszukiwania zagrożeń - dokumentacja testów ma być zatwierdzona przez odpowiednie organy).
• Zarządzanie ryzykiem stron trzecich w branży ICT – wszystkie procesy związane ze współpracą z zewnętrznymi dostawcami.
  • Ocena dostawcy,
  • Wdrożenie strategii wyjścia (możliwość wycofania się z ustaleń umownych z dostawcą usług ICT) oraz opracowanie planu przejścia, który nie spowoduje zakłócenia pracy systemów oraz naruszenia ciągłości i jakości świadczonych usług,
  • Umowy z dostawcami usług ICT (w formie pisemnej) zawierające umowy o poziomie usług,
  • Określenie kluczowych zewnętrznych dostawców usług teleinformatycznych, 
  • Okresowe kary pieniężne dla kluczowych zewnętrznych dostawców usług teleinformatycznych.
• Ustalenia dotyczące wymiany informacji – możliwość dzielenia się przez podmioty finansowe informacjami o zagrożeniach cybernetycznych oraz wynikami analizy takiego zagrożenia, w tym:
  • Oznaki naruszenia integralności systemu,
  • Taktyki,
  • Techniki i procedury,
  • Ostrzeżenia dotyczące cyberbezpieczeństwa,
  • Narzędzia konfiguracyjne.

 

W ramach każdego z kluczowych obszarów, DORA wymaga od podmiotów finansowych spełnienia szeregu wymogów w odniesieniu do różnych aspektów w ramach ICT i bezpieczeństwa cyfrowego. W ten sposób wytycza kompleksowe* ramy dla cyfrowej odporności podmiotów finansowych.

* Europejskie organy nadzoru mają przygotować i opublikować regulacyjne standardy techniczne dotyczące wytycznych zawartych w rozporządzeniu w celu skonkretyzowania wymogów.

 

Jakie są spodziewane wyzwania związane z DORA?

• Wyeliminowanie nakładających się na siebie regulacji oraz niespójności i luk prawnych,
• Zwiększenie wymiany informacji i współpracy w zakresie analizy zagrożeń cybernetycznych w celu umożliwienia poszczególnym podmiotom finansowym właściwej oceny, monitorowania, obrony przed zagrożeniami cybernetycznymi i reagowania na nie,
• Standaryzacja wymogów dotyczących zgłaszania incydentów w zakresie technologii informacyjno-komunikacyjnych, tak aby organy nadzoru miały pełny obraz charakteru, częstotliwości, znaczenia i wpływu incydentów,
• Zmniejszenie kosztów przestrzegania przepisów dla podmiotów finansowych, w szczególności dla podmiotów finansowych prowadzących działalność transgraniczną.

 

Jakie działania powinny być podjęte przez podmioty finansowe?

• Dostosowanie procesów i praktyk do wytycznych rozporządzenia, w tym polityk dotyczących bezpieczeństwa informacji, ciągłości działania, reagowania na incydenty i odzyskiwania danych po awarii,
• Przygotowanie się do przeprowadzania okresowych ocen i sprawozdań,
• Zidentyfikowanie i dokonanie przeglądu wszystkich dostawców usług ICT, powiązanych umów i dokumentacji.