4.02 Operacyjna odporność cyfrowa (DORA)
W tej lekcji dowiesz się więcej na temat Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będącego częścią regulacji związanych z cyfrowymi finansami, ustanawiającego wytyczne dla instytucji finansowych i określa zasady zarządzania incydentami informatycznymi.
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), będące częścią regulacji związanych z cyfrowymi finansami, ustanawia wytyczne dla instytucji finansowych w zakresie zarządzania incydentami informatycznymi.
Treść
- Co to jest DORA?
- Jakie są główne cele DORA?
- Które podmioty są objęte regulacjami DORA?
- Jakie definicje są używane w DORA?
- Kluczowe obszary objęte regulacją DORA
- Jakie są spodziewane wyzwania związane z DORA?
- Jakie działania powinny być podjęte przez podmioty finansowe?
Co to jest DORA?
DORA, czyli rozporządzenie Parlamentu Europejskiego i Rady w sprawie cyfrowej odporności operacyjnej sektora finansowego, jest częścią pakietu regulacji Digital Finance.
W skład pakietu wchodzą również:
- rozporządzenie w sprawie rynków kryptowalut (MiCA),
- rozporządzenie w sprawie pilotażowego systemu dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT).
DORA weszła w życie 16 stycznia 2023 roku, a przepisy rozporządzenia będą stosowane od 17 stycznia 2025 roku.
Obecnie ogólne ramy cyberbezpieczeństwa na poziomie UE określa dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 (NIS - Network and Information Systems Directive). Jej nowelizacja, tzw. dyrektywa NIS 2, ma wejść w życie już wkrótce.
Oczekuje się, że DORA stanie się głównym punktem odniesienia w zakresie cyberbezpieczeństwa w sektorze finansowym.
Jakie są główne cele DORA?
Ogólnym celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów sektora finansowego UE poprzez uproszczenie i poprawę istniejących regulacji, a także wprowadzenie nowych wymogów w obszarach, w których widoczne są luki.
Rozporządzenie ma na celu konsolidację i aktualizację wymogów dotyczących ryzyka ICT (Information and Communications Technology) zawartych oddzielnie w poszczególnych rozporządzeniach i dyrektywach.
Które podmioty są objęte regulacjami DORA?
Przepisy DORA mają zastosowanie w działalności następujących podmiotów:
- instytucje kredytowe,
- instytucje płatnicze,
- instytucje pieniądza elektronicznego,
- firmy inwestycyjne,
- dostawcy usług w zakresie aktywów kryptograficznych, emitenci aktywów kryptograficznych, emitenci tokenów powiązanych z aktywami oraz emitenci tokenów powiązanych z istotnymi aktywami,
- centralne depozyty papierów wartościowych,
- partnerzy centralni,
- systemy obrotu,
- repozytoria transakcji,
- zarządzający alternatywnymi funduszami inwestycyjnymi,
- spółki zarządzające,
- dostawcy usług w zakresie raportowania danych,
- zakłady ubezpieczeń i zakłady reasekuracji,
- pośrednicy ubezpieczeniowi i reasekuracyjni,
- instytucje zajmujące się pracowniczymi programami emerytalnymi,
- agencje ratingowe,
- biegli rewidenci i firmy audytorskie,
- administratorzy krytycznych wskaźników referencyjnych,
- dostawcy usług crowdfundingowych,
- repozytoria sekurytyzacyjne,
- dostawcy usług dla stron trzecich w zakresie technologii informacyjno-komunikacyjnych.
Jakie definicje są używane w DORA?
- Cyfrowa odporność operacyjna oznacza zdolność podmiotu finansowego do budowania, zapewniania i kontrolowania swojej integralności operacyjnej z technologicznego punktu widzenia poprzez zapewnienie – bezpośrednio lub pośrednio, poprzez korzystanie z usług zewnętrznych dostawców TIK – pełnego zakresu zdolności związanych z TIK niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość.
- Incydent związany z ICT oznacza nieprzewidziane zidentyfikowane zdarzenie w sieci i systemach informatycznych, niezależnie od tego, czy jest ono wynikiem złośliwego działania, czy nie, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przekazywanych przez te systemy, lub ma niekorzystny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy.
- Ryzyko związane z technologiami informacyjno-komunikacyjnymi oznacza każdą racjonalnie możliwą do określenia okoliczność związaną z korzystaniem z systemów sieciowych i informatycznych, w tym nieprawidłowe działanie, przekroczenie zdolności, awarię, zakłócenie, uszkodzenie, niewłaściwe użycie, utratę lub inny rodzaj złośliwego lub niezłośliwego zdarzenia, które w przypadku urzeczywistnienia może zagrozić bezpieczeństwu sieci i systemów informatycznych, wszelkich narzędzi lub procesów zależnych od technologii, operacji i przebiegu procesów lub świadczenia usług (...).
- Dostawca usług zewnętrznych ICT oznacza przedsiębiorstwo świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług przetwarzania w chmurze, oprogramowania, usług analizy danych, centrów danych, ale z wyłączeniem dostawców komponentów sprzętowych i przedsiębiorstw upoważnionych na mocy prawa Unii, które świadczą usługi komunikacji elektronicznej.
Kluczowe obszary objęte regulacją DORA
DORA składa się z 5 kluczowych obszarów:
- Zarządzanie ryzykiem ICT – kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem ICT (strategie, polityki, protokoły i narzędzia niezbędne do właściwej i skutecznej ochrony infrastruktury), które podlegają przeglądowi co najmniej raz w roku.
- Identyfikacja, klasyfikacja i dokumentacja funkcji biznesowych związanych z ICT,
- Opracowanie polityki bezpieczeństwa informacji,
- Posiadanie mechanizmów pozwalających na szybkie wykrywanie nieprawidłowych działań,
- Wdrożenie kompleksowej polityki ciągłości działania w zakresie ICT,
- Polityka tworzenia kopii zapasowych,
- Wnioski z testów i incydentów,
- Obowiązkowe szkolenia dla personelu (pracowników i kadry kierowniczej),
- Plany komunikacyjne umożliwiające odpowiedzialne ujawnienie incydentów związanych z ICT lub poważnych podatności klientom i kontrahentom.
- Incydenty związane z ICT – zarządzanie, klasyfikacja i raportowanie – procesy zapewniające monitorowanie incydentów związanych z ICT i działania naprawcze.
- Klasyfikacja incydentów i określenie ich wpływu w oparciu o określone kryteria (w tym czas trwania incydentu, liczba użytkowników, których dotyczy incydent, krytyczność usług, których dotyczy incydent),
- zgłaszanie poważnych incydentów do odpowiedniego właściwego organu (wstępne zgłoszenie, sprawozdanie pośrednie i końcowe).
- Testowanie cyfrowej odporności operacyjnej – sprawdzanie wszystkich kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania obejmuje:
- Analizę open source,
- Oceny bezpieczeństwa sieci,
- Testowanie scenariuszy,
- Testowanie wydajności,
- Testy penetracyjne (podmioty inne niż mikroprzedsiębiorstwa powinny co najmniej raz na trzy lata przeprowadzić zaawansowane testy z wykorzystaniem testów penetracyjnych do wyszukiwania zagrożeń - dokumentacja testów ma być zatwierdzona przez odpowiednie organy).
- Zarządzanie ryzykiem stron trzecich w branży ICT – wszystkie procesy związane ze współpracą z zewnętrznymi dostawcami.
- Ocena dostawcy,
- Wdrożenie strategii wyjścia (możliwość wycofania się z ustaleń umownych z dostawcą usług ICT) oraz opracowanie planu przejścia, który nie spowoduje zakłócenia pracy systemów oraz naruszenia ciągłości i jakości świadczonych usług,
- Umowy z dostawcami usług ICT (w formie pisemnej) zawierające umowy o poziomie usług,
- Określenie kluczowych zewnętrznych dostawców usług teleinformatycznych,
- Okresowe kary pieniężne dla kluczowych zewnętrznych dostawców usług teleinformatycznych.
- Ustalenia dotyczące wymiany informacji – możliwość dzielenia się przez podmioty finansowe informacjami o zagrożeniach cybernetycznych oraz wynikami analizy takiego zagrożenia, w tym:
- Oznaki naruszenia integralności systemu,
- Taktyki,
- Techniki i procedury,
- Ostrzeżenia dotyczące cyberbezpieczeństwa,
- Narzędzia konfiguracyjne.
W ramach każdego z kluczowych obszarów, DORA wymaga od podmiotów finansowych spełnienia szeregu wymogów w odniesieniu do różnych aspektów w ramach ICT i bezpieczeństwa cyfrowego. W ten sposób wytycza kompleksowe* ramy dla cyfrowej odporności podmiotów finansowych.
* Europejskie organy nadzoru mają przygotować i opublikować regulacyjne standardy techniczne dotyczące wytycznych zawartych w rozporządzeniu w celu skonkretyzowania wymogów.
Jakie są spodziewane wyzwania związane z DORA?
- Wyeliminowanie nakładających się na siebie regulacji oraz niespójności i luk prawnych,
- Zwiększenie wymiany informacji i współpracy w zakresie analizy zagrożeń cybernetycznych w celu umożliwienia poszczególnym podmiotom finansowym właściwej oceny, monitorowania, obrony przed zagrożeniami cybernetycznymi i reagowania na nie,
- Standaryzacja wymogów dotyczących zgłaszania incydentów w zakresie technologii informacyjno-komunikacyjnych, tak aby organy nadzoru miały pełny obraz charakteru, częstotliwości, znaczenia i wpływu incydentów,
- Zmniejszenie kosztów przestrzegania przepisów dla podmiotów finansowych, w szczególności dla podmiotów finansowych prowadzących działalność transgraniczną.
Jakie działania powinny być podjęte przez podmioty finansowe?
- Dostosowanie procesów i praktyk do wytycznych rozporządzenia, w tym polityk dotyczących bezpieczeństwa informacji, ciągłości działania, reagowania na incydenty i odzyskiwania danych po awarii,
- Przygotowanie się do przeprowadzania okresowych ocen i sprawozdań,
- Zidentyfikowanie i dokonanie przeglądu wszystkich dostawców usług ICT, powiązanych umów i dokumentacji.
ZASTRZEŻENIE
Niniejszy materiał nie stanowi porady inwestycyjnej, nie jest też ofertą ani zachętą do zakupu jakichkolwiek aktywów kryptowalutowych.
Niniejszy materiał służy wyłącznie ogólnym celom informacyjnym i edukacyjnym,i w tym zakresie BB Trade Estonia OU nie udziela żadnych gwarancji. Niniejszy artykuł powinien być służyć wyłącznie celom informacyjnym, jeżeli chodzi o jego wiarygodność, dokładność, kompletność lub poprawność materiałów lub opinii w nim zawartych.
Pewne stwierdzenia zawarte w niniejszym materiale edukacyjnym mogą odnosić się do przyszłych oczekiwań, które są oparte na naszych obecnych poglądach i założeniach oraz wiążą się z niepewnością, która może spowodować, że rzeczywiste wyniki, rezultaty lub zdarzenia będą się różnić od tych stwierdzeń.
BB Trade Estonia OU i jej przedstawiciele oraz osoby współpracujące bezpośrednio lub pośrednio z BB Trade Estonia OU nie ponoszą żadnej odpowiedzialności wynikającej z niniejszego artykułu.
Należy pamiętać, że inwestowanie w aktywa kryptowalutowe niesie ze sobą ryzyko oprócz możliwości opisanych powyżej.