Projekt rozporządzenia w sprawie operacyjnej odporności na zagrożenia

DORA stanowi część szerszego Pakietu finansów cyfrowych (Digital Finance Package) przyjętego przez Komisję Europejską, który obejmuje strategię w zakresie finansów cyfrowych i płatności detalicznych, jak również zawiera wnioski ustawodawcze w zakresie kryptoaktywów. Pakiet wyznacza nowe podejście zmierzające w kierunku promowania odpowiedzialnych innowacji, co z kolei ma się przełożyć na realne korzyści dla konsumentów oraz przedsiębiorców.

Czym jest operacyjna odporność cyfrowa?

Zgodnie z definicją zawartą w projekcie rozporządzenia, operacyjna odporność cyfrowa (digital operational resilience) oznacza zdolność firm do budowania, zabezpieczenia oraz weryfikacji ich integralności operacyjnej z technologicznego punktu widzenia, tak aby były odporne na wszelkiego rodzaju zagrożenia oraz zakłócenia w odniesieniu do technologii informacyjno-komunikacyjnych.

Główny cel DORA?

Postępująca digitalizacja finansów oraz nowe technologie informacyjno-komunikacyjne („ICT” - Information and Communication Technologies) niosą ze sobą ogromne szanse. Ostatnie miesiące i pandemia COVID-19 pokazały jak mocno sektor finansowy bazuje i polega na ICT. Drugą stroną medalu są jednak ryzyka i obawy, które wiążą się z digitalizacją finansów. Możliwe zakłócenia w ICT i cyberataki to realne zagrożenia przed którymi firmy muszą być w stanie skutecznie się chronić. Głównym celem DORA jest zatem minimalizowanie ryzyka poprzez stworzenie z jednej strony efektywnych mechanizmów ochronnych przed zagrożeniami, z drugiej zaś, wzmocnienie nadzoru nad dostawcami usług w zakresie ICT.

Celem DORA jest również ujednolicenie i stworzenie przejrzystych ram dla unijnych urzędów regulacyjnych oraz nadzorujących, tak aby mogły one nie tylko kontrolować „odporność finansową” firm ale również ich odporność operacyjną na możliwe poważne zakłócenia i cyberataki.

Cele DORA można ująć w czterech punktach:

• usprawnienie zarządzania ryzykiem wynikającym z ICT przez firmy z sektora finansowego,
• podniesienie świadomości organów nadzorujących rynki finansowe w zakresie możliwych zagrożeń oraz zakłóceń ICT,
• wprowadzenie obowiązku testowania systemów ICT przez firmy z sektora finansowego,
• identyfikacja ryzyka pochodzącego od firm z sektora finansowego w związku z ich zależnością od zewnętrznych dostawców usług ICT.

Celem DORA jest również stworzenie spójnego i jednolitego mechanizmu raportowania zakłóceń, co znacznie odciąży firmy w stosunku do ilości dotychczasowych obowiązków administracyjnych z tym związanych oraz wzmocni skuteczność nadzoru.

Zakres podmiotowy DORA

Rozporządzenie będzie miało zastosowanie do takich podmiotów jak: fundusze inwestycyjne, instytucje płatnicze oraz kredytowe, zarządzający ASI, firmy ubezpieczeniowe, firmy audytowe, dostawcy usług ICT, dostawcy usług w zakresie kryptoaktywów, depozytariusze papierów wartościowych.

Kluczowe propozycje DORA

DORA identyfikuje pięć kluczowych aspektów polityki operacyjnej odporności cyfrowej, które są adresowane do firm z sektora finansowego:

1. Zarządzanie ryzykiem w zakresie ICT

 Na mocy rozporządzenia firmy z sektora finansowego będą zobowiązane do ustanowienia wewnętrznych zarządczych oraz kontrolnych wytycznych, które zapewnią skuteczne zarządzanie ryzykiem w zakresie ICT. Zarządy firm będą odpowiedzialne za definiowanie, zatwierdzanie oraz wdrożenie planów związanych z zarządzaniem ryzykiem. Będą również odpowiedzialne za nadzorowanie ich realizacji.

Firmy z sektora finansowego będą w szczególności zobowiązane do:

• tworzenia oraz utrzymywania odpornych systemów ICT oraz narzędzi zdolnych do identyfikacji oraz minimalizacji ryzyka,
• tworzenia planów działania, planów naprawczych oraz polityki zabezpieczania danych przed utratą (back-up policies) na wypadek zakłóceń w zakresie ICT,
• posiadania wyszkolonych pracowników w zakresie ochrony i zabezpieczenia ICT,
• tworzenia protokołów działania po wystąpieniu poważnych zakłóceń ICT, które miały miejsce wewnątrz organizacji oraz ciągłej specjalizacji w obszarze ochrony ICT.

Klasyfikacja oraz raportowanie incydentów

DORA zmierza do harmonizacji procesów związanych z raportowaniem incydentów. Wiąże się to z projektowanym obowiązkiem firm do:

• tworzenia procedur identyfikacji, śledzenia oraz klasyfikowania incydentów związanych z ICT, oraz
• raportowania poważnych incydentów do właściwego krajowego organu korzystając z ujednoliconego szablonu raportowania, który to organ następnie przekaże te informacje do właściwej jednostki na szczeblu unijnym, którą ma być tzw. EU Hub.

Testowanie operacyjnej odporności cyfrowej

Na mocy rozporządzenia firmy z sektora finansowego będą zobowiązane do okresowego testowania swoich wytycznych i polityk w zakresie zarządzania ryzykiem odnośnie ICT. Testowanie będzie mechanizmem zabezpieczającym oraz potwierdzającym czy firmy są przygotowane na możliwe zakłócenia ich infrastruktury ICT. Będzie miało również na celu identyfikację słabych punków oraz luk w zabezpieczeniach. Proces testowania nie będzie jednakowy dla wszystkich firm. Będzie uzależniony od wielkości spółki, jej profilu biznesowego oraz profilu możliwych ryzyk.

4. Zarządzanie ryzykiem związanym z dostarczaniem usług ICT przez zewnętrznych dostawców

Zgodnie z postanowieniami rozporządzenia, firmy z sektora finansowego będą zobligowane do monitorowania ryzyka związanego z wykorzystywaniem przez nie technologii informacyjno-komunikacyjnych dostarczonych przez podmioty zewnętrzne. W tym celu będą zobowiązane do:

• oceny potencjalnego ryzyka związanego z outsourcingiem usług z zakresu ICT, oraz
• stosowania określonych schematów w relacjach z zewnętrznymi dostawcami usług ICT, obejmujących m.in. zawieranie w umowach określonych postanowień oraz informacji.

Rozważany jest również scenariusz stworzenia na poziomie UE wytycznych dotyczących nadzoru nad podmiotami zewnętrznymi dostarczającymi usługi ICT, które są kluczowe dla firm z sektora finansowego. Każdy z kluczowych dostawców usług ICT (critical ICT third-party service provider) miałby przydzielonego nadzorcę w postaci EBA, ESMA lub EIOPA, jeśli wartość aktywów firmy z sektora finansowego związanych z korzystaniem z usług ICT od danego zewnętrznego dostawcy reprezentowałaby ponad połowę wartości wszystkich aktywów danej firmy z sektora finansowego, wykazanych w sprawozdaniu finansowym.

5. Przekazywanie informacji

Celem rozporządzenia jest również stworzenia środowiska do dzielenia się przez firmy informacjami dotyczącymi cyberataków, wypracowanych technik ochronnych, alertów czy stosowanych narzędzi, co w zamiarze ma wspomóc firmy w radzeniu sobie z zagrożeniami oraz zakłóceniami w zakresie ICT.

Podsumowanie

 Projekt Rozporządzenia w sprawie operacyjnej odporności na zagrożenia cyfrowe to potrzebna odpowiedź Komisji Europejskiej na rosnącą rolę przedsiębiorstw technologicznych w dziedzinie finansów, działających zarówno jako dostawcy IT dla firm finansowych na zasadzie outsourcingu, jak i samodzielni dostawcy usług finansowych. Proponowane przepisy mają na celu zapewnienie, by wszyscy uczestnicy systemu finansowego dysponowali niezbędnymi zabezpieczeniami w celu zminimalizowania cyberataków i innych zagrożeń.