Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA)

W lutym 2020 r. Europejska Rada ds. Ryzyka Systemowego w raporcie nt. cyberataków systemowych wskazała, że incydent cybernetyczny może doprowadzić do systemowego kryzysu cybernetycznego zagrażającego stabilności sektora finansowego. Jak wskazuje Komisja Europejska, w czasie pandemii cyberataki na instytucje finansowe wzrosły o 38%, natomiast wg. raportu Cybersecurity Ventures, światowe koszty cyberprzestępczości w najbliższych latach będą rosły o 15% rocznie, osiągając poziom 10,5 bln USD rocznie do 2025 r. Dla porównania, w 2015 r. koszty cyberprzestępczości szacowano na 3 biliony USD. Nie dziwi zatem fakt, iż cyberbezpieczeństwo staje się w coraz większym stopniu przedmiotem zainteresowania decydentów oraz organów nadzoru.

Dostrzegając potrzebę dostosowania unijnego sektora finansowego do trwającej transformacji cyfrowej w dniu 24 września 2020 r. Komisja Europejska opublikowała projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 (tzw. Digital Operational Resilience Act, „DORA”) (dalej również: „Projekt”), który ma stanowić spójny zbiór przepisów dotyczących ryzyka cyfrowego w sektorze finansów. Projekt stanowi jeden z elementów pakietu dotyczącego finansów cyfrowych, nakierowanego na zwiększenie konkurencyjności i innowacyjności Unii Europejskiej w sektorze finansowym poprzez wspieranie rozwoju finansów cyfrowych, wypełnienie luk w przepisach unijnych, tak aby regulacje prawne nie utrudniały korzystania z nowych technologii, ograniczenie cyberzagrożeń z nimi związanych, a także zapewnienie odpowiedniej ochrony inwestorom i konsumentom. Oprócz projektu DORA, pakiet obejmuje również strategię w zakresie finansów cyfrowych dla unijnego sektora finansowego, a także dwa inne projekty rozporządzeń: projekt rozporządzenia w sprawie rynków kryptoaktywów i zmieniający dyrektywę (UE) 2019/1937 (MiCA) oraz projekt rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT).

Cele DORA

Operacyjna odporność cyfrowa (ang. digital operational resilience) została zdefiniowana przez unijnego prawodawcę, jako zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia, przez zapewnianie pełnego zakresu możliwości w obszarze technologii informacyjno-komunikacyjnych („ICT”) niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość. Podmioty charakteryzujące się operacyjną odpornością cyfrową posiadają zdolność do przeciwstawiania się zakłóceniom w odniesieniu do technologii ICT w zakresie świadczonych przez nich usług.

Ryzyka związane z ICT stanowią obecnie istotne wyzwanie dla odporności operacyjnej, wydajności i stabilności unijnego systemu finansowego. Dotychczasowe unijne regulacje unijne w zakresie bezpieczeństwa ICT i operacyjnej odporności cyfrowej były jedynie fragmentaryczne, co doprowadzało do podjęcia licznych inicjatyw regulacyjnych na poziomie państw członkowskich. Nadzór finansowy poszczególnych państw różnie podchodził do ryzyka związanego z ICT, co w konsekwencji doprowadziło do powstania niespójności, luk i powielania wymogów. Kwestie te przekładają się na wysokie koszty administracyjne i przestrzegania przepisów oraz wysokie ryzyko związane z ICT.

Celem projektowanego rozporządzenia DORA jest wprowadzenie szczegółowych i kompleksowych ram prawnych w zakresie operacyjnej odporności cyfrowej dla unijnych podmiotów finansowych - konsolidacja i aktualizacja istniejących rozwiązań w obszarze zarządzania ryzykiem związanym z ICT w jednym akcie ustawodawczym oraz wprowadzenie nowych regulacji w obszarach, w których zidentyfikowane zostały luki regulacyjne. Ponadto, DORA ma zapewnić organom nadzoru niezbędne narzędzia pozwalające wykonywać ich obowiązki w zakresie zapobiegania niestabilności finansowej spowodowanej wystąpieniem ryzyka związanego z ICT. Celem tych zmian jest osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej w odniesieniu do wszystkich podmiotów finansowych.

Zakres podmiotowy DORA

W celu zagwarantowania jednolitego i spójnego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy, zakres podmiotowy DORA ma obejmować szereg podmiotów finansowych. Katalog podmiotów, do których niniejsze rozporządzenie ma mieć zastosowanie obejmuje: a) instytucje kredytowe; b) instytucje płatnicze; c) instytucje pieniądza elektronicznego; d) firmy inwestycyjne; e) dostawców usług w zakresie kryptoaktywów, f) emitentów kryptoaktywów, g) emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami; h) centralne depozyty papierów wartościowych; i) kontrahentów centralnych; j) systemy obrotu; k) repozytoria transakcji; l) zarządzających alternatywnymi funduszami inwestycyjnymi; m) spółki zarządzające; n) dostawców usług w zakresie udostępniania informacji; o) zakłady ubezpieczeń i zakłady reasekuracji; p) pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające; r) instytucje pracowniczych programów emerytalnych; s) agencje ratingowe; t) biegłych rewidentów i firmy audytorskie; u) administratorów kluczowych wskaźników referencyjnych; w) dostawców usług finansowania społecznościowego; y) repozytoria sekurytyzacji; z) zewnętrznych dostawców usług ICT.

Jednocześnie warto zwrócić uwagę, że pomimo szerokiego zakresu podmiotowego, projekt rozporządzenia DORA różnicuje podmioty rynku finansowego pod względem ich rozmiaru, profilu działalności, a także podatności na cyberzagrożenia, dlatego też podmioty wymienione powyżej, zgodnie z zasadą proporcjonalności, mają być w różnym stopniu zobowiązane do wypełniania obowiązków wynikających z DORA. Z części obowiązków mają być zwolnione, jak chociażby konieczności przeprowadzania dogłębnych ocen po istotnych zmianach w infrastrukturach sieci i systemów informatycznych, zgłaszania wszystkich kosztów i strat spowodowanych zakłóceniami w funkcjonowaniu ICT i incydentami związanymi z ICT, informowania o wynikach przeglądów powypadkowych dokonanych w następstwie poważnych zakłóceń w funkcjonowaniu ICT, zwolnione będą mikroprzedsiębiorstwa. Ponadto część obowiązków ma dotyczyć jedynie wybranych podmiotów, np. do przeprowadzania testów penetracyjnych pod kątem wyszukiwania zagrożeń będą zobowiązane jedynie podmioty uznane za znaczące do celów zaawansowanego testowania odporności cyfrowej. 

Odpowiedzialność zarządu

Kluczową rolę w zarządzaniu ryzykiem związanym z ICT Projekt przypisuje organom zarządzającym w podmiotach rynku finansowego. Jest to zasadne stanowisko, biorąc pod uwagę, że to organy zarządzające mają co do zasady decydujący wpływ na zarządzanie pracownikami, procesami i środkami, które będą przeznaczone na ochronę przed cyberzagrożeniami. To na organie zarządzającym ma spoczywać obowiązek określenia, zatwierdzenia i nadzorowania wdrażania wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, a ostateczna odpowiedzialność zarządu za zarządzanie ryzykiem tego rodzaju ma stanowić nadrzędną zasadę, motywującą ten organ do     utrzymywania aktywnej roli w procesie zarządzania ryzykiem.

Do obowiązków zarządu w zarządzaniu ryzykiem związanym z ICT ma należeć m.in. przypisanie ról i obowiązków w odniesieniu do wszystkich funkcji z tym związanych, przydzielenie odpowiedniego budżetu na cele związane z operacyjną odpornością cyfrową oraz dokonywanie jego okresowych przeglądów, zatwierdzanie i nadzorowanie wdrażania polityki ciągłości działania w zakresie ICT oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, zatwierdzanie planów audytów, audytów ICT i dokonywanie ich przeglądu. W zakresie współpracy z zewnętrznymi dostawcami usług ICT zarząd podmiotu finansowego ma być zobowiązany m.in. do zatwierdzania polityki finansowej w zakresie ustaleń dotyczących outsourcingu usług ICT i dokonywania jej przeglądu, dbania o to, aby organ był należycie informowany o ustaleniach dotyczących korzystania z usług ICT za pośrednictwem zewnętrznych dostawców oraz o wszelkich planowanych istotnych zmianach dotyczących zewnętrznych dostawców i ich potencjalnym wpływie na kluczowe lub ważne funkcje.

Zarządzanie ryzykiem związanym z ICT

Na mocy DORA podmioty finansowe mają być zobowiązane do ustanowienia ram zarządzania ryzykiem, które powinny zapewnić szybkie, skuteczne i kompleksowe zarządzanie ryzykiem związanym z ICT oraz operacyjną odporność cyfrową na poziomie dostosowanym do ich potrzeb biznesowych i wielkości. Ramy te powinny obejmować strategie, polityki, procedury, protokoły i narzędzia oraz być dobrze dokumentowane i poddawane corocznemu przeglądowi oraz kontrolowane przez audytorów. Podmiot finansowy ma określić w nich metody przeciwdziałania ryzyku i osiągania szczególnych celów w dziedzinie ICT, w tym określać poziom tolerancji ryzyka związanego z ICT. W celu zapewnienia ciągłości działania i skutecznego reagowania w sytuacji wystąpienia zagrożeń i szybkiego wznowienia działalności po incydentach związanych z ICT, podmioty finansowe mają być zobowiązane również do wprowadzenia polityki ciągłości działania w zakresie ICT oraz opracowania zasad tworzenia kopii zapasowych i metody odzyskiwania danych.

Raportowanie incydentów

Istotnym aspektem Projektu jest zagadnienie zgłaszania incydentów związanych z ICT. Po pierwsze, podmioty z sektora finansowego mają być zobowiązane do ustanowienia procedury monitorowania, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT przy wykorzystaniu kryteriów wskazanych w rozporządzeniu, uwzględniając ich priorytet, wagę i istotność usług, na które wpływają. Poważne incydenty mają być również zgłaszane właściwym organom. Standardy zgłaszania mają zostać zharmonizowane na poziomie unijnym, tak aby zapewnić przejrzystość i porównywalność dokonywanych zgłoszeń. W tym celu Europejskie Urzędy Nadzoru mają opracować standardy techniczne określające szablony, formularze i procedury zgłaszania poważnych incydentów. Po drugie, podmioty finansowe mają być zobowiązane do sporządzania sprawozdań wstępnych, śródokresowych i końcowych oraz do informowania swoich klientów i użytkowników w przypadku wystąpienia incydentu mogącego zagrozić ich interesom finansowym.

Testowanie operacyjnej odporności cyfrowej

Transformacja cyfrowa to proces ulegający dynamicznym zmianom, dlatego przeciwdziałanie cyberzagrożeniom wymaga ciągłego zaangażowania ze strony podmiotów finansowych. Zgodnie z Projektem, wdrożone polityki zarządzania ryzykiem mają być poddawane okresowym testom w celu weryfikacji gotowości podmiotu do reagowania w obszarze cyberbezpieczeństwa oraz zidentyfikowania ewentualnych niedociągnięć w zakresie wykrywania, zapobiegania i podejmowania działań naprawczych w następstwie wystąpienia incydentów związanych z ICT. Projekt zakłada, że testy te powinny być przeprowadzane przez niezależne strony wewnętrzne lub zewnętrzne. Kluczowe systemy i aplikacje ICT powinny być testowane co najmniej raz w roku. Jednocześnie obowiązek ustanowienia i utrzymania programu testowania operacyjnej odporności cyfrowej oparty został o zasadę proporcjonalności, uwzględniającą wielkość, profil działalności i ryzyka podmiotu finansowego. Zgodnie z tą zasadą wszystkie podmioty finansowe będą zobowiązane do przeprowadzania testów narzędzi i systemów ICT, natomiast wyłącznie na podmiotach, które zostaną uznane za istotne i dojrzałe pod względem cyfrowym, będzie spoczywał obowiązek przeprowadzania co najmniej raz na trzy lata zaawansowanych testów narzędzi, systemów i procesów ICT z wykorzystaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń. Mając na uwadze obciążenia administracyjne i finansowe związane wynikające z konieczności przeprowadzenia tego rodzaju testów, należy pozytywnie ocenić ograniczenie tego obowiązku wyłącznie do podmiotów, które uznano za znaczące do realizacji celów zaawansowanego testowania odporności cyfrowej.

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT

Projekt rozporządzenia DORA zawiera również wytyczne dla podmiotów z sektora finansowego, którymi mają kierować się w relacjach z zewnętrznymi dostawcami usług ICT, w tym w zakresie obowiązków monitorowania ryzyka związanego z outsourcingiem usług ICT. Po pierwsze, podmiot finansowy ma być zobowiązany do przyjęcia strategii dotyczącej korzystania z usług zewnętrznych dostawców w zakresie ICT oraz do dokonywania jej okresowego przeglądu. Po drugie, w relacjach pomiędzy podmiotem finansowym a dostawcą usług ICT, począwszy od etapu zawierania współpracy (m.in. w zakresie obowiązkowych elementów umowy łączących strony), poprzez jej realizację, aż do momentu jej zakończenia, mają mieć zastosowanie określone schematy. W aspekcie usług świadczonych przez zewnętrznych dostawców organy nadzoru mają mieć możliwość bieżącego kontrolowania działalności zewnętrznych dostawców usług ICT określonych jako kluczowych na podstawie określonych w DORA kryteriów, w tym wglądu do pełnych i aktualnych informacji oraz dostępu do wszystkich istotnych lokali stanowiących miejsce prowadzenia działalności gospodarczej. Projekt rozporządzenia DORA przyznaje również uprawnienia organom nadzorczym do nakładania okresowych kar pieniężnych na kluczowych zewnętrznych dostawców usług ICT, w wysokości 1% średniego dziennego światowego obrotu danego dostawcy w poprzedzającym roku obrotowym, w przypadku gdy nie udzieli on wnioskowanych przez organ nadzoru informacji lub będą one niekompletne.

Przekazywanie informacji

Jednym z założeń projektu jest umożliwienie dzielenia się w ramach zaufanych społeczności podmiotów finansowych informacjami na temat cyberzagrożeń oraz technik, narzędzi i procedur dotyczących cyberbezpieczeństwa. Celem tego rozwiązania jest zwiększanie świadomości w odniesieniu do cyberzagrożeń, a w konsekwencji zwiększenie operacyjnej odporności cyfrowej. O przystąpieniu do takiej społeczności podmioty finansowe mają informować właściwe organy.

Dalsze kroki

Zgodnie z aktualną treścią projektu DORA, rozporządzenie ma wejść w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Po upływie 12 miesięcy od tej daty rozporządzenie ma być stosowane we wszystkich państwach członkowskich, z wyjątkiem przepisów dotyczących zaawansowanego testowania narzędzi, systemów i procesów ICT z wykorzystaniem testów penetracyjnych pod kątem wyszukiwania zagrożeń (art. 23 i 24 projektowanego rozporządzenia DORA), które mają być stosowane po upływie 36 miesięcy od dnia wejścia w życie DORA.  Należy zaznaczyć, że Projekt stanowi przedmiot negocjacji Parlamentu Europejskiego i Rady Unii Europejskiej, dlatego możemy spodziewać się, że treść projektowanego rozporządzenia może jeszcze ulec zmianie.

Jak DORA wpłynie na podmioty finansowe?

Inicjatywę Komisji Europejskiej, mającą na celu stworzenie kompleksowej, paneuropejskiej regulacji w zakresie operacyjnej odporności sektora finansowego należy ocenić pozytywnie. Rozporządzenie może przynieść liczne korzyści, takie jak zapewnienie jasności i pewności prawa, harmonizację przepisów, zniwelowanie luk, niespójności oraz powielających się regulacji, ograniczenie kosztów administracyjnych oraz kosztów przestrzegania przepisów. Wniosek w sprawie operacyjnej odporności jest również istotną odpowiedzią na obawy wielu podmiotów dotyczące cyberbezpieczeństwa sektora finansowego. Jednocześnie niewątpliwie DORA będzie mieć istotny wpływ na podmioty z sektora finansowego. Konieczność zapewnienia zgodności ze standardami rozporządzenia będzie procesem wymagającym znaczącego zaangażowania ze strony podmiotów finansowych. Część z podmiotów zostanie objęta mniej złożonymi wytycznymi, dla innych natomiast mogą być one bardziej uciążliwe niż dotychczasowe wymagania, a ramy czasowe na dostosowanie do nowych standardów będą stosunkowo krótkie, dlatego warto już teraz zapoznać się z głównymi założeniami projektu i dokonać weryfikacji wewnętrznych procesów zarządzania ryzykiem związanym z ICT pod kątem zgodności z projektowanymi regulacjami. Zewnętrzni dostawcy usług ICT powinni natomiast rozważyć, czy na podstawie aktualnej wersji DORA będą zakwalifikowani do jako kluczowi, a co ma się z tym wiązać, czy będą podlegać ramom nadzoru określonym w rozporządzeniu, w szczególności biorąc pod uwagę potencjalne kary pieniężne, które zostały przewidziane w Projekcie.

Autor: aplikantka radcowska Katarzyna Okoń.

Kancelaria prawna KRWLEGAL zapewnia profesjonalne i fachowe doradztwo w wielu dziedzinach prawa, w tym świadczy usługi m. in. w zakresie prawa korporacyjnego.

Jeśli uważasz, że może mieć to wpływ na Twój biznes, zapraszamy do kontaktu: biuro@krwlegal.pl lub +48 22 29 50 940