Fundusze Inwestycyjne/
Portale/
Self-Service/
Banki/
Banki Spółdzielcze

Jak dostawcy ICT mogą wspierać sektor finansowy w spełnieniu wymogów rozporządzenia DORA?

 

O rozporządzeniu DORA mówi się głównie w kontekście podmiotów z branży finansowej. Nie możemy jednak zapominać, że w istotnym zakresie wpływa ono również na firmy technologiczne świadczące usługi ICT - mówi Agnieszka Gajewska, radczyni prawna w e-point.

Czym jest rozporządzenie DORA?

Rozporządzenie DORA (Digital Operational Resilience Act) o cyfrowej odporności operacyjnej firm z branży finansowej jest odpowiedzią na rosnące zagrożenie cybernetyczne. Wprowadza szczegółowe wymagania dla wszystkich podmiotów sektora finansowego jak banki, towarzystwa funduszy inwestycyjnych, zakłady ubezpieczeń i wielu innych. 

Celem rozporządzenia DORA jest ustanowienie spójnych kryteriów zarządzania ryzykiem cyfrowym i cyberbezpieczeństwem oraz zapewnienie stabilności i integralności na rynkach finansowych w krajach Unii Europejskiej. DORA ustanawia ponadto ogólnounijne ramy nadzoru nad kluczowymi dostawcami zewnętrznymi usług informacyjno-komunikacyjnych (ICT).

Jakie dokładnie zmiany wprowadza rozporządzenie DORA dla dostawców usług ICT w sektorze finansowym?

Nowe regulacje wymagają od firm w branży finansowej i ich głównych dostawców IT spełnienia szeregu kryteriów mających na celu osiągnięcie operacyjnej odporności cyfrowej. Te wymagania mają zapewnić gotowość na wyzwania związane z cyberbezpieczeństwem i dotyczące korzystania z usług technologii informacyjno-komunikacyjnych (ICT).

Usługi ICT rozumiane są jako usługi cyfrowe oraz usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów technologii informacyjnych i komunikacyjnych, łącznie ze sprzętem komputerowym i jego wsparciem jako usługą. Do firm świadczących takie usługi należy również e-point. 

Warto przy tym wskazać, że DORA nie traktuje wszystkich dostawców usługi ICT w taki sam sposób. W zależności od charakteru świadczonych usług i ich krytyczności dla klienta z sektora finansowego, obowiązki nałożone na firmę technologiczną mogą być różne. 

W jaki sposób regulacja DORA różnicuje obowiązki dostawców usług ICT?

Digital Operational Resilience Act nakłada szczególne wymogi na kluczowych dostawców usług ICT, w tym obowiązek płacenia opłaty nadzorczej i poddania się dodatkowemu nadzorowi. Z kolei zakres obowiązków zewnętrznych dostawców usług ICT różni się w zależności od rodzaju świadczonych usług i ich znaczenia dla krytycznych funkcji klientów. W zależności od kwalifikacji i charakteru usług, e-point jako dostawa usług ICT może podlegać różnym zakresowi obowiązków.

Co do zasady regulacja DORA kładzie nacisk na stosowanie adekwatnych środków do zagrożeń. Oznacza to, że nie muszą być one takie same w każdej sytuacji. Ciężar obowiązków nakładanych na firmę technologiczną będzie zatem zależeć od krytyczności usługi i skali ryzyka jakie wiąże się z jej dostarczeniem. 

Jakie są kluczowe wymogi DORA dla dostawców usług ICT?

Ważne elementy, które powinien wziąć pod uwagę dostawca ICT to przede wszystkim wzmocnienie i rozwój systemu zarządzania ryzykiem, który pozwoli na właściwą identyfikację i ocenę ryzyk oraz zapobieganie incydentom. Wiąże się to również z procesem stałego monitorowania usług i testowania systemów w celu wykrywania podatności i zagrożeń.  

Należy również uwzględnić takie działania jak:

  • udzielanie pomocy w przypadku incydentów,
  • uczestnictwo i współpraca w testach penetracyjnych,
  • dodatkowe obowiązki związane z zapewnieniem klientowi okresu przejściowego na czas przeniesienia usługi do innego wykonawcy,
  • zapewnienie prawa dostępu, kontroli i audytu dla klienta i organu nadzorczego,
  • udział w programach szkoleniowych i stałe podnoszenie kwalifikacji zespołu w zakresie bezpieczeństwa i operacyjnej odporności cyfrowej.

Czy rozporządzenie DORA wprowadza zupełnie nowe obowiązki dla dostawców usług ICT?

W niektórych sektorach, jak np. bankowym czy ubezpieczeniowym, wymagania, które dziś nakłada regulacja DORA były już wcześniej obecne np. w postaci wytycznych organów nadzoru. 

Mam tu na myśli np. rekomendacje i wytyczne Komisji Nadzoru Finansowego dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, czy też wytyczne Europejskiego Urzędu Nadzoru Bankowego w sprawie outsourcingu. Regulacje te już dziś określają warunki jakie muszą spełniać dostawcy ICT, jeżeli świadczą określone usługi dla podmiotów z sektora finansowego.

Istnieje wiele obszarów działania firmy technologicznej, na które wpływa regulacja DORA. Warto jednak pamiętać o całym zmieniającym się otoczeniu regulacyjnym. Digital Operational Resilience Act nie jest jedynym aktem prawnym, który ma na nas wpływ w tym zakresie.

Inne regulacje poza Digital Operational Resilience Act określające obowiązki dostawców ICT w sektorze finansowym  

W obszarze bezpieczeństwa mamy również dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) oraz ustawodawstwo krajowe, wdrażające tę dyrektywę. 

Odnosząc się do wdrożenia rozporządzenia DORA warto też zwrócić uwagę, że wciąż czekamy na uszczegółowienie niektórych obowiązków podmiotów finansowych i dostawców ICT, ponieważ nie wszystkie regulacje wykonawcze zostały przyjęte przez Komisję Europejską, W styczniu  2024 r. zostały opublikowane standardy techniczne dotyczące ram zarządzania ryzykiem, kryteriów klasyfikacji incydentów ICT, polityk dotyczących usług ICT wspierających krytyczne lub istotne funkcje, wzorów rejestru informacji. Aktualnie czekamy na kolejne standardy, które mają się ukazać w lipcu tego roku (2024).

Jak dostawcy ICT mogą wspierać sektor finansowy w spełnieniu wymogów DORA?

Z punktu widzenia wdrożenia przepisów rozporządzenia DORA bardzo istotne jest zidentyfikowanie i odpowiednie skategoryzowanie wszystkich procesów biznesowych i zasobów informacyjnych wspieranych przez dostarczane rozwiązania ICT. Potrzebna jest także analiza obowiązujących nas dziś umów pod kątem spełnienia wymagań nałożonych przez rozporządzenie. To są zadania podmiotów finansowych, ale aktywna współpraca ze strony dostawcy może bardzo pomóc w wypełnieniu tych obowiązków.

Nie można też zapominać, że dostawca usług ICT odpowiada za swoich dalszych wykonawców, co oznacza że musi zapewnić odpowiedni poziom bezpieczeństwa z ich strony, tak aby kolejne ogniwa w łańcuch dostawców były tak samo silne i niepodatne na potencjalne ataki.

Wybór odpowiednich środków bezpieczeństwa zależy od charakteru świadczonej usługi, rodzaju danych przetwarzanych przez klienta oraz jego otoczenia biznesowego, organizacyjnego i technicznego. Dlatego kluczowe jest, aby dostawca ICT indywidualnie podchodził do każdego przypadku, skrupulatnie identyfikując i adresując ryzyka.

 Dostosowywanie oferty i procesów e-point do wymogów rozporządzenia DORA UE

Wdrożenie DORA jest dla nas szczególnie ważne, ponieważ wielu naszych klientów to rozporządzenie będzie dotyczyć. Już dziś jesteśmy dostosowani do wymagań DORA w wielu obszarach. Na bieżąco dokonujemy też przeglądu naszych procesów zarządzania ryzykiem cyfrowym i cyberbezpieczeństwem oraz śledzimy zmiany i zagrożenia, jakie się pojawiają. Mamy świadomość, że tych zagrożeń w cyberprzestrzeni jest coraz więcej, że zapewnienie odpowiednich środków bezpieczeństwa wymaga znacznie większej uwagi i stałego monitorowania rynku.

Regularnie bierzemy udział w inicjatywach branżowych, spotkaniach i konferencjach, podczas których rozmawiamy i wymieniamy się doświadczeniami z praktykami zarówno z sektora finansowego jak i ICT. Na bieżąco śledzimy też komunikację ze strony regulatorów, w szczególności KNF. Rozporządzenie DORA będzie stosowane od 17 stycznia 2025 r, ale wiemy, że jest to długi proces, do którego nie należy przygotowywać się w kilka tygodni czy nawet miesięcy.

Stawiamy również na szkolenia naszych pracowników w zakresie zarządzania cyberbezpieczeństwem i odporności operacyjnej, tak aby pomóc w budowaniu świadomości i zapewnieniu, że nasz zespół pracuje zgodnie z najlepszymi praktykami.

 Ułatwiamy klientom z sektora finansowego dostosowanie się do nowych regulacji DORA

Na bieżąco współpracujemy z klientami w zakresie przestrzegania obowiązujących ich regulacji, mamy świadomość jak ważne jest bezpieczeństwo usług, które dostarczamy. 

Z naszego doświadczenia wynika, że nie jest w praktyce możliwe i przydatne stworzenie jednego rozwiązania w zakresie odporności cyfrowej, które będzie pasować wszystkim klientom. Nawet jeśli są to klienci z jednej branży, którzy podlegają wspólnemu organowi nadzoru. Przy zastosowaniu konkretnych środków bezpieczeństwa bierzemy pod uwagę wyniki naszych analiz ryzyka, ale też analiz ryzyka wykonanych przez podmioty finansowe, często z naszym udziałem.

Kluczową strategią, którą stosujemy i którą będziemy rozwijać jest proaktywne zarządzanie ryzykiem. Pracujemy nad ulepszaniem istniejących procesów, po to, żeby zapewnić naszym klientom i nam większe bezpieczeństwo oraz zminimalizować potencjalne zagrożenia. Aktualizujemy również nasze plany reagowania na incydenty i plany ciągłości działania, dostosowując je do nowych wyzwań.

Bardzo istotnym elementem naszej strategii jest elastyczność i gotowość do dalszych zmian. Proces ochrony przed cyberzagrożeniami jest procesem ciągłym i podlegającym zmianom. Wiemy, że zagrożenia będą ewoluować i chcemy być na nie przygotowani.