Digital Operational Resilience Act (DORA) – nowe podejście do cyberbezpieczeństwa

Digital Operational Resilience Act (DORA) – nowe podejście do cyberbezpieczeństwa

Joanna Ostrowska
Joanna Ostrowska

EY Polska, Kancelaria EY Law, Senior Manager, Counsel

8 minute read 30 wrz 2023
Powiązane tematy

Pandemia COVID-19 utwierdza przedsiębiorców w przekonaniu, że rewolucja cyfrowa w finansach musi nabrać jeszcze większego tempa niż dotychczas. Wdrożenie innowacji i nowych technologii w sektorze finansowym ma nie tylko wpływ na generowanie korzyści biznesowych, ale zapewnia ciągłość działania i umożliwia firmom szybkie dostosowywanie się do nowych potrzeb klientów i nowej rzeczywistości. 

Komisja Europejska dostrzegając zachodzące zmiany technologiczne w sektorze finansowym opublikowała we wrześniu 2020 r. unijną strategię finansów cyfrowych, czyli pięcioletni plan mający na celu przekształcenie usług finansowych w UE w kompleksowo zintegrowany jednolity rynek cyfrowy. Wśród kilku inicjatyw regulacyjnych znalazła się tzw. DORA (Digital Operational Resilience Act), czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego [1]. 

Jego zadaniem jest stworzenie fundamentów dla zharmonizowanego, bezpiecznego i odpornego na turbulencje cyfrowego sektora finansowego w UE.

Wysiłki Komisji Europejskiej mające na celu ujednolicenie podejścia państw członkowskich do kwestii bezpieczeństwa usług finansowych idą we właściwym kierunku. Należy jednak zagwarantować odpowiednią równowagę pomiędzy regulacjami i zapewnianiem odporności cyfrowej, a wspieraniem innowacji w tym sektorze. 

Czym jest cyfrowa odporność operacyjna?

Cyfrowa odporność operacyjna ma na celu zagwarantowanie ciągłości i utrzymanie jakości świadczonych usług w obliczu zakłóceń wpływających na  technologie informacyjne i telekomunikacyjne (ICT) firm. Jest to zdolność do budowania, testowania i ciągłego doskonalenia integralności technologicznej i operacyjnej organizacji.

W uzasadnieniu rozporządzenia dotyczącego DORA stwierdzono, że dotychczasowe ramy regulacyjne na poziomie europejskim dotyczące zarządzania ryzykiem w zakresie ICT były do ​​tej pory fragmentaryczne lub wewnętrznie sprzeczne. Dobrym i często podnoszonym przykładem jest np. obowiązek notyfikacji  incydentów cybernetycznych. Zgłaszanie ich przez podmioty finansowe często jest regulowane przez różne przepisy  (np. NIS, PSD2, RODO) przez co sam proces notyfikacji bywa niejasny, wydłużony lub nieefektywny. To rozproszenie przepisów nakłada więcej obowiązków na podmioty finansowe, wymaga od nich angażowania większych zasobów i skupiania się na regulacyjnej zgodności zamiast na bezpiecznym odzyskaniu kontroli oraz ochronie swojej działalności. DORA ma na celu harmonizację przedmiotowych przepisów i zapewnienie wszystkim zainteresowanym stronom sektora finansowego łatwiejszą adaptację do oczekiwanych wymagań i kontrolę nad ich wykonywaniem.

How EY can Help

  • Cybersecurity Consulting

    Doradztwo w zakresie cyberbezpieczeństwa może być realizowane w wielu obszarach m.in.: prawnym, organizacyjnym lub technologicznym. Utrzymanie specjalistycznych kompetencji w każdej z tych dziedzin jednocześnie jest wyzwaniem.

    Przeczytaj więcej

Główne założenia DORA

 

DORA ma w założeniu obejmować szereg podmiotów finansowych regulowanych na szczeblu unijnym takich jak: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług w zakresie kryptoaktywów, centralne depozyty papierów wartościowych, kontrahentów centralnych, systemy obrotu, repozytoria transakcji, zarządzających alternatywnymi funduszami inwestycyjnymi i spółki zarządzające, dostawców usług w zakresie udostępniania informacji, zakłady ubezpieczeń i zakłady reasekuracji, pośredników ubezpieczeniowych, instytucje pracowniczych programów emerytalnych, agencje ratingowe, biegłych rewidentów i firmy audytorskie, administratorów kluczowych wskaźników referencyjnych oraz dostawców usług finansowania społecznościowego czy też repozytoriów sekurytyzacji.

Warto jednak zwrócić uwagę, że o ile zasadnicze ramy rozporządzenia dotyczą wszystkich instytucji finansowych i tym samym maja pozwolić w spójny oraz zharmonizowany sposób traktować cyberodporność wśród uczestników rynków finansowych to nie wszystkie instytucje, o których mowa powyżej będą zobowiązane przestrzegać zasad w tym samym stopniu. Przykładowo, biorąc pod uwagę zasadę proporcjonalności pod względem rozmiaru i charakteru działalności podmiotu, a tym samym narażenia na ryzyko cyfrowe, tylko największe z instytucji finansowych będą zobowiązane do przeprowadzenia złożonych analiz ryzyka w odniesieniu do istotnych zmian w infrastrukturze ICT, przeprowadzenia szczegółowych testów ciągłości działania czy też  zaawansowanych testów penetracyjnych pod kątem wyszukiwana zagrożeń. Ten ostatni z wymogów będzie wymagany wyłącznie od podmiotów finansowych, które zostaną uznane za znaczące do realizacji celów związanych z zaawansowanym testowaniem odporności cyfrowej.

Rozporządzenie DORA obejmuje kwestie odporności cyfrowej organizacji w kilku powiązanych ze sobą i składających się na całościowe wzmocnienie cyberodporności perspektywach:

  • harmonizując dotychczas obowiązujące i dość powszechnie stosowane zasady zarządzania ryzykiem ICT (Rozdział II) oraz kwestie związane z raportowaniem incydentów ICT (Rozdział III)

  • Zgodnie z założeniami rozporządzenia DORA organ zarządzający podmiotem finansowym jest odpowiedzialny za określenie, zatwierdzenie oraz nadzór nad wdrożeniem ram zarządzania ryzykiem związanym z ICT. Będąc ostatecznie odpowiedzialnym za zarządzanie nim oraz biorąc pod uwagę poziom tolerancji z tym związany, a także przydzielając w tym celu odpowiedni budżet, organ ten powinien m.in.: wyznaczyć odpowiednie role i obowiązki w tym zakresie, nadzorować wdrożenie polityki ciągłości działania oraz planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej jak i zatwierdzać plan audytów ICT oraz dokonywać jego przeglądu. Szereg wymagań dotyczy także kwestii korzystania z usług ICT świadczonych przez zewnętrznych dostawców. Przedmiotowy organ powinien zatwierdzać politykę w zakresie korzystania z tych usług i dokonywać ich przeglądu, a także być należycie informowany o ustaleniach zawartych z zewnętrznymi dostawcami usług ICT oraz wszelkich planowanych istotnych zmian i ich wpływie na kluczowe funkcje.

    Podmioty finansowe będą miały obowiązek opracowania ram zarządzania ryzykiem ICT, które obejmą odpowiednie funkcje w ramach zarządzania ryzykiem cybernetycznym (identyfikacja, ochrona i zapobieganie, wykrywanie, reagowanie i przywrócenie gotowości do pracy, uczenie się i rozwój oraz komunikacja), umożliwią szybkie i skuteczne reagowanie na ryzyko ICT oraz zapewnią wysoki poziom cyfrowej odporności operacyjnej, który odpowiada ich potrzebom biznesowym oraz wielkości i złożoności działalności firm. Ramy te będą obejmować poszczególne strategie (w tym strategię odporności cyfrowej, w której określono sposób ich wdrażania), polityki, procedury, protokoły i narzędzia, które powinny być odpowiednio udokumentowane i weryfikowane przynajmniej raz w roku, a także regularnie audytowane zgodnie z modelem trzech linii obrony lub wewnętrznym modelem zarządzania ryzykiem i jego kontroli.

  • przedstawiając zestaw nowych wymagań związanych z testowaniem operacyjnej odporności cyfrowej (Rozdział IV), kwestią współdzielenia informacji dot. incydentów (Rozdział VI) oraz zarządzania ryzykiem ICT w relacjach z dostawcami usług (Rozdział V).

  • Biorąc pod uwagę zasadę proporcjonalności  podejścia opartego na ryzyku, projekt rozporządzenia DORA nakłada obowiązek ustanowienia i utrzymania programu testowania cyfrowej odporności operacyjnej, z uwzględnieniem zmieniającej a się listy zagrożeń ICT, szczególnie tych, na które instytucja finansowa może być narażona, a także krytyczności aktywów informacyjnych i świadczonych usług. Zgodnie z założeniami, przynajmniej raz w roku wszystkie kluczowe systemy i aplikacje ICT powinny podlegać testom. Szczegóły dotyczące metod, praktyk i narzędzi, które winny być w tym celu stosowane zostały zawarte w odpowiednich artykułach rozporządzenia i mogą obejmować: skanowanie podatności, oceny bezpieczeństwa sieci, przeglądy kodów źródłowych, testy scenariuszowe, testy penetracyjne, testy wydajności i inne. Co ważne, zgodnie z projektem rozporządzenia DORA, o ile wszystkie podmioty powinny przeprowadzać testy narzędzi i systemów ICT to jedynie podmioty, które zostaną wskazane jako istotne i dojrzałe pod względem cyfrowym powinny mieć obowiązek przeprowadzania zaawansowanych testów (co najmniej raz na trzy lata) na podstawie testów penetracyjnych wykorzystujących scenariusz zagrożenia.

  • ustalając zasady oraz dostarczając narzędzia, które będą obowiązywały organy w poszczególnych państwach członkowskich w celu spełnienia swoich zadań dla zapewnienia operacyjnej odporności cyfrowej (Rozdział VII).

  • Zgodnie z założeniami DORA, europejskie urzędy nadzoru we współpracy z właściwymi organami mogą wypracować zasady pozwalające na efektywną wymianę praktyk między sektorami finansowymi  jak i zidentyfikowanie wspólnych dla sektorów finansowych luk i rodzajów ryzyka w cyberprzestrzeni. Organy te będą posiadać uprawnienia do sprawowania nadzoru, prowadzenia dochodzeń i nakładania sankcji niezbędnych do wykonywania swoich obowiązków wynikających z przedmiotowego rozporządzenia.

Regulacje kontra innowacje – jak zachować równowagę pomiędzy nimi   

Bez wątpienia inicjatywa Komisji Europejskiej w zakresie harmonizacji ram niezbędnych do uzyskania odporności cyfrowej sektora finansowego w UE jest słuszna i przyniesie wiele korzyści. Niemniej jednak należy przyjrzeć się niektórym projektowanym rozwiązaniom bardzo uważnie, zadając sobie pytanie jaki mogą mieć one wpływ na tak ważny obecnie rozwój innowacji w sektorze finansowym. Chociaż projekt rozporządzenia DORA koncentruje się głównie na wymaganiach skierowanych do nadzorowanych podmiotów sektora finansowego to zaproponowany w projekcie bezpośredni nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT (dalej: „CTPP”) może mieć duże konsekwencje dla firm technologicznych, w tym w szczególności dla dostawców usług chmurowych. Zgodnie z projektowanymi przepisami, zostaną stworzone ramy zgodnie z którymi nadzorcy europejscy uznają, którzy dostawcy są krytyczni z perspektywy sektora finansowego i tym samym będą podlegać organom nadzoru finansowego UE. Organy nadzoru będą mogły nakładać szczegółowe wymogi dotyczące sposobu dostarczania usług przez CTPP dla podmiotów finansowych, a w ostateczności będą mogły również żądać rozwiązania umowy z podmiotem finansowym.

Należy zauważyć, że rozwój technologiczny sektora finansowego w UE powinien polegać na znalezieniu balansu pomiędzy dostępem do innowacyjnych rozwiązań CTPP z jednoczesnym spełnieniem obowiązków wynikających z regulacji prawnych w zakresie bezpieczeństwa. Dodatkowe obowiązki w zakresie badania zgodności i nadzoru nad CTPP dla podmiotu sektora finansowego mogą negatywnie wpłynąć, a nawet zahamować rozwój innowacji. Na to ryzyko wskazała już Europejska Federacja Bankowa (European Banking Federation) w swoich uwagach do projektu rozporządzenia DORA, wyrażając jednocześnie nadzieję, że Komisja Europejska mając na względzie również ograniczenie nakładania dodatkowych obowiązków na podmioty nadzorowane dokona odpowiednich korekt w projektowanych przepisach[2]. Zwróćmy uwagę, że już teraz na poziomie europejskim istnieją przepisy lub wytyczne regulujące kwestię współdziałania przez podmioty nadzorowane z CTPP (np. EBA Guidelines on outsourcing, EBA Guidelines on ICT and security risk management, czy  też nasza rodzima regulacja, Rekomendacja D KNF). Być może zamiast tworzyć dodatkowe wymagania w tym zakresie, powinniśmy raczej skupić się na harmonizacji już istniejących regulacji, tak aby minimalizować i ewentualnie doprecyzowywać obowiązki dla podmiotów nadzorowanych w relacjach z dostawcami technologii, a nie paradoksalnie je rozdrabniać i mnożyć.

Co projektowane zmiany oznaczają dla sektora finansowego?

Obecnie w Parlamencie Europejskim i Radzie UE trwają dyskusje na temat DORA. Intensywne prace dają nadzieję, że finalny tekst regulacji zostanie opublikowany w pierwszym kwartale 2022 r.

Należy docenić fakt powstania zharmonizowanych przepisów w zakresie odporności cyfrowej, które umożliwią stworzenie jednolitego rynku cyfrowego dla sektora finansowego w UE i tym samym zwiększą jego konkurencyjność na świecie. Unia Europejska swoimi działaniami chce wspierać innowacje na rynku finansowym, ale przy jednoczesnym zachowaniu i promowaniu solidnych standardów zarządzania ryzykiem ICT. Jest to zdecydowanie słuszne podejście. Niemniej jednak, DORA będzie wyzwaniem nie tylko dla podmiotów sektora finansowego, ale i dla dostawców technologii dlatego już dzisiaj należy rozpocząć przygotowania niezbędne do spełnienia nowych wymagań.


Podsumowanie

Obecnie w Parlamencie Europejskim i Radzie UE trwają dyskusje na temat DORA. Intensywne prace dają nadzieję, że finalny tekst regulacji zostanie opublikowany w pierwszym kwartale 2022 r.

Należy docenić fakt powstania zharmonizowanych przepisów w zakresie odporności cyfrowej, które umożliwią stworzenie jednolitego rynku cyfrowego dla sektora finansowego w UE i tym samym zwiększą jego konkurencyjność na świecie. Unia Europejska swoimi działaniami chce wspierać innowacje na rynku finansowym, ale przy jednoczesnym zachowaniu i promowaniu solidnych standardów zarządzania ryzykiem ICT. Jest to zdecydowanie słuszne podejście. Niemniej jednak, DORA będzie wyzwaniem nie tylko dla podmiotów sektora finansowego, ale i dla dostawców technologii dlatego już dzisiaj należy rozpocząć przygotowania niezbędne do spełnienia nowych wymagań. 

Kontakt
Chcesz dowiedzieć się wiecej? Skontaktuj się z nami.

Informacje

Joanna Ostrowska
Joanna Ostrowska
EY Polska, Kancelaria EY Law, Senior Manager, Counsel
Joanna jest Senior Managerem w Zespole Własności Intelektualnej, Technologii i Danych Osobowych w EY Law.
Powiązane tematy

Powiązane artykuły

Co to jest Digital Operational Resilience Act? Rozporządzenie DORA – wymagania z perspektywy dostawców ICT

Rozporządzenie DORA (Digital Operational Resilience Act) wprowadzono do porządku prawnego w styczniu 2023 r. Jakie zmiany wprowadza DORA, kiedy wchodzi w życie i jak się przygotować do nowych regulacji?

Joanna Ostrowska + 1

    EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.