O co chodzi z Rozporządzeniem DORA?

11 stycznia 2023
/ Maciej Grzegorczyk

Zasady regulujące sektor finansowy UE w niewielkim stopniu odnoszą się do operacyjnej odporności cyfrowej lub bezpieczeństwa związanego z “information and communications technology, or technologies” (ICT). Ramy prawne w obecnym stanie są niekompletne i zharmonizowane w sposób niespójny. Niestety utrudnia to funkcjonowanie jednolitego rynku usług finansowych. W związku tym, że ryzyko związane z ICT było uwzględniane na szczeblu UE, podjęto inicjatywę aby wskazać na luki lub nakładanie się na siebie działań w ważnych obszarach, takich jak raportowanie o incydentach dotyczących ICT i testowanie operacyjnej odporności cyfrowej. Rezultatem jest proponowany akt w sprawie operacyjnej odporności cyfrowej (DORA).

 

 

DORA opracowana została w celu dopilnowania, aby operacje sektora finansowego UE były w stanie wytrzymać cyberataki i niebezpieczeństwa na tle operacyjnym. Wszystkie podmioty zobowiązane rozporządzeniem muszą upewnić się, że są w stanie wytrzymać wszelkiego rodzaju “zakłócenia” i zagrożenia związane z ICT. Proponowane rozwiązania obejmują szeroki zakres instytucji finansowych: 

  • instytucje kredytowe, 
  • instytucje płatnicze 
  • instytucje pieniądza elektronicznego, 
  • dostawców usług w zakresie kryptoaktywów, 
  • centralne depozyty papierów wartościowych, 
  • systemy obrotu, 
  • repozytoria transakcji. 

 

W chwili gdy wniosek dotyczący DORA zostanie formalnie przyjęty, odpowiednie europejskie urzędy nadzoru opracują standardy techniczne regulujące wszystkie instytucje świadczące usługi finansowe. Wdrażanie będzie nadzorowane przez organy krajowe. Rozporządzenie i wytyczne mają wspierać innowacje oraz upowszechnianie nowych technologii finansowych, przy zapewnieniu właściwego poziomu bezpieczeństwa. W art. 56 DORA znajduje się informacja, że rozporządzenie stosuje się po 12 miesięcznym okresie. Przewiduje się, że po dwuletnim okresie wdrażania będzie w pełni stosowana na początku 2025 r. Obecnie czekamy więc na głosowanie podczas pierwszej listopadowej sesji plenarnej.

 

DORA i NIS

 

DORA zawiera wiele przepisów dotyczących cyberbezpieczeństwa dla sektora finansowego. Rodzi to pytanie, w jaki sposób DORA odnosi się do bardziej ogólnych przepisów w dziedzinie cyberbezpieczeństwa? W tym aspekcie należy zrozumieć, że w pewnym stopniu DORA przeplata się z obowiązującą dyrektywą w sprawie bezpieczeństwa sieci i informacji czyli NIS. 

 

Dyrektywa w sprawie bezpieczeństwa sieci i informacji ma na celu zwiększenie odporności cyfrowej w Unii Europejskiej i ograniczenie skutków incydentów cybernetycznych. Dyrektywa NIS koncentruje się na infrastrukturze krytycznej państw członkowskich. Przykładowo w Holandii dotyczy zarówno sieci transportu energii i gazu, węzłów internetowych, jak i sektora bankowego. Zasięg przedmiotowy jest znaczny, gdyż ciągłość objętych nim sektorów ma kluczowe znaczenie dla społeczeństwa. Oznacza to jednak, że dyrektywa NIS i DORA mogą się zatem pokrywać. DORA w m.in. motywach 17 i 21, a także art. 42 zawiera przepisy dotyczące tego, że ​​dyrektywa NIS nadal ma zastosowanie i dzięki jej doświadczeniom możliwe będzie bardziej kompleksowe działanie. Ponadto w art. 1 ust. 2 Rozporządzenia DORA wskazuje się, że “w odniesieniu do podmiotów finansowych zidentyfikowanych jako operatorzy usług kluczowych na mocy przepisów krajowych transponujących art. 5 dyrektywy (UE) 2016/1148 niniejsze rozporządzenie uznaje się za sektorowy akt prawny Unii do celów art. 1 ust. 7 tej dyrektywy”. Należy jednak zaznaczyć, że co do zasady DORA jako lex specialis ma pierwszeństwo przed lex generalis w postaci dyrektywy NIS. Oprócz tego warto wspomnieć, że wedle przewidywań znowelizowana wersja dyrektywa NIS 2, która jeszcze nie została wprowadzona, rozszerzy nieco katalog przedmiotowy w celu dalszej harmonizacji zarządzania ryzykiem cybernetycznym.

 

Rozporządzenie DORA w krótkim skrócie

 

Warto omówić poszczególne prawa i obowiązki wynikające bezpośrednio z Rozporządzenia. W art. 5 omówione zostało zarządzanie i organizacja wewnętrzna. Podmioty finansowe muszą posiadać wewnętrzne ramy zarządzania i kontroli cyberbezpieczeństwa, aby skutecznie zarządzać wszystkimi ryzykami ICT. Art. 6-16 to przepisy związane z zarządzaniem ryzykiem. Podmioty finansowe zobowiązane są do posiadania dobrze udokumentowanych ram zarządzania ryzykiem cybernetycznym jako części ich ogólnego systemu zarządzania ryzykiem. W tym aspekcie podmioty muszą zadbać o:

  • narzędzia i systemy ICT, które pozwalają minimalizować wpływ związanego z nimi ryzyka,
  • szybką identyfikację wszystkich możliwych źródeł ryzyka i wdrożyć mechanizmy wykrywające nieprawidłowości,
  • wewnętrzne procedury i środki ochrony oraz zapobiegania.

 

Rozporządzenie DORA wprowadza pewne uproszczenia dla firm zwolnionych z rozszerzonych obowiązków (np. małe, niepowiązane wzajemnie firmy inwestycyjne). Wyłączenia te nie wykluczają jednak wdrożenia podstawowych środków ograniczania ryzyka ICT i zarządzania nim. Art. 17-23 zawierają liczne przepisy dotyczące zarządzania incydentami związanymi z usługami teleinformatycznymi. Podmioty finansowe będą musiały:

  • zapewnić i wdrożyć zasady ciągłości działania i procedury na wypadek spełnienia się sytuacji związanej ze scenariuszami ryzyka ICT, na przykład w wyniku cyberataku,
  • wyposażyć się w odpowiednie środki i personel do wykrywania słabych punktów, zagrożeń, incydentów i cyberataków oraz oceniać możliwe konsekwencje wobec cyfrowej odporności operacyjnej.

 

W kwestii zgłaszania powiązanych incydentów, podmioty finansowe będą musiały ustanowić i wdrożyć odpowiednie zarządzanie w celu monitorowania oraz rejestrowania incydentów związanych z ICT, ich klasyfikacji i określania ich skutków. Obowiązkiem jest powiadamianie o nich w formie raportu do organów nadzorczych, jeśli zostaną uznane za poważne. W art. 28-44 znajdują się obowiązki dotyczące zewnętrznych dostawców usług ICT. Kluczowy zewnętrzny dostawca usług ICT oznacza zewnętrznego dostawcę usług ICT wyznaczonego na podstawie art. 29. W tym aspekcie podlegają oni ramom nadzoru, o których mowa w art. 30–37. W celu ograniczenia ryzyka wynikającego z zależności podmiotów finansowych od zewnętrznych usługodawców, organom nadzoru finansowego nadawane są szczególne uprawnienia nadzorcze.

 

Zakres podmiotowy DORA

 

Rozporządzenie Dora na podstawie art. 2 będzie w szczególności dotyczyć szeroko pojętych instytucji finansowych, takich jak m.in. instytucji kredytowe, instytucji płatnicze, instytucje pieniądza elektronicznego, ubezpieczycieli czy dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami. W tym aspekcie należy jednak zwrócić dużą uwagę na dostawców technologicznych, którzy zostaną uznani za tzw. dostawców krytycznych (critical ICT third-party service providers). Znajduje to podstawę już w art. 1 gdzie wskazuje się na wymogi mające zastosowanie do podmiotów finansowych zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych.

 

Uprawnienia dla wiodących organów nadzorczych

 

Na podstawie zalecenia forum nadzoru ustanowionego zgodnie z art. 29 ust. 1 Europejskie Urzędy Nadzoru wyznaczają Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) albo Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) jako wiodący organ nadzorczy w odniesieniu do każdego z kluczowych zewnętrznych dostawców usług ICT.

 

Wedle treści art. 30 ust. 1 DORA głównym zadaniem organu wiodącego jest ocena, czy każdy z kluczowych zewnętrznych dostawców usług ICT wprowadził wszelkie wymagane ustalenia służące do zarządzania ryzykiem, które może on stanowić dla podmiotów finansowych. Ocena ta wedle ust. 2 obejmuje m.in. procesy zarządzania ryzykiem, wymogi z zakresu ICT mające na celu zapewnienie w szczególności bezpieczeństwa czy identyfikację i monitorowanie incydentów związanych z ICT oraz ich szybkie zgłaszanie podmiotom finansowym. Na podstawie oceny, wiodący organ nadzorczy przyjmuje indywidualny plan nadzoru dla każdego kluczowego zewnętrznego dostawcy usług. Co roku zostaje on przekazany każdemu z wspomnianych dostawców ICT.

 

Organy nadzoru finansowego zaczną sprawować nadzór, a z tym łączy się możliwość nakładania kar finansowych. Sankcje pozostają ograniczone do zakresu usług świadczonych dla sektora finansowego. Przykładowo uprawnienie wiodącego organu nadzorczego pozwoli mu na podstawie art. 31 ust. 4 nałożyć okresową karę pieniężną, naliczana od dnia określonego w decyzji nakładającej. Kwota wedle art. 31 ust. 7 wynosi 1 % średniego dziennego światowego obrotu kluczowego zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym. Sankcjami mogą zostać objęte ICT, które nie podchodzą w należyty sposób do obowiązków związanych m.in. z: 

  • wnioskiem o przekazanie wszystkich stosownych informacji i dokumentów zgodnie z art. 32,
  • prowadzeniem ogólnych dochodzeń i kontroli zgodnie z art. 33 i 34,
  • pilnowaniem wniosków dotyczących sprawozdań po zakończeniu działań nadzorczych, które zawierają podjęte działania lub wprowadzone przez kluczowych zewnętrznych dostawców usług ICT środki zaradcze w związku z zaleceniami z art. 31. ust. lit. d).

 

Obowiązki podmiotów finansowych

 

Art. 7 Rozporządzenia dotyczy kwestii identyfikowania ryzyka związanego z ICT z art. 5 ust. 1. Ciężar takiego obowiązku spoczywa na podmiotach finansowych, które w efekcie dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności klasyfikacji zasobów informacyjnych i wszelkiej stosownej dokumentacji. To samo tyczy się również tzw. scenariuszy ryzyka. Dodatkowo podmioty finansowe inne niż mikroprzedsiębiorstwa przeprowadzają ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych. 

 

Rozporządzenie w istotny sposób zwraca wielokrotnie uwagę na tzw. “ciągłość działania” w motywie 24, art. 5-14 jeśli chodzi o wymogi w zakresie zarządzania ryzykiem związanym z ICT czy art. 10. Wielokrotnie termin przywoływany jest również w aspekcie strategii ciągłości działania czy polityki ciągłości działania. Należy więc przyjąć, że podmioty finansowe nie tylko muszą zadbać o wykluczenie czynników wpływających np. na przerwanie ciągłości, jak i w razie jej przerwania – zapewnić środki pozwalające na przywrócenie stanu pożądanego z perspektywy Rozporządzenia. Takie przywracanie gotowości do pracy uregulowane zostało z kolei w art. 10, gdzie ust. 2 wskazuje konkretne środki, jak określanie działań w zakresie komunikacji i zarządzania kryzysowego czy bezzwłoczne uruchamianie planów ograniczających rozprzestrzenianie się konsekwencji incydentu oraz zainicjowanie przywrócenia systemów do ponownej ciągłości działania.

 

Wedle art. 7 ust. 4 podmioty finansowe zobligowane są także do prowadzenia niezbędnej ewidencji dotyczącej zasobów ICT w zakresie określonym tym przepisem. Art. 8 ust. 2 wskazuje także na konieczność opracowania, nabycia i następnie wdrożenia procedur i narzędzi dotyczących bezpieczeństwa ICT, których celem jest spełnienie kryteriów: odporności, ciągłości działania i dostępności systemów ICT. W art. 8 ust. 4 rozwinięcie znajdują narzędzia dotyczące identyfikacji ryzyka, w tym m.in. wdrażanie polityki i protokołów dotyczących mechanizmów uwierzytelniania. W kontekście ram zarządzania ryzykiem, podmiotom finansowym w art. 11 ust. 1 i 2 powierzone zostaje zadanie zadbania o zapewnienie kopii zapasowych i sposobów na przywracanie danych systemów ICT przy minimalnym przestoju i ograniczonych zakłóceniach. Należy również wspomnieć o tym, że podmioty finansowe przeprowadzają co najmniej raz na trzy lata zaawansowane testy operacyjnej odporności cyfrowej, a w tym narzędzi, kluczowych usług i systemów ICT ze względu na art. 23 ust 1.

 

Czyli jakie obowiązki będzie miał podmiot finansowy?

 

  1. Wprowadzenie wewnętrznych ram zarządzania i kontroli ryzyka związanego z ICT (art. 4 i art. 5).
  2. Stosowanie systemów, protokołów i narzędzi ICT (art. 6).
  3. Implementacja sposobów identyfikacji, klasyfikacji i ewidencji wszystkich funkcji biznesowych związanych z ICT. Co najmniej raz w roku dokonywany jest przegląd adekwatności klasyfikacji zasobów informacyjnych i wszelkiej stosownej dokumentacji (art. 7).
  4. Bieżące monitorowanie i kontrola nad funkcjonowaniem systemów oraz narzędzi ICT. Wdrożenie odpowiednich procedur bezpieczeństwa (art. 8). Równocześnie metodyka działania pozwalająca na szybkie wykrywanie nietypowych działań związanych z ICT.
  5. Wprowadzenie polityki ciągłości działania w zakresie ICT stanowiącej integralną część polityki w zakresie operacyjnej ciągłości działania podmiotu finansowego (art. 10).
  6. Podmioty finansowe mają zdanie dbać o zapewnienie kopii zapasowych i sposobów na przywracanie danych systemów ICT (art. 11 ust. 1 i 2). 
  7. Wykorzystywanie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT (art. 15 ust. 1 i ust. 3).  
  8. Konieczność zgłaszania poważnych incydentów właściwemu organowi na podstawie specjalnego sprawozdania (art. 17).
  9. Przeprowadzanie co najmniej raz na trzy lata zaawansowanych testów operacyjnej odporności cyfrowej, narzędzi, kluczowych usług i systemów ICT (art. 23 ust 1).
  10. Kadra kierownicza ds. ICT składa organowi zarządzającemu co najmniej raz w roku sprawozdanie z ustaleń w procesie oceny ryzyka związanego z ICT, wniosków z testów operacyjnej odporności cyfrowej przeprowadzonych zgodnie z art. 23 i 24 oraz incydentów związanych z ICT art. 12 ust. 5.
  11. Ustanowienie przynajmniej jednej osoby w kwestii wdrożenia strategii komunikacyjnej w zakresie incydentów związanych z ICT oraz wyznaczenie roli rzecznika ds. kontaktów z opinią publiczną i mediami (art. 13 ust. 3).
  12. Wprowadzenie zarządzania incydentami związanymi z ICT (art.15 ust. 3):
    1. ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT, 
    2. przydzielenie ról i obowiązków, które należy wprowadzić w odniesieniu do różnych rodzajów i scenariuszy, 
    3. określenie planów działań informacyjnych skierowanych do pracowników, a także zewnętrznych zainteresowanych stron i mediów, dostarczanie informacji podmiotom finansowym działającym jako kontrahenci, 
    4. zgłaszanie poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego, 
    5. ustanowienie procedur reagowania na incydenty związane z ICT.
  13. W przypadku korzystania z usług zewnętrznych dostawców ICT – niezbędne jest zagwarantowanie rozwiązań umożliwiających rozwiązanie umowy przy np. nieścisłościach w ogólnym zarządzaniu ryzykiem. Ustalenia muszą być udokumentowane wedle (art. 25 ust. 4 akapit 2). 
  14. Obowiązek poinformowania w odpowiednim terminie właściwego organu o planowanym udzieleniu zamówienia związanego z zewnętrznym dostawcą ICT (art. 25 ust 4 akapit 5). 
  15. Prawa i obowiązki podmiotu finansowego oraz zewnętrznego dostawcy usług są określone na piśmie. Całość umowy, która obejmuje klauzule o gwarantowanym poziomie usług, musi znaleźć się w jednym dokumencie mającym formę pisemną, dostępnym dla stron w wersji papierowej lub w formacie umożliwiającym pobieranie i dostęp (art. 27 ust. 1).
  16. Nie wolno zawierać umowy z dostawcą przy uwzględnieniu art. 26 ust. 1 z dostawcą ICT, w sytuacji gdy:
    1. prowadziłoby to do zawarcia umowy z zewnętrznym dostawcą usług ICT, którego nie można łatwo zastąpić,
    2. posiadania wielu ustaleń umownych z zakresu ICT z tym samym zewnętrznym dostawcą usług ICT lub z blisko powiązanymi zewnętrznymi dostawcami usług ICT. 

 

Incydenty związane z ICT

 

Art. 15 przewiduje w ust. 1 i ust. 3 ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT. Klasyfikowane są one wedle kryteriów określonych w art. 16 ust. 1, takich jak liczba użytkowników, których dotknęło zakłócenie ICT, skutki wizerunkowe, czas trwania, przerwa w świadczeniu usług czy zasięg. Poważne incydenty muszą być zgłaszane właściwemu organowi ze względu na art. 17 na podstawie specjalnego sprawozdania: najpierw śródokresowego i potem końcowego. Ponadto sporządzane jest także wstępne powiadomienie niezwłocznie, ale nie później niż do końca dnia roboczego. Natomiast przy poważnym incydencie ICT, który miał miejsce później niż 2 godziny przed końcem dnia roboczego – nie później niż 4 godziny od początku następnego dnia roboczego. Obowiązki zgłaszania mogą zostać powierzone zewnętrznemu dostawcy usług.

 

Zarządzanie ryzykiem z perspektywy zewnętrznych dostawców usług ICT

 

Podmioty finansowe na podstawie art. 25 ust. 1, które zawarły ustalenia umowne dotyczące korzystania z usług ICT, pozostają przez cały czas w pełni odpowiedzialne za wypełnianie i wywiązywanie się ze wszystkich obowiązków wynikających treści Rozporządzenia. Ponadto regularnie dbają one o kwestie dotyczące ryzyka ze strony zewnętrznych dostawców usług ICT. Co najmniej raz w roku konieczne jest również przedstawianie właściwym organom informacji na temat liczby ustaleń dotyczących korzystania z usług ICT w kwestii dostawców zewnętrznych. W ramach umowy z dostawcą przewidziane muszą zostać ustalenia pozwalające wypowiedzieć umowę przy np. brakach w ogólnym zarządzaniu ryzykiem związanym z ICT lub naruszeniu przez zewnętrznego dostawcę usług ICT obowiązujących przepisów. Po raz kolejny natomiast nawet przy kwestii przerwania stosunków z dostawcą zewnętrznym, podkreślone jest, aby zadbać zachowanie ciągłości działań w art. 25 ust. 9 lit. c.

 

Co z kryptowalutami z perspektywy Digital Operational Resilience Act?

 

Wedle art. 41 lit. e) właściwy organ w odniesieniu do dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami – wyznaczony zostanie zgodnie z Rozporządzenia w sprawie rynków kryptoaktywów (MiCA). Oznacza to, że przyjdzie nam na to trochę jeszcze poczekać, ale podobnie jak z NIS, omawiane rozporządzenie będzie się zazębiać.

 

Masz pytania lub wątpliwości w zakresie Rozporządzenia DORA, NIS lub MiCA?

 

W tym aspekcie proponuję kontakt mailowy. Napisz do mnie i opisz co konkretnie Cię interesuje w zakresie wskazanych rozporządzeń. Postaram się wskazać Ci w jaki sposób mogą one wpłynąć na Twój biznes, a także czy będą go w ogóle dotyczyć. Zapraszam do kontaktu.

 

Autor: Maciej Grzegorczyk