Zasady regulujące sektor finansowy UE w niewielkim stopniu odnoszą się do operacyjnej odporności cyfrowej lub bezpieczeństwa związanego z “information and communications technology, or technologies” (ICT). Ramy prawne w obecnym stanie są niekompletne i zharmonizowane w sposób niespójny. Niestety utrudnia to funkcjonowanie jednolitego rynku usług finansowych. W związku tym, że ryzyko związane z ICT było uwzględniane na szczeblu UE, podjęto inicjatywę aby wskazać na luki lub nakładanie się na siebie działań w ważnych obszarach, takich jak raportowanie o incydentach dotyczących ICT i testowanie operacyjnej odporności cyfrowej. Rezultatem jest proponowany akt w sprawie operacyjnej odporności cyfrowej (DORA).
DORA opracowana została w celu dopilnowania, aby operacje sektora finansowego UE były w stanie wytrzymać cyberataki i niebezpieczeństwa na tle operacyjnym. Wszystkie podmioty zobowiązane rozporządzeniem muszą upewnić się, że są w stanie wytrzymać wszelkiego rodzaju “zakłócenia” i zagrożenia związane z ICT. Proponowane rozwiązania obejmują szeroki zakres instytucji finansowych:
W chwili gdy wniosek dotyczący DORA zostanie formalnie przyjęty, odpowiednie europejskie urzędy nadzoru opracują standardy techniczne regulujące wszystkie instytucje świadczące usługi finansowe. Wdrażanie będzie nadzorowane przez organy krajowe. Rozporządzenie i wytyczne mają wspierać innowacje oraz upowszechnianie nowych technologii finansowych, przy zapewnieniu właściwego poziomu bezpieczeństwa. W art. 56 DORA znajduje się informacja, że rozporządzenie stosuje się po 12 miesięcznym okresie. Przewiduje się, że po dwuletnim okresie wdrażania będzie w pełni stosowana na początku 2025 r. Obecnie czekamy więc na głosowanie podczas pierwszej listopadowej sesji plenarnej.
DORA zawiera wiele przepisów dotyczących cyberbezpieczeństwa dla sektora finansowego. Rodzi to pytanie, w jaki sposób DORA odnosi się do bardziej ogólnych przepisów w dziedzinie cyberbezpieczeństwa? W tym aspekcie należy zrozumieć, że w pewnym stopniu DORA przeplata się z obowiązującą dyrektywą w sprawie bezpieczeństwa sieci i informacji czyli NIS.
Dyrektywa w sprawie bezpieczeństwa sieci i informacji ma na celu zwiększenie odporności cyfrowej w Unii Europejskiej i ograniczenie skutków incydentów cybernetycznych. Dyrektywa NIS koncentruje się na infrastrukturze krytycznej państw członkowskich. Przykładowo w Holandii dotyczy zarówno sieci transportu energii i gazu, węzłów internetowych, jak i sektora bankowego. Zasięg przedmiotowy jest znaczny, gdyż ciągłość objętych nim sektorów ma kluczowe znaczenie dla społeczeństwa. Oznacza to jednak, że dyrektywa NIS i DORA mogą się zatem pokrywać. DORA w m.in. motywach 17 i 21, a także art. 42 zawiera przepisy dotyczące tego, że dyrektywa NIS nadal ma zastosowanie i dzięki jej doświadczeniom możliwe będzie bardziej kompleksowe działanie. Ponadto w art. 1 ust. 2 Rozporządzenia DORA wskazuje się, że “w odniesieniu do podmiotów finansowych zidentyfikowanych jako operatorzy usług kluczowych na mocy przepisów krajowych transponujących art. 5 dyrektywy (UE) 2016/1148 niniejsze rozporządzenie uznaje się za sektorowy akt prawny Unii do celów art. 1 ust. 7 tej dyrektywy”. Należy jednak zaznaczyć, że co do zasady DORA jako lex specialis ma pierwszeństwo przed lex generalis w postaci dyrektywy NIS. Oprócz tego warto wspomnieć, że wedle przewidywań znowelizowana wersja dyrektywa NIS 2, która jeszcze nie została wprowadzona, rozszerzy nieco katalog przedmiotowy w celu dalszej harmonizacji zarządzania ryzykiem cybernetycznym.
Warto omówić poszczególne prawa i obowiązki wynikające bezpośrednio z Rozporządzenia. W art. 5 omówione zostało zarządzanie i organizacja wewnętrzna. Podmioty finansowe muszą posiadać wewnętrzne ramy zarządzania i kontroli cyberbezpieczeństwa, aby skutecznie zarządzać wszystkimi ryzykami ICT. Art. 6-16 to przepisy związane z zarządzaniem ryzykiem. Podmioty finansowe zobowiązane są do posiadania dobrze udokumentowanych ram zarządzania ryzykiem cybernetycznym jako części ich ogólnego systemu zarządzania ryzykiem. W tym aspekcie podmioty muszą zadbać o:
Rozporządzenie DORA wprowadza pewne uproszczenia dla firm zwolnionych z rozszerzonych obowiązków (np. małe, niepowiązane wzajemnie firmy inwestycyjne). Wyłączenia te nie wykluczają jednak wdrożenia podstawowych środków ograniczania ryzyka ICT i zarządzania nim. Art. 17-23 zawierają liczne przepisy dotyczące zarządzania incydentami związanymi z usługami teleinformatycznymi. Podmioty finansowe będą musiały:
W kwestii zgłaszania powiązanych incydentów, podmioty finansowe będą musiały ustanowić i wdrożyć odpowiednie zarządzanie w celu monitorowania oraz rejestrowania incydentów związanych z ICT, ich klasyfikacji i określania ich skutków. Obowiązkiem jest powiadamianie o nich w formie raportu do organów nadzorczych, jeśli zostaną uznane za poważne. W art. 28-44 znajdują się obowiązki dotyczące zewnętrznych dostawców usług ICT. Kluczowy zewnętrzny dostawca usług ICT oznacza zewnętrznego dostawcę usług ICT wyznaczonego na podstawie art. 29. W tym aspekcie podlegają oni ramom nadzoru, o których mowa w art. 30–37. W celu ograniczenia ryzyka wynikającego z zależności podmiotów finansowych od zewnętrznych usługodawców, organom nadzoru finansowego nadawane są szczególne uprawnienia nadzorcze.
Rozporządzenie Dora na podstawie art. 2 będzie w szczególności dotyczyć szeroko pojętych instytucji finansowych, takich jak m.in. instytucji kredytowe, instytucji płatnicze, instytucje pieniądza elektronicznego, ubezpieczycieli czy dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami. W tym aspekcie należy jednak zwrócić dużą uwagę na dostawców technologicznych, którzy zostaną uznani za tzw. dostawców krytycznych (critical ICT third-party service providers). Znajduje to podstawę już w art. 1 gdzie wskazuje się na wymogi mające zastosowanie do podmiotów finansowych zarządzania ryzykiem związanym z wykorzystaniem technologii informacyjno-komunikacyjnych.
Na podstawie zalecenia forum nadzoru ustanowionego zgodnie z art. 29 ust. 1 Europejskie Urzędy Nadzoru wyznaczają Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) albo Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) jako wiodący organ nadzorczy w odniesieniu do każdego z kluczowych zewnętrznych dostawców usług ICT.
Wedle treści art. 30 ust. 1 DORA głównym zadaniem organu wiodącego jest ocena, czy każdy z kluczowych zewnętrznych dostawców usług ICT wprowadził wszelkie wymagane ustalenia służące do zarządzania ryzykiem, które może on stanowić dla podmiotów finansowych. Ocena ta wedle ust. 2 obejmuje m.in. procesy zarządzania ryzykiem, wymogi z zakresu ICT mające na celu zapewnienie w szczególności bezpieczeństwa czy identyfikację i monitorowanie incydentów związanych z ICT oraz ich szybkie zgłaszanie podmiotom finansowym. Na podstawie oceny, wiodący organ nadzorczy przyjmuje indywidualny plan nadzoru dla każdego kluczowego zewnętrznego dostawcy usług. Co roku zostaje on przekazany każdemu z wspomnianych dostawców ICT.
Organy nadzoru finansowego zaczną sprawować nadzór, a z tym łączy się możliwość nakładania kar finansowych. Sankcje pozostają ograniczone do zakresu usług świadczonych dla sektora finansowego. Przykładowo uprawnienie wiodącego organu nadzorczego pozwoli mu na podstawie art. 31 ust. 4 nałożyć okresową karę pieniężną, naliczana od dnia określonego w decyzji nakładającej. Kwota wedle art. 31 ust. 7 wynosi 1 % średniego dziennego światowego obrotu kluczowego zewnętrznego dostawcy usług ICT w poprzedzającym roku obrotowym. Sankcjami mogą zostać objęte ICT, które nie podchodzą w należyty sposób do obowiązków związanych m.in. z:
Art. 7 Rozporządzenia dotyczy kwestii identyfikowania ryzyka związanego z ICT z art. 5 ust. 1. Ciężar takiego obowiązku spoczywa na podmiotach finansowych, które w efekcie dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności klasyfikacji zasobów informacyjnych i wszelkiej stosownej dokumentacji. To samo tyczy się również tzw. scenariuszy ryzyka. Dodatkowo podmioty finansowe inne niż mikroprzedsiębiorstwa przeprowadzają ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych.
Rozporządzenie w istotny sposób zwraca wielokrotnie uwagę na tzw. “ciągłość działania” w motywie 24, art. 5-14 jeśli chodzi o wymogi w zakresie zarządzania ryzykiem związanym z ICT czy art. 10. Wielokrotnie termin przywoływany jest również w aspekcie strategii ciągłości działania czy polityki ciągłości działania. Należy więc przyjąć, że podmioty finansowe nie tylko muszą zadbać o wykluczenie czynników wpływających np. na przerwanie ciągłości, jak i w razie jej przerwania – zapewnić środki pozwalające na przywrócenie stanu pożądanego z perspektywy Rozporządzenia. Takie przywracanie gotowości do pracy uregulowane zostało z kolei w art. 10, gdzie ust. 2 wskazuje konkretne środki, jak określanie działań w zakresie komunikacji i zarządzania kryzysowego czy bezzwłoczne uruchamianie planów ograniczających rozprzestrzenianie się konsekwencji incydentu oraz zainicjowanie przywrócenia systemów do ponownej ciągłości działania.
Wedle art. 7 ust. 4 podmioty finansowe zobligowane są także do prowadzenia niezbędnej ewidencji dotyczącej zasobów ICT w zakresie określonym tym przepisem. Art. 8 ust. 2 wskazuje także na konieczność opracowania, nabycia i następnie wdrożenia procedur i narzędzi dotyczących bezpieczeństwa ICT, których celem jest spełnienie kryteriów: odporności, ciągłości działania i dostępności systemów ICT. W art. 8 ust. 4 rozwinięcie znajdują narzędzia dotyczące identyfikacji ryzyka, w tym m.in. wdrażanie polityki i protokołów dotyczących mechanizmów uwierzytelniania. W kontekście ram zarządzania ryzykiem, podmiotom finansowym w art. 11 ust. 1 i 2 powierzone zostaje zadanie zadbania o zapewnienie kopii zapasowych i sposobów na przywracanie danych systemów ICT przy minimalnym przestoju i ograniczonych zakłóceniach. Należy również wspomnieć o tym, że podmioty finansowe przeprowadzają co najmniej raz na trzy lata zaawansowane testy operacyjnej odporności cyfrowej, a w tym narzędzi, kluczowych usług i systemów ICT ze względu na art. 23 ust 1.
Art. 15 przewiduje w ust. 1 i ust. 3 ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT. Klasyfikowane są one wedle kryteriów określonych w art. 16 ust. 1, takich jak liczba użytkowników, których dotknęło zakłócenie ICT, skutki wizerunkowe, czas trwania, przerwa w świadczeniu usług czy zasięg. Poważne incydenty muszą być zgłaszane właściwemu organowi ze względu na art. 17 na podstawie specjalnego sprawozdania: najpierw śródokresowego i potem końcowego. Ponadto sporządzane jest także wstępne powiadomienie niezwłocznie, ale nie później niż do końca dnia roboczego. Natomiast przy poważnym incydencie ICT, który miał miejsce później niż 2 godziny przed końcem dnia roboczego – nie później niż 4 godziny od początku następnego dnia roboczego. Obowiązki zgłaszania mogą zostać powierzone zewnętrznemu dostawcy usług.
Podmioty finansowe na podstawie art. 25 ust. 1, które zawarły ustalenia umowne dotyczące korzystania z usług ICT, pozostają przez cały czas w pełni odpowiedzialne za wypełnianie i wywiązywanie się ze wszystkich obowiązków wynikających treści Rozporządzenia. Ponadto regularnie dbają one o kwestie dotyczące ryzyka ze strony zewnętrznych dostawców usług ICT. Co najmniej raz w roku konieczne jest również przedstawianie właściwym organom informacji na temat liczby ustaleń dotyczących korzystania z usług ICT w kwestii dostawców zewnętrznych. W ramach umowy z dostawcą przewidziane muszą zostać ustalenia pozwalające wypowiedzieć umowę przy np. brakach w ogólnym zarządzaniu ryzykiem związanym z ICT lub naruszeniu przez zewnętrznego dostawcę usług ICT obowiązujących przepisów. Po raz kolejny natomiast nawet przy kwestii przerwania stosunków z dostawcą zewnętrznym, podkreślone jest, aby zadbać zachowanie ciągłości działań w art. 25 ust. 9 lit. c.
Wedle art. 41 lit. e) właściwy organ w odniesieniu do dostawców usług w zakresie kryptoaktywów, emitentów kryptoaktywów, emitentów tokenów powiązanych z aktywami oraz emitentów znaczących tokenów powiązanych z aktywami – wyznaczony zostanie zgodnie z Rozporządzenia w sprawie rynków kryptoaktywów (MiCA). Oznacza to, że przyjdzie nam na to trochę jeszcze poczekać, ale podobnie jak z NIS, omawiane rozporządzenie będzie się zazębiać.
W tym aspekcie proponuję kontakt mailowy. Napisz do mnie i opisz co konkretnie Cię interesuje w zakresie wskazanych rozporządzeń. Postaram się wskazać Ci w jaki sposób mogą one wpłynąć na Twój biznes, a także czy będą go w ogóle dotyczyć. Zapraszam do kontaktu.
Autor: Maciej Grzegorczyk