Czy DORA utrudni współpracę na linii biznes a Software House?
O DORA, czyli Digital Operation Resilience Act pisaliśmy już we wcześniejszym wpisie: „Uwaga, nadchodzi DORA. Czy wstrząśnie sektorem finansowym?”, gdzie przybliżaliśmy największe zmiany, jakie rozporządzenie wprowadzi w zakresie funkcjonowania europejskich instytucji finansowych (oraz dostawców usług ICT, nawet jeżeli ich siedziby znajdują się poza UE). Warto jednak pójść o krok dalej i zastanowić się, jak nowe przepisy wpłyną na współpracę między branżą finansową a firmami technologicznymi (w tym Software House’ami). Czy już teraz ktokolwiek może powiedzieć, że jest gotowy na nadejście DORA i jak to ewentualnie zweryfikować?
Na wstępie chcielibyśmy zaznaczyć, że jednym z założeń DORA jest regulacja polityki i przepisów dotyczących ICT na poziomie Unii Europejskiej. Wynika to z niespójności wymogów prawnych pomiędzy państwami członkowskimi, co naraża instytucje finansowe (działające transgranicznie) na ryzyko związane z koniecznością uwzględniania wielu odmiennych regulacji w tym zakresie. Z tego też powodu sytuacja wyjściowa względem DORA będzie różnić się w zależności od kraju i jego wewnętrznych przepisów. Poniższy tekst pisany jest głównie z perspektywy Polski i może częściowo nie oddawać rzeczywistości naszych europejskich sąsiadów (w tym Wielkiej Brytanii, która opuściła UE, ale dalej wiele instytucji finansowych współpracuje z jej wewnętrznymi podmiotami).
Są jednak elementy wspólne i uniwersalne dla każdego państwa członkowskiego oraz firm spoza UE, które w przyszłości będą chciały prowadzić interesy na terenie Europy. Dlatego zapraszamy do czytania i dzielenia się własną perspektywą na naszym LinkedIn.
Artykuł szczególnie ważny z perspektywy:
Instytucji kredytowych, płatniczych i pieniądza elektronicznego; dostawców usług w zakresie kryptoaktywów i ich emitentów, emitentów tokenów powiązanych z aktywami, centralnych depozytów papierów wartościowych, zakładów ubezpieczeń i reasekuracji, dostawców usług finansowania społecznościowego oraz wszystkich zewnętrznych dostawców ICT.
Czy Polska gotowa jest na rozporządzenie DORA?
Na wstępie trzeba poruszyć ważną kwestię: Polska uznawana jest za jednego z liderów w dziedzinie rozwoju cyfrowych kanałów bankowości oraz transformacji cyfrowej sektora finansowego. Dla przykładu, PKO Bank Polski zwyciężył w rankingu Finnoscore 2020, zostając europejskim liderem cyfrowej bankowości, a aż 95% liderów bankowości wdrożyło już zaawansowane usługi w chmurze. Jednocześnie to właśnie sektor finansowy należy do najsilniej regulowanych wewnętrznymi przepisami, których zadaniem jest zapewnienie bezpieczeństwa, stabilności i przejrzystości rynku finansowego w Polsce.
Nowoczesne podejście sektora finansowego oznacza również ścisłe regulacje w dziedzinie cyberbezpieczeństwa. Opracowane strategie zarządzania ryzykiem, szybkie raportowanie incydentów związanych z bezpieczeństwem, testy odporności, gotowość do audytów i kontroli – to żadne nowości dla podmiotów finansowych i współpracujących z nimi firm technologicznych, szczególnie Software House’ów pracujących przy kluczowych systemach IT.
Polskie firmy technologiczne, mające doświadczenie we współpracy z sektorem finansowym, mogą być potencjalnymi partnerami dla zagranicznych podmiotów z tej branży. Polskie prawo już teraz restrykcyjnie podchodzi do kwestii bezpieczeństwa i nadzoru nad usługami ICT, a więc DORA i jej regulacje nie będą dla naszego regionu szczególnym zaskoczeniem.
Czy nowe przepisy zakończą niektóre współprace?
DORA zwraca uwagę na kilka ważnych aspektów odnośnie do umów, jakie podmioty finansowe zawierają z dostawcami usług ICT. Według rozporządzenia problematyczne jest to, że:
- Firmy z branży finansowej często napotykają problemy w kwestii negocjacji zapisów umownych, które byłyby dopasowane do rzeczywistych wymogów regulacyjnych, jakim podlega ten sektor;
- Dostawcy usług niechętnie zgadzają się na zapisy umowne pozwalające na dostęp lub audyt prowadzonych działań. Nawet jeżeli umowa przewiduje takie postępowanie, istnieje problem z jego egzekucją;
- Umowy dostawców nie przewidują wystarczających gwarancji w zakresie monitorowania prowadzonych prac i zachodzących procesów, a tym samym firmy finansowe nie mogą ocenić powiązanych z nimi zagrożeń;
- Zewnętrzni dostawcy usług ICT często świadczą znormalizowane usługi na rzecz wielu partnerów, a więc ich umowy mogą być niedopasowane do indywidualnych potrzeb sektora finansowego.
W związku z tym, rozporządzenie nakładać będzie warunek, aby prawa i obowiązki podmiotu finansowego oraz zewnętrznego dostawcy usług ICT były wyraźnie określone na piśmie. DORA formułuje również minimum, jakie określać musi taki dokument, obejmując między innymi aspekty takie jak:
- pełny opis wszystkich funkcji i usług, które mają być świadczone przez zewnętrznego dostawcę usług;
- wskazanie lokalizacji, w których świadczone będą funkcje i usługi, a także to, gdzie przetwarzane będą dane;
- postanowienia w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych oraz gwarancje dostępu, odzyskiwania i zwrotu w przypadku awarii zewnętrznych dostawców usług ICT;
- pełne opisy poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności;
- okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT;
- obowiązek zapewnienia przez zewnętrznego dostawcę usług ICT pomocy w przypadku incydentu związanego z ICT, bez dodatkowych opłat;
- prawo do monitorowania na bieżąco wyników osiąganych przez zewnętrznego dostawcę usług ICT);
- prawa do odstąpienia od umowy i związany z nimi minimalny okres wypowiedzenia umowy, a także strategie wyjścia.
Czy nowe obostrzenia, jakie DORA narzuca względem umów, będą powodem do zakończenia obecnie trwających działań lub niepodejmowania nowych współprac w przyszłości? Biorąc pod uwagę wcześniej opisane problemy umowne, jakie według rozporządzania dotykają sektor finansowy, można by się tego spodziewać. Do tej pory była to kwestia uzgodnienia warunków między partnerami, ale w chwili wejścia nowych przepisów w życie, dostawcy usług ICT albo zaakceptują narzucone obowiązki i przeformatują obecne umowy, albo instytucje finansowe będą musiały zakończyć z nimi współpracę (lub odrzucić je na starcie poszukiwań).
„Jako Software House doświadczony we współpracy z branżą finansową nie widzimy zagrożeń w nowych wytycznych dotyczących umów i respektowania praw podmiotów finansowych do audytu, kontroli i oceny zagrożeń, jakie wynikają z prowadzonej współpracy. Pracując przy systemach bankowych i ubezpieczeniowych, większość z wyżej wymienionych elementów już wcześniej regulowana była umowami, a ewentualne uzupełnienie zapisów o wytyczne wynikające z DORA nie powinno stanowić problemu w przyszłości”.
Piotr Pisarek
Head of PMO Team w Altkom Software
DORA a ISO 27001
Rozporządzenie DORA nakładać będzie na firmy z sektora finansowego obowiązki, których celem ma być skuteczniejsze i bardziej świadome zarządzanie ryzykiem związanym z ICT. Nowe wytyczne obejmują w szczególności takie aspekty jak testowanie operacyjnej odporności cyfrowej i zarządzanie ryzykiem ze strony zewnętrznych dostawców usług. A ponieważ podmioty finansowe będą cały czas odpowiedzialne za wypełnianie obowiązków wynikających z DORA, muszą mieć pewność, że ich dostawcy również będą stosować się do wytycznych i zapewniać odpowiedni poziom bezpieczeństwa cyfrowego.
Niewątpliwie jednym z elementów takiego podejścia jest zapewnienie bezpieczeństwa informacji. Wiele firm technologicznych (i nie tylko) już od kilku lat świadomie inwestuje w ochronę zasobów informacyjnych i odpowiednie mechanizmy kontroli. Gwarancją takich działań jest wdrożenie międzynarodowej normy ISO 27001 (lub ISO/IEC 27001). Norma określa wymagania odnośnie ustanowienia, wdrożenia, utrzymania oraz ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Zawiera również wytyczne, w jaki sposób szacować i postępować w obliczu ryzyka związanego z bezpieczeństwem zasobów informacyjnych.
W momencie wejścia w życie DORA dostawcy ICT posiadający certyfikat ISO 27001 mogą być pierwszym wyborem dla firm z sektora finansowego. Jest to potwierdzenie, że dostawca sprawuje nadzór nad procesami przetwarzania informacji oraz jest przygotowany na działanie w obliczu wystąpienia incydentu bezpieczeństwa.
Wdrożenie normy ISO 27001 daje gwarancję, że organizacja odpowiednio zidentyfikowała zagrożenia związane z bezpieczeństwem informacji oraz wprowadziła odpowiednie środki zapobiegawcze. Dla sektora finansowego jest to potwierdzenie, że partner spełnia ich wymagania prawne, a aktywa informacyjne są dobrze chronione.
DORA a chmura obliczeniowa
W przypadku regulacji prawnych zawsze najwięcej nieścisłości i wątpliwości dotyczy usług chmurowych. Specyfika chmury obliczeniowej zakłada jej rozproszony charakter, a więc nastręcza trudności z dokładnym zdefiniowaniem miejsca, w którym przetwarzane są dane osobowe. Mimo to bankowość i inne gałęzie sektora finansowego już teraz w dużej mierze działają w chmurze, a z wypowiedzi członków zarządu różnych firm i instytucji wynika, że branża wiąże z nią dalszą przyszłość.
W obliczu nowych przepisów warto przyjrzeć się oficjalnym stanowiskom, jakie odnośnie DORA zajmują najwięksi dostarczyciele publicznych usług chmurowych. Swoje oświadczenia wydały zarówno AWS Cloud, Google Cloud oraz Azure Cloud i w każdym z nich znajdziemy zapewnienia, że usługi chmurowe zgodne są z wytycznymi bezpieczeństwa, jakie narzucać będzie DORA. Jak wynika z tekstów, każdy z dostawców pozytywnie ocenia założenia, jakie stoją za rozporządzeniem, dopatrując się w nim szansy na przyspieszenie cyfryzacji sektora finansowego UE oraz poprawy odporności cyfrowej dla tego regionu.
Zarówno AWS, jak i również Azure i Google Cloud podkreślają, że ich infrastruktura oraz dostarczane narzędzia gotowe są wspierać sektor finansowy, a umowy dostosowane są do specyficznych potrzeb przedsiębiorstw z tej branży, łącznie z możliwościami audytów i kontroli regulacyjnych.
Nad polskim sektorem finansowym kontrolę sprawuje UKNF (Urząd Komisji Nadzoru Finansowego), który w 2020 roku wydał specjalny Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Dokument ściśle określa zasady, na jakich sektor finansowy może korzystać z usług chmurowych, nie blokując dalszego rozwoju w tym kierunku, a raczej wytyczając regulacje dotyczące nadzoru i bezpieczeństwa świadczonych usług. Zapiski w dużej mierze pokrywają się z założeniami DORA (także w kwestii zawierania umów), co na pewno ułatwi polskim firmom z sektora finansowego, jak ich technologicznym partnerom dostosowanie się do nowych przepisów.
DORA a wybór dostawcy ICT
Z punktu widzenia biznesu, po wejściu rozporządzenia DORA w życie, jednym z ważniejszych aspektów w zakresie outsourcowania usług ICT będzie wybór zaufanego i doświadczonego partnera. Część firm technologicznych może nie być gotowych na wymogi, jakie DORA postawi przed branżą finansową lub być nieświadomym obowiązków wynikających z rozporządzenia.
Dlatego jeżeli w najbliższej przyszłości planujesz skorzystać ze wsparcia w zakresie tworzenia, rozwoju czy utrzymania systemów i aplikacji lub (w tym aplikacji cloud-native i innych usług chmurowych), pamiętaj, aby zwrócić uwagę czy Twój potencjalny partner posiada:
- Wdrożoną normę ISO 27001,
- Wcześniejsze doświadczenie we współpracy z branżą finansową,
- Certyfikaty partnerskie dostawców usług chmurowych,
- Indywidualnie przygotowywane umowy, uwzględniające możliwości audytu i kontroli.