Uwaga, nadchodzi DORA. Czy wstrząśnie sektorem finansowym?
Czy rok 2022 przyniesie zmiany w zakresie bezpieczeństwa operacyjnego instytucji finansowych, przenosząc cały ciężar odpowiedzialności na zarząd tych organizacji? Wszystko wskazuje na to, że wielkimi krokami zbliża się do nas DORA, czyli Digital Operation Resilience Act — jedna z inicjatyw regulacyjnych, ogłoszona przy okazji opublikowanej we wrześniu 2020 roku unijnej strategii finansów cyfrowych. Projekt rozporządzenia zakłada utworzenie solidnych fundamentów pod budowę bezpiecznego i stabilnego sektora finansowego w UE, szczególnie biorąc pod uwagę najnowsze kierunki rozwoju firm i instytucji z tego zakresu.
Kogo dotyczy rozporządzenie DORA?
W ogromnym uproszczeniu DORA skierowana jest do sektora finansowego. Swoim zasięgiem rozporządzenie obejmuje zarówno tych bardziej klasycznych przedstawicieli (banki, instytucje płatnicze i kredytowe, firmy ubezpieczeniowe, inwestycyjne czy instytucje pieniądza elektronicznego), jak również mniej oczywiste podmioty: dostawców usług w zakresie kryptoaktywów, udostępniania informacji, finansowania społecznościowego czy repozytoriów sekurytyzacji.
Tak szeroki zasięg uwzględnia jednak pewne wyjątki. O ile główne wytyczne dotyczą ogółu instytucji finansowych, to nie wszystkie przedsiębiorstwa zobligowane będą do przestrzegania zasad w takim samym zakresie. Rozmiar i charakter firmy czy instytucji ma w tym przypadku znaczenie – mniejsze podmioty ocenione zostały jako mniej narażone na ryzyko cyfrowe, tym samym część obowiązków wynikających z DORA zobowiązane pełnić będą w mniejszym stopniu lub wcale. Tylko największe instytucje finansowe zmierzą się z najbardziej skomplikowanymi wytycznymi, m.in. przeprowadzeniem złożonych analiz ryzyka czy prowadzeniem zaawansowanych testów penetracyjnych.
Czym jest tytułowa „operacyjna odporność cyfrowa”?
Już w samej nazwie dokumentu pada sformułowanie: „ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie operacyjnej odporności cyfrowej sektora finansowego […]”. Tylko czym właściwie jest ta cyfrowa odporność? W rozporządzeniu znajdziemy dokładną definicję:
„Operacyjna odporność cyfrowa oznacza zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość”.
W podstawowym ujęciu chodzi o możliwość zagwarantowania ciągłości i jakości usług świadczonych przez podmioty z sektora finansowego w obliczu zagrożeń czy zakłóceń, jakie wiążą się z użytkowaniem technologii informacyjnych i telekomunikacyjnych. W jeszcze większym uproszczeniu: jeżeli instytucja finansowa, np. bank, udostępnia swoim klientom możliwość przelewów mobilnych przez aplikację, musi również wziąć na siebie pełną odpowiedzialność za bezpieczeństwo tych transakcji.
Jaki jest główny cel DORA?
Pandemia COVID-19 pokazała, że postępująca digitalizacja branży finansowej jest z jednej strony koniecznością, z drugiej niesie za sobą szereg zagrożeń. Nowe technologie informacyjno-komunikacyjne (ICT, Information and Communication Technologies) narażone są na zakłócenia i ataki cyfrowe, co w sektorze finansowym może mieć szczególnie dotkliwe konsekwencje. Głównym celem rozporządzenia DORA jest minimalizacja ryzyka, stworzenie efektywnych mechanizmów obronnych oraz wzmocnienie nadzoru nad dostawcami usług w zakresie ICT.
„Skutków cyberprzestępczości doświadczyła w 2020 roku większość (64%) polskich firm.
Co więcej, w minionym roku wzrost lub znaczący wzrost liczby prób cyberataków zanotowało 19% firm w Polsce […]”.
Źródło: Raport KPMG w Polsce „Barometr cyberbezpieczeństwa. COVID-19 przyspiesza cyfryzację firm”.
Do tej pory rynki europejskie regulowały problematykę zagrożeń sieciowych na poziomie przepisów państwowych, co biorąc pod uwagę skalę i tempo zmian, okazało się niewystarczające a czasem wręcz uniemożliwiające działanie — niektóre ramy regulacyjne są wewnętrznie sprzeczne. Niespójność wymogów prawnych utrudnia współpracę na poziomie międzynarodowym, opóźnia działania oraz naraża instytucje finansowe na zwiększone koszty związane z procesami zapewnienia zgodności z lokalnym prawem. Dlatego zadaniem DORA jest również usprawnić i zaktualizować istniejące przepisy dotyczące zarządzania ICT oraz związanym z tym ryzykiem na skalę europejską.
Kluczowe aspekty rozporządzenia
Unijne rozporządzenie kieruje do firm z sektora finansowego cztery kluczowe wytyczne, obejmujące największe zmiany w zakresie polityki cyfrowego bezpieczeństwa operacyjnego:
- Zarządzanie ryzykiem w zakresie ICT
- Raportowanie incydentów bezpieczeństwa
- Testowanie odporności operacyjnej
- Relacje z zewnętrznymi dostawcami usług ICT
DORA a nowa rola zarządu
Z punktu widzenia firm i instytucji finansowych, jedną z najważniejszych zmian wprowadzonych przez DORA będzie zasada odpowiedzialności zarządu za cyfrowe bezpieczeństwo operacyjne. Od momentu wejścia w życie nowego rozporządzenia, firmy będą odpowiedzialne nie tylko za utworzenie odpowiedniej rezerwy finansowej na wypadek incydentów bezpieczeństwa, ale również za spełnianie ścisłych wytycznych, których realizacji dopilnować będzie musiał zarząd.
Firmy z sektora finansowego zobowiązane zostaną między innymi do:
- Tworzenia i utrzymywania cyberbezpiecznych systemów ICT;
- Tworzenia planów działania oraz polityki zabezpieczania danych na wypadek zakłóceń w zakresie ICT;
- Posiadania odpowiednio przeszkolonych pracowników w zakresie ochrony i zabezpieczenia ICT.
DORA a dostawcy usług ICT
Relacja firm z sektora finansowego a dostawcami usług ICT, to jedna z największych i najdokładniej rozpisanych zmian, jakie DORA wprowadzi w kolejnych latach. Rozporządzenie obliguje firmy do monitorowania ryzyka związanego z wykorzystywaniem technologii komunikacyjno-informacyjnych w obrębie ich przedsiębiorstwa, także w przypadku, kiedy usługi czy oprogramowanie dostarczone zostało przez podmioty zewnętrzne.
Oznacza to, że instytucje z sektora finansowego korzystające np. z usług zewnętrznego software developmentu będą musiały już na etapie wyboru dostawcy i podpisania umowy ocenić ryzyko związane z bezpieczeństwem, a następnie przez cały okres współpracy dopełniać szeregu obowiązków wynikających z rozporządzenia (np. co roczne informowanie odpowiednich organów nadzoru o tym, jakie usługi i funkcje i w jakim zakresie, wspierane są przez zewnętrznych dostawców).
Z punktu widzenia software house’ów do tej pory współpracujących ściśle z branżą finansową — takich jak choćby Altkom Software & Consulting — znajomość przepisów DORA i zapewnienie partnerów biznesowych, że jest się gotowym do działania w nowej rzeczywistości, jest kluczowym zadaniem w nadchodzącym roku. Musimy pokazać, że w dalszym ciągu możemy tworzyć dla nich bezpieczne i biznesowo wydajne systemy i aplikacje.
Innym ciekawym aspektem rozporządzenia DORA jest również zwrócenie uwagi na możliwość otwartej wymiany informacji i danych wywiadowczych w temacie cyberzagrożeń pomiędzy instytucjami finansowymi. Jest to szansa na zwiększenie odporności cyfrowej, ale sama inicjatywa wymagać będzie odpowiednich zgód i dodatkowych regulacji prawnych.
Kiedy DORA wchodzi w życie?
Obecnie prace nad rozporządzeniem wciąż trwają. Rozmowy toczą się w Parlamencie Europejskim i Radzie UE, ale istnieją przesłanki, że finalny tekst opublikowany zostanie już pierwszym kwartale 2022 roku. Oczywiście nie oznacza to, że wszystkie regulacje wejdą w życie w momencie publikacji DORA. Podmioty z sektora finansowego otrzymają od roku do półtora na dostosowanie się do nowych wymagań, niemniej jednak w najbliższym czasie szykują się zmiany, które w sposób trwały zmienią nasze podejście do zarządzania bezpieczeństwem.
DORA będzie wyzwaniem nie tylko dla podmiotów z sektora finansowego, ale również dla dostawców oprogramowania i nowych technologii.
Jesteśmy DORA-gotowi!
Przeczytaj więcej na ten temat
