Rozporządzenie DORA wchodzi w życie na początku 2025 roku. Czasu na wdrożenie zostało niewiele, o czym przypomniał niedawno podmiot nadzorujący (KNF), kierując do części z objętych rozporządzeniem podmiotów finansowych ankiety mierzące aktualny poziom zgodności. Trwają również prace nad ustawą wdrażającą DORA do polskiego systemu pranego, w niezbędnym zakresie.
Podstawowym celem rozporządzenia DORA jest wzmocnienie odporności cyfrowej europejskiego sektora finansowego na stale rosnące zagrożenia dla cyberbezpieczeństwa. DORA nie jest pierwszą regulacją w tym obszarze, ale pierwszą o tak szerokim zakresie podmiotowym (kategorii podmiotów objętych regulacją), jak i przedmiotowym (szerokości i szczegółowości obowiązków).
Ustawodawca europejski dostrzegł zarówno brak należytych i wystarczających wymogów regulacyjnych w tym obszarze, jak i duże rozdrobnienie i zróżnicowanie lokalnych i dotychczasowych europejskich regulacji. Efektem jest bezpośrednio stosowalne rozporządzenie, harmonizujące ten obszar na terytorium UE dla większości sektora finansowego.
Gotowość rynku na DORA i kluczowe wyzwania
Rozporządzenie wprowadza m.in. obowiązki związane z identyfikacją i zarządzaniem ryzykiem ICT, raportowaniem incydentów, testowaniem odporności oraz zarządzaniem ryzykiem związanym z dostawcami zewnętrznymi. W istotnej mierze DORA opisuje ramowy system zarządzania bezpieczeństwem informacji, znany ze standardów takich jak chociażby ISO 27001. Żeby nie było tak łatwo, w rozporządzeniu znajdziemy jednak sporo więcej elementów i specyficznych obowiązków, „własnych pomysłów” i definicji mających kluczowe znaczenie dla zakresu obowiązków i wdrożenia.
Ostatecznie jednak, oparcie DORA na klasycznych standardach sprawia, że nie istnieją organizacje, które przynajmniej w jakimś stopniu nie byłyby zgodne z DORA- zwłaszcza, jeżeli mówimy o sektorze finansowym, naturalnie narażonym na cyberataki i inne cyberzagrożenia. Gotowość na DORA wydaje się jednak zróżnicowana w zależności od kategorii podmiotu, z którym mamy do czynienia.
Banki wydają się być najlepiej przygotowane na wdrożenie rozporządzenia DORA. Od lat najbardziej narażone są na cyberzagrożenia i pozostają w czołówce podmiotów, których wydatki na zapewnienie cyberbezpieczeństwa są największe. Nie należy tu również zapominać o dotychczasowych regulacjach tego obszaru. To właśnie w sektorze bankowym było ich najwięcej, a zgodność z nimi była najbardziej intensywnie weryfikowana przez organy nadzoru. Z drugiej strony, wraz ze wzrostem rozmiaru i skomplikowania działalności rośnie nam również poziom skomplikowania i złożoności funkcji, systemów, zasobów, łańcuchów dostawców etc. Kategoryzacja systemów i dostawców, inwentaryzacja zasobów, wykazanie w sposób rozliczalny spełniania obowiązków – to wszystko zagadnienia, w których większym organizacjom, takim jak banki, może być trudniej.
Pośrednią kategorią mogą być podmioty, które z racji skali działalności dysponują często budżetami i zasobami nie gorszymi niż banki, jednak z uwagi na mniejszą ekspozycję na cyberzagrożenia, nie mają tak silnej pozycji wyjściowej. Innymi słowy, mogą być zobowiązane do nieco większego wysiłku w zakresie wdrożenia konkretnych rozwiązań, narzędzi i procesów. Do tej kategorii mogą należeć chociażby ubezpieczyciele. Największym wyzwaniem DORA może stać się dla mniejszych instytucji finansowych, takich jak instytucje płatnicze, czy SKOK-i. Realne nakłady inwestycyjne mogą okazać się tu proporcjonalnie najwyższe.
No właśnie – proporcjonalność. Rozporządzenie przewiduje ogólną zasadę dostosowania wymogów do wielkości i złożoności podmiotu – zasada proporcjonalności. Należy jednak z tej instytucji korzystać z dużą ostrożnością. Granica między dostosowaniem intensywności stosowania obowiązku, a brakiem realizacji obowiązku w ogóle niejednokrotnie może być bardzo cienka.
Nie należy również zapominać o dostawcach usług ICT. Teoretycznie do dostawców usług ICT, innych niż kluczowi, wyznaczeni przez właściwe organy nadzoru, DORA się nie stosuje. Szereg obowiązków standardowo zostanie jednak przerzucony na dostawców przez podmioty finansowe – czyli ich klientów. Tymczasem, wśród dostawców rozwiązań ICT z gotowością na DORA jest bardzo różnie. Dostawcy usług ICT muszą być jednak świadomi, że wcześniej czy później podmioty finansowe o tę zgodność będą pytać.
Wdrożenie DORA
Choć, jak wskazaliśmy wcześniej, DORA oparta jest w istotnej mierze na powszechnie znanych standardach normatywnych bezpieczeństwa informacji, to w rozporządzeniu tym nie brakuje specyficznych postanowień i obowiązków, właściwych tej regulacji. Innymi słowy, zgodność wewnętrznego systemu zarządzania bezpieczeństwem informacji z takimi standardami, jak ISO 27001, czy właściwe normy NIST, nie zapewnia jeszcze zgodności z DORA.
Podobnie z innymi prawnymi i pozaprawnymi, dotychczasowymi regulacjami cyberbezpieczeństwa. Wystarczy spojrzeć na siatkę definicyjną DORA – pojęcie usługi ICT, kluczowej lub istotnej funkcji etc. Od prawidłowej interpretacji, implementacji, a następnie inwentaryzacji opartej na powyższych, zależy w sporym stopniu powodzenia wdrożenia DORA. A te pojęcia nie mapują się 1:1 na dotychczasowe regulacje.
Nadzorca w ramach prowadzonej działalności edukacyjnej na rynku wydaje się zwracać szczególną uwagę na niektóre z obowiązków wynikających z DORA: dostępy do aktywów, zarządzanie uprawnieniami, redundancja zasobów ludzkich i komputerowych, cykliczne przeglądy uprawnień, aktualizacja planów ciągłości działania i ich rzeczywiste testowanie, a także skuteczny monitoring zasobów i zarządzanie incydentami. Nie zapominajmy również o dokumentacji, związanej chociażby z klasyfikacją ryzyka, inwentaryzacją aktywów, czy rejestrem dostawców.
Ostatecznie, wiele z obowiązków sformułowanych jest w DORA dość generycznie. W szczególności, w zakresie technicznych narzędzi i faktycznych procesów zapewniających realizację poszczególnych mechanizmów kontrolnych. To od podmiotów finansowych zależy jak i jakimi nakładami te obowiązki spełnią. W myśl postanowień DORA, decyzje w tym zakresie powinny być podparte właściwą i udokumentowaną analizą ryzyka. Pamiętajmy, że nadzór będzie miał również własne zapatrywania na sposób realizacji poszczególnych obowiązków.
Do wejścia w życie regulacji pozostało niewiele czasu. Aktywność KNF w tym obszarze wskazuje, że organ nie będzie zwlekał z weryfikacją zgodności podmiotów finansowych z regulacją. Wstępna weryfikacja może opierać się na podstawowych dokumentach zgodności i nic nie stoi na przeszkodzie, aby podmioty finansowe zostały poproszone o wykazanie zgodności już w styczniu 2025 lub nawet wcześniej. Dlatego warto już teraz rozpocząć ich opracowywanie lub aktualizację. Podobnie, jak „projekt DORA” w organizacji w ogóle.
Michał Ćwiakowski – Adwokat, GP Partners
Maciej Cieśla – Ekspert ds. cyberbezpieczeństwa, Bersec LTD
