Cyberbezpieczeństwo
Czym jest rozporządzenie DORA, czyli o czekającej sektor finansowy zmianie w obszarze cyberbezpieczeństwa
W związku z dynamicznym rozwojem tego sektora, w ostatnim czasie w Unii Europejskiej odnotowano wzrost cyberataków na instytucje finansowe. Między innymi z tego powodu opracowany został projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014 oraz (UE) nr 909/2014 („DORA”).
Próby zaadresowania zagadnienia ryzyka związanego z ICT były podejmowane zarówno przez państwa członkowskie, jak i organy unijne. Proponowane rozwiązania regulowały problematykę ICT jedynie szczątkowo i były zbyt ogólne pozostawiając organom krajowym dużą swobodę interpretacji. Brak jednolitej polityki w tym zakresie doprowadził do niespójności wymogów prawnych oraz powielania się przepisów w prawie unijnym i w porządkach krajowych. Instytucje finansowe operujące transgranicznie narażone są w związku z tym na ryzyka związane z koniecznością uwzględniania odmiennych regulacji w zależności od rodzaju działalności oraz lokalnych wymogów w zakresie ICT. Przekłada się to przede wszystkim na wysokie koszty związane z administracją oraz procesami zapewnienia zgodności z przepisami prawa (Compliance).
Cel, uzasadnienie i zakres podmiotowy
DORA usprawnia i aktualizuje istniejące przepisy dotyczące zarządzania ICT, zarządzania ryzykami związanymi z ICT oraz zgłaszania incydentów związanych z ICT. Ponadto wprowadza nowe regulacje w miejscu istniejących luk, w szczególności w odniesieniu do testowania operacyjnej odporności cyfrowej, wymiany informacji i zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. DORA przyznaje także odpowiednie uprawnienia organom nadzoru finansowego w zakresie kontroli zgodności z obowiązkami wynikającymi z projektowanego rozporządzenia.
Zakres podmiotowy DORA jest bardzo szeroki. Obejmuje katalog 20 rodzajów regulowanych podmiotów sektora finansowego („Podmioty Finansowe”). Obok „klasycznych” przedstawicieli – jak banki, instytucje kredytowe, płatnicze i firmy inwestycyjne – DORA obejmuje zasięgiem także m.in. dostawców usług opartych o krypto-aktywa, dostawców usług w zakresie udostępniania informacji oraz platformy crowdfundingowe – dostawców usług finansowania społecznościowego.
Zakres podmiotowy DORA jest bardzo szeroki. Obejmuje katalog 20 rodzajów regulowanych podmiotów sektora finansowego. Obok „klasycznych” przedstawicieli – jak banki, instytucje kredytowe, płatnicze i firmy inwestycyjne – DORA obejmuje zasięgiem także m.in. dostawców usług opartych o krypto-aktywa, dostawców usług w zakresie udostępniania informacji oraz platformy crowdfundingowe – dostawców usług finansowania społecznościowego.
DORA – w podejściu do podmiotów objętych swoim zasięgiem – kieruje się zasadą proporcjonalności. Podmioty finansowe zakwalifikowane jako mikroprzedsiębiorcy część obowiązków wynikających z DORA zobowiązane są spełnić w mniejszym stopniu, a z części są całkowicie zwolnione.
Odpowiedzialność zarządu jako zasada nadrzędna
Nadrzędną zasadą wprowadzaną w tym zakresie jest pełna odpowiedzialność organu zarządzającego za określenie, zatwierdzenie, wdrożenie i nadzorowanie ram zarządzania ryzykiem związanym z ICT. Przejawia się to w szczególności w obowiązku opracowania i zatwierdzenia odpowiednich polityk, ustalenia ról i obowiązków związanych z ICT, określenia poziomu tolerancji ryzyka związanego z ICT, zatwierdzenia planów audytu oraz kontrolowania ustaleń dotyczących zewnętrznych dostawców usług ICT.
Na członków organu zarządzającego danym podmiotem finansowym DORA nakłada obowiązek podnoszenia i aktualizowania wiedzy i umiejętności. Powinny być na poziomie wystarczającym do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na działalność podmiotu finansowego.
Zarządzanie ryzykiem związanym z ICT
Podmioty Finansowe zobowiązane są do ciągłej identyfikacji wszystkich źródeł ryzyka ICT, do ustanowienia odpowiednich środków ochrony i zapobiegania oraz do szybkiego wykrywania nietypowych działań i problemów związanych z wydajnością sieci ICT. DORA nakłada obowiązek wprowadzenia przez Podmioty Finansowe polityki ciągłości działania w zakresie ICT oraz planów awaryjnych i planów przywrócenia gotowości do pracy po wystąpieniu nadzwyczajnych sytuacji w zakresie ICT.
Podmioty finansowe zobowiązane są także do dysponowania odpowiednim pod względem liczebności i kwalifikacji personelem, który umożliwi gromadzenie informacji na temat luk oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków. Personel powinien także przeprowadzić analizę potencjalnego wpływu cyberataków na operacyjną odporność cyfrową danego podmiotu.
Zgłaszanie incydentów związanych z ICT
DORA zobowiązuje Podmioty Finansowe do wdrożenia procesów wykrywania i zarządzania incydentami związanymi z ICT. Incydenty muszą zostać poddane klasyfikacji w oparciu o kryteria wyszczególnione w projektowanym rozporządzeniu (m.in. liczbę kontrahentów, których dotknęło zakłócenie spowodowane incydentem, czas trwania incydentu, czy krytyczność usług, których dotyczy incydent).
Każdy z Podmiotów Finansowych objętych zasięgiem DORA musi posiadać program testowania operacyjnej odporności cyfrowej. Ma on ocenić gotowość danego podmiotu na incydenty związane z ICT albo wskazać braki lub słabe punkty tej odporności. Zgodnie z propozycją, program ma obejmować szereg ocen, testów, metodyk, praktyk i innych narzędzi przydatnych do oceny. Podmioty Finansowe, co najmniej raz w roku powinny przeprowadzić testy wszystkich kluczowych systemów i aplikacji ICT.
W przypadku wystąpienia poważnego incydentu związanego z ICT, Podmioty Finansowe powinny zgłosić ten fakt odpowiedniemu organowi nadzoru (trwają jeszcze prace na wskazaniem odpowiedniego organu) oraz swoim użytkownikom lub klientom wraz z informacją o podjętych w tej sprawie krokach. W przypadku każdorazowego poważnego incydentu, Podmioty Finansowe powinny opracować wstępne, śródokresowe oraz końcowe sprawozdanie.
Nowe podejście do testowania
Każdy z Podmiotów Finansowych objętych zasięgiem DORA musi posiadać program testowania operacyjnej odporności cyfrowej. Ma on ocenić gotowość danego podmiotu na incydenty związane z ICT albo wskazać braki lub słabe punkty tej odporności. Zgodnie z propozycją, program ma obejmować szereg ocen, testów, metodyk, praktyk i innych narzędzi przydatnych do oceny. Podmioty Finansowe, co najmniej raz w roku powinny przeprowadzić testy wszystkich kluczowych systemów i aplikacji ICT.
Dodatkowo, Podmioty Finansowe uznane przez odpowiedni organ nadzorczy za znaczący ma obowiązek przeprowadzenia co najmniej raz na trzy lata zaawansowanych testów za pomocą testów penetracyjnych pod kątem wyszukiwania zagrożeń.
Dostawcy IT – nowy rozdział w relacjach z sektorem finansowym
DORA definiuje zewnętrznych dostawców usług ICT jako przedsiębiorstwa świadczące usługi cyfrowe i usługi w zakresie danych, w tym dostawców usług w chmurze, oprogramowania, usług analizy danych i ośrodków przetwarzania danych. DORA reguluje kluczowe elementy relacji z dostawcami usług ICT na wszystkich etapach ustaleń umownych. Podmioty finansowe pozostają przez cały czas odpowiedzialne za wypełnianie obowiązków wynikających z DORA oraz przepisów dotyczących usług finansowych.
Warto wskazać, że umowa pomiędzy Podmiotem Finansowych a dostawcą usług ICT powinna zawierać kompleksowy opis funkcji i usług, które są przedmiotem danej umowy, wskazanie lokalizacji i sposobu przekazywania danych oraz informacje dotyczące dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych. W umowie powinny być określone także okresy wypowiedzenia, obowiązki sprawozdawcze dostawców, wyraźnie wskazane prawa do rozwiązania umowy oraz specjalne strategie wyjścia.
Kluczowy zewnętrzny dostawca usług ICT
Zgodnie z projektem, Europejskie Urzędy Nadzoru (EUNB, ESMA, EIOPA) na podstawie określonych w DORA kryteriach, wyznaczają zewnętrznych dostawców ICT, którzy mają kluczowe znaczenie dla podmiotów finansowych. Jednocześnie organ nadzoru przyjmuje indywidualny plan nadzoru dla każdego z kluczowych dostawców.
Zgodnie z projektem, Europejskie Urzędy Nadzoru (EUNB, ESMA, EIOPA) na podstawie określonych w DORA kryteriach, wyznaczają zewnętrznych dostawców ICT, którzy mają kluczowe znaczenie dla podmiotów finansowych. Jednocześnie organ nadzoru przyjmuje indywidualny plan nadzoru dla każdego z kluczowych dostawców. Projekt zawiera zastrzeżenie, które wskazuje, że Podmioty Finansowe nie mogą korzystać z usług zewnętrznego dostawcy usług ICT mającego siedzibę w państwie trzecim, jeżeli zostałby wyznaczony jako kluczowy dostawca, gdyby miał siedzibę w Unii Europejskiej.
Projekt zawiera zastrzeżenie, które wskazuje, że Podmioty Finansowe nie mogą korzystać z usług zewnętrznego dostawcy usług ICT mającego siedzibę w państwie trzecim, jeżeli zostałby wyznaczony jako kluczowy dostawca, gdyby miał siedzibę w Unii Europejskiej. Takie postanowienie znacząco ogranicza możliwość świadczenia usług przez dużych dostawców spoza Unii Europejskiej.
Kary pieniężne
DORA przyznaje organowi nadzorczemu możliwość nałożenia na kluczowego zewnętrznego dostawcę usług ICT karę pieniężną w wysokości 1% średniego dziennego światowego obrotu takiego dostawcy w poprzedzającym roku obrotowym za każdy dzień niezachowania zgodności z określonymi w DORA wymaganiami. Kara może zostać także nałożona w przypadku, gdy kluczowy dostawca – w odpowiedzi na wezwanie – udzieli organowi nadzoru niekompletnej informacji lub gdy nie podda się kontroli organu nadzoru.
Należy pamiętać, że DORA to dopiero propozycja i wciąż trwają pracę nad jej ostatecznym kształtem. Pewne jest, że zapoznanie się oraz zapewnienie zgodności z określonymi wymogami będzie czasochłonne. Jednakże Podmioty Finansowe objęte zasięgiem DORA, już teraz – w oparciu o tekst opublikowanego projektu – mogą podjąć pewne kroki, dzięki którym sprawniej będzie można sfinalizować proces uzyskania zgodności z DORA. Podmioty Finansowe mogą m.in.: dokonać wstępnej analizy warunków uznania za podmiot „znaczący”, czy chociażby przeanalizować obowiązujące wewnętrzne strategie, plany reagowania i odzyskiwania danych pod kątem potencjalnej zgodności z DORA.
DORA jest kolejnym krokiem do stworzenia jednolitego rynku cyfrowego usług finansowych. Stworzenie kompleksowych i ujednoliconych ram prawnych na poziomie UE oraz dostęp organu nadzoru do informacji o incydentach związanych z ICT z pewnością pozwoli na stopniowe zwiększanie bezpieczeństwa oraz odporności na zagrożenia związane z ICT.
Maciej Kuranc, Associate, Bartłomiej Galos, Paralegal i Łukasz Węgrzyn, Partner, Kochański & Partners