Hello, DORA. Jak wygląda gotowość sektora finansowego na wdrożenie? 

Zważywszy na rosnące zagrożenia cybernetyczne, znaczenie stabilności operacyjnej dla instytucji finansowych a także niedługi czas na dostosowanie się instytucji do Digital Operational Resilience Act (DORA) – niezwykle istotne jest ocenić aktualny stan przygotowania sektora do tej zmiany. Jako dyrektor Biura Wsparcia Audytów i Zarządzania Lukami Cyberbezpieczeństwa w jednym z czołowych banków, chciałbym podzielić się obserwacjami na temat gotowości sektora finansowego do spełnienia wymogów tej regulacji.

Podmioty sektora finansowego znajdują się obecnie na różnych etapach dostosowywania się do wymogów DORA. Proces ten jest złożony i wymagający, jednak sprawiedliwie obejmuje zarówno duże międzynarodowe banki, jak i mniejsze instytucje finansowe. Można natomiast zaobserwować znaczne zróżnicowanie podejścia i działań, jakie podejmują te organizacje – stosownie do zasobów oraz specyfiki działalności.

Etap dostosowania: gros sektora po lub w trakcie analiz

W naszym banku, podobnie jak w wielu innych dużych instytucjach finansowych, z pewnym wyprzedzeniem rozpoczęliśmy szczegółową analizę istniejących systemów i procesów, aby zidentyfikować luki w zgodności z nowymi regulacjami. Prace te obejmują nie tylko audyty infrastruktury IT oraz procedury zarządzania ryzykiem, co pozwala na zidentyfikowanie obszarów wymagających ulepszeń. Badamy pod kątem docelowej zgodności także inne, pozainformatyczne obszary działalności banku.

Podobnie jak my, wiele dużych banków jest w zaawansowanej fazie audytów i wstępnych wdrożeń. Banki te przeprowadziły już szczegółowe oceny ryzyka operacyjnego oraz audyty bezpieczeństwa systemów IT, co pomogło zidentyfikować potrzebę modernizacji systemów zarządzania incydentami cybernetycznymi oraz wzmocnienia procedur monitorowania bezpieczeństwa.

Z moich obserwacji wynika natomiast, że małe i średnie instytucje finansowe także stają przed tymi wyzwaniami, ale są nieco opóźnione w dostosowywaniu się do wymogów, głównie ze względu na ograniczone zasoby. Ich dostępność to główne, ale nie jedyne wyzwanie w toku dostosowania sektora finansowego do wymogów DORA.

Integracja wymogów i zasobów

W praktyce, największym wyzwaniem jest integracja nowych wymogów z istniejącymi systemami operacyjnymi i procedurami. DORA wymaga przeprowadzania regularnych testów odporności na zagrożenia cybernetyczne, co wiąże się z koniecznością inwestycji w nowe technologie oraz rozwój kompetencji zespołów IT. Wdrożenie zaawansowanych systemów monitorowania, takich jak Security Information and Event Management (SIEM), wymaga znacznych inwestycji finansowych oraz zaawansowanej wiedzy technicznej. Wiele banków zainwestowało już wcześniej w takie systemy, a ich dobre wdrożenie dziś pozwala na skuteczne monitorowanie i reagowanie na incydenty w czasie rzeczywistym – zgodnie z wymogami rozporządzenia. Mniej skuteczne implementacje z pewnością wymagają jednak kalibracji i uzupełnień.

Implementacja DORA wiąże się także z wysokimi kosztami, zarówno finansowymi, jak i ludzkimi. Zakup nowych technologii w zakresie monitorowania i analizy zagrożeń oraz przeprowadzanie regularnych testów penetracyjnych może być obciążające dla budżetów, szczególnie dla mniejszych instytucji finansowych. Ponadto, instytucjonalna potrzeba specjalistycznej wiedzy i doświadczenia w zakresie cyberbezpieczeństwa oznacza konieczność zatrudniania lub szkolenia wysoko wykwalifikowanego personelu. My także musieliśmy skorzystać z zewnętrznych ekspertów do przeprowadzenia audytów bezpieczeństwa. Koszty tych usług nie należą do niskich, ale niezbędne są do zapewnienia zgodności z DORA oraz związanym z tym procesem dokumentacyjnym. Dodatkowo, inwestujemy w programy szkoleniowe dla pracowników, aby zwiększyć ich umiejętności i wiedzę na temat najnowszych zagrożeń cybernetycznych oraz metod ich przeciwdziałania.

Kolejnym wyzwaniem jest utrzymanie zgodności i ciągła aktualizacja systemów oraz procedur zgodnie z nowymi przepisami. DORA wymaga, aby instytucje finansowe przeprowadzały regularne audyty i testy systemów, co oznacza konieczność stałego monitorowania i adaptacji do zmieniających się zagrożeń oraz wymogów regulacyjnych. Duże banki posiadają już systemy monitorowania infrastruktury w czasie rzeczywistym, które umożliwiają śledzenie stanu zgodności oraz szybkie reagowanie na wszelkie niezgodności lub nowe zagrożenia.

Korzyści dla podmiotów, większe dla sektora

Korzyści płynące z dostosowania się do wymogów DORA są znaczące i mogą mieć długoterminowy wpływ na stabilność i reputację instytucji finansowych. Jednym z głównych założeń oraz celów DORA jest zwiększenie odporności operacyjnej na zagrożenia cybernetyczne, co bezpośrednio przekłada się na większą stabilność działalności banków. W praktyce oznacza to mniejsze ryzyko przerw w świadczeniu usług, co jest kluczowe dla utrzymania zaufania klientów.

Zgodność z DORA może również znacząco poprawić reputację instytucji finansowych, pokazując, że dbają one o najwyższe standardy bezpieczeństwa. Dla klientów i partnerów biznesowych, którzy coraz większą wagę przywiązują do bezpieczeństwa danych, zgodność z DORA może stanowić istotny element decydujący o współpracy. Firmy, które mogą wykazać się zgodnością z rygorystycznymi wymaganiami regulacyjnymi, budują zaufanie wśród swoich klientów i partnerów, co przekłada się na lojalność i długotrwałe relacje biznesowe. Komunikacja jakości „certyfikowanej” zgodnością z DORA nie będzie elementem budowania przewagi poszczególnych podmiotów, ale docelowo działa na rzecz całego sektora – w mojej opinii czytelny sygnał powinien zostać w odpowiednim momencie przekazany do naszych klientów.

Lepsze zarządzanie ryzykiem technologicznym, wynikające z dostosowania się do wymogów DORA, prowadzi również do oszczędności wynikających z unikania kosztownych incydentów cybernetycznych. Regularne testy penetracyjne, audyty bezpieczeństwa oraz wdrożenie zaawansowanych narzędzi monitorowania i zarządzania incydentami pozwalają na wczesne wykrywanie i neutralizowanie zagrożeń, minimalizując ryzyko wystąpienia poważnych incydentów. Czy wdrożenie DORA zasługuje na takie szczegółowe oszacowanie, business case w perspektywie 1-3-5 lat? Byłaby to cenna i ciekawa wiedza.

Inwestorzy i partnerzy biznesowi coraz częściej zwracają uwagę na aspekty związane z cyberbezpieczeństwem przy podejmowaniu decyzji inwestycyjnych i strategicznych. Firmy, które mogą wykazać się zgodnością z DORA, mają większe szanse na przyciągnięcie kapitału oraz nawiązanie współpracy z prestiżowymi partnerami biznesowymi. Zgodność z wymaganiami DORA jest postrzegana jako dowód na odpowiedzialne zarządzanie ryzykiem i dbałość o bezpieczeństwo operacyjne, co jest kluczowe w kontekście długoterminowego rozwoju i zrównoważonego wzrostu.

Korelacja: DORA + NIS2 + uKSC

Regulacja DORA jest także ściśle powiązana z dyrektywą NIS2 (Network and Information Systems Directive 2), która ma na celu zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej. DORA uzupełnia ogólne zapisy NIS2, dostosowując je do specyfiki sektora finansowego, co w praktyce oznacza bardziej szczegółowe wytyczne dotyczące zarządzania ryzykiem operacyjnym i cybernetycznym w instytucjach finansowych.

NIS2 koncentruje się na szerokim spektrum sektorów krytycznych, w tym m.in. na sektorze energetycznym czy transportowym, ale także na dostawcach usług cyfrowych. Z kolei DORA skupia się wyłącznie na sektorze finansowym, dostarczając bardziej szczegółowych wytycznych dotyczących zarządzania ryzykiem technologicznym i cybernetycznym. DORA precyzuje także wymagania dotyczące testowania odporności operacyjnej, które są bardziej rygorystyczne i dostosowane do specyfiki działalności finansowej.

Jednocześnie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (uKSC) w Polsce będzie wymagała dodatkowych dostosowań ze strony podmiotów finansowych, aby zapewnić pełną zgodność z wymogami zarówno DORA, jak i NIS2. Polskie banki będą musiały zintegrować wymogi DORA z krajowymi przepisami, co obejmuje przeprowadzenie szeregu dodatkowych czynności, o których mowa powyżej.

Wiele instytucji finansowych na polskim rynku już teraz aktywnie dostosowuje się do wymogów DORA. Zmieniane są regulaminy wewnętrzne, struktury organizacyjne, tworzone są dedykowane zespoły do zarządzania zgodnością z DORA, które monitorują postępy i koordynują działania adaptacyjne. Banki przeprowadzają także regularne audyty systemów IT oraz testy penetracyjne, aby zapewnić ciągłą zgodność z regulacjami.

Jeden z banków z kapitałem zagranicznym zainwestował natomiast w rozwój zaawansowanych systemów zarządzania incydentami oraz w programy szkoleniowe dla personelu. Bank ten wdrożył również nowoczesne technologie do monitorowania i analizowania zagrożeń, co pozwala na skuteczne zarządzanie ryzykiem operacyjnym.

Dostosowanie sektora finansowego do wymogów DORA jest procesem złożonym, ale przynoszącym istotne korzyści. Zwiększona odporność operacyjna, poprawa reputacji oraz lepsze zarządzanie ryzykiem to kluczowe aspekty, które mogą przyczynić się do długoterminowego sukcesu banków. Jednocześnie, ścisła korelacja DORA z NIS2 oraz konieczność dostosowania się do krajowych przepisów, takich jak uKSC, podkreślają wagę kompleksowego podejścia do cyberbezpieczeństwa w sektorze finansowym. Przykłady wiodących oraz kluczowych na polskim rynku banków pokazują, że mimo wyzwań, osiągnięcie zgodności z DORA jest możliwe i korzystne dla całego sektora. Wierzę także, że sektor finansowy jest na dobrej drodze do spełnienia wymogów DORA, co przyczyni się do większej stabilności i bezpieczeństwa całej branży.

Szymon Krupa, dyrektor Biura Wsparcia Audytów i Zarządzania Lukami Cyberbezpieczeństwa PKO Bank Polski, członek zarządu NASK SA.