DOBRE PRAKTYKI Kogo i do czego zobowiązuje DORA?

24 września 2020 roku Komisja Europejska opublikowała Digital Operational Resilience Act (DORA), czyli projekt Rozporządzenia w sprawie operacyjnej odporności na zagrożenia cyfrowe podmiotów sektora finansowego. W zamierzeniu rozporządzenie to ma umożliwić zachowanie i promowanie solidnych standardów zarządzania ryzykiem ICT w instytucjach finansowych w UE, jednocześnie zapewniając wsparcie dla innowacyjności. Kogo i w jakim zakresie mają dotyczyć nowe przepisy?

Kontekst rozporządzenia jest szeroki i odnosi się do ogólnej strategii cyfrowej dla sektora finansów [a1] Unii Europejskiej. Jej celem jest m.in. rozwój konkurencyjności sektora finansowego, wprowadzanie na rynek lepszych produktów oraz wsparcie finansowe europejskiej, w tym także zielonej, gospodarki.Pandemia COVID-19 spowodowała przyspieszenie procesu digitalizacji wielu sektorów. Komisja Europejska, świadoma konieczności cyfrowej transformacji oraz wyzwań, z jakimi muszą mierzyć się m.in. instytucje finansowe, które są szczególnie narażone na zakłócenia i ataki cyfrowe, zaproponowała pakiet rozporządzeń zawierający – obok wniosku DORA – także wnioski rozporządzenia w sprawie rynków kryptoaktywów, systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT), oraz wniosek dotyczący dyrektywy w sprawie wyjaśnienia lub zmiany niektórych powiązanych unijnych przepisów w zakresie usług finansowych. Rozporządzenia te mają na celu minimalizację zagrożeń cyfrowych dla instytucji finansowych oraz zapewnienie im pełnej operacyjnej odporności cyfrowej. Według KE, zagrożenia związane z ICT (information and communications technology) stanowią „wyzwanie dla odporności operacyjnej, wydajności i stabilności unijnego systemu finansowego” UE, a środkom zapobiegawczym wprowadzonym po kryzysie z 2008 roku nie towarzyszyło wypracowanie jednolitych przepisów mających przeciwdziałać cyfrowym zagrożeniom. W latach 2019-2020 Komisja przeprowadziła konsultacje publiczne oraz eksperckie na terenie państw członkowskich, które pomogły opracować ramy postępowania w zakresie ICT – w odniesieniu właśnie do usług finansowych.

Przyjęty przez Komisję wariant strategiczny miałby m.in.:

• zapewniać firmom z sektora MŚP jasność co do przepisów, co ograniczy koszty ich przestrzegania,
• zmniejszyć liczbę i średni koszt incydentów, na czym skorzysta społeczeństwo, dzięki większemu zaufaniu do sektora usług finansowych,
• zachęcać do powszechniejszego stosowania najnowszej generacji infrastruktur i usług ICT, w przypadku których oczekuje się, że staną się bardziej zrównoważone pod względem wpływu na środowisko.

Co istotne, skala obowiązków wynikających z rozporządzenia miałaby być proporcjonalna do wielkości oraz ryzyka powiązanego z działalnością danego podmiotu. Autorzy wniosku zwracają uwagę, że duże firmy już teraz prowadzą politykę cyberbezpieczeństwa w oparciu o międzynarodowe standardy. Nowe standardy zaproponowane przez KE w ramach DORA mają nie odbiegać od tych aktualnie wykorzystywanych, co ma na celu ograniczenie kosztów dostosowania się do unijnych przepisów.

Jak czytamy we wniosku, rozporządzenie obejmie

szereg podmiotów finansowych regulowanych na szczeblu unijnym, a mianowicie instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, dostawców usług w zakresie kryptoaktywów, centralne depozyty papierów wartościowych, kontrahentów centralnych, systemy obrotu, repozytoria transakcji, zarządzających alternatywnymi funduszami inwestycyjnymi i spółki zarządzające, dostawców usług w zakresie udostępniania informacji, zakłady ubezpieczeń i zakłady reasekuracji, pośredników ubezpieczeniowych, instytucje pracowniczych programów emerytalnych, agencje ratingowe, biegłych rewidentów i firmy audytorskie, administratorów kluczowych wskaźników referencyjnych i dostawców usług finansowania społecznościowego.

Do obowiązków takich podmiotów, niebędących mikroprzedsiębiorstwami, należeć mają między innymi:

• Ustanowienie złożonych zasad zarządzania,
• Ustanowienie specjalnych stanowisk kierowniczych
• Przeprowadzanie szczegółowych ocen w następstwie istotnych zmian w infrastrukturach sieci i systemów informatycznych,
• Regularne przeprowadzanie analizy ryzyka w odniesieniu do starszych wersji systemów ICT,
• Rozszerzenie zakresu testowania ciągłości działania oraz planów reagowania i przywrócenia gotowości do pracy

Co warte odnotowania, nadrzędną zasadą ma być pełna odpowiedzialność organu zarządzającego za zarządzanie ryzykiem związanym z ICT podmiotu finansowego.

Polska praktyka sektora finansowego, regulowana przede wszystkim przez Komisję Nadzoru Finansowego, wskazuje na duży stopień wykorzystania przez podmioty nadzorowane zewnętrznych dostawców ICT. Rozporządzenie KNF wymaga, aby podmioty te upewniły się, że dostawcy chmury obliczeniowej publicznej lub hybrydowej, z usług których korzystają, posiadali odpowiednie certyfikaty (np. ISO), plany zachowania ciągłości działania, stosowali metody szyfrowania danych i komunikacji, i spełniali inne minimalne wytyczne w celu zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych informacji powierzonych im przez instytucje finansowe.Rozporządzenie DORA również wskazuje na minimalne wymagania, jakie dostawcy ICT powinni spełnić w celu mitygacji zagrożenia cyfrowego w sektorze finansowym. Propozycją mającą kluczowe znaczenie jest wprowadzenie paneuropejskiej standaryzacji dla tego typu firm.

„Rozporządzenie ma na celu promowanie konwergencji podejść nadzorczych do ryzyka ze strony zewnętrznych dostawców usług ICT w sektorze finansowym poprzez objęcie kluczowych zewnętrznych dostawców usług ICT unijnymi ramami nadzoru”

– czytamy w komunikacie.

Plany Komisji Europejskiej idą jeszcze dalej: ideą jest utworzenie międzynarodowego systemu wymiany informacji.

„Aby zwiększyć świadomość na temat ryzyka związanego z ICT, zminimalizować jego rozprzestrzenianie się, wspierać zdolności obronne podmiotów finansowych oraz techniki wykrywania zagrożeń, w rozporządzeniu zapewniono podmiotom finansowym możliwość tworzenia ustaleń w celu wymiany między sobą informacji i danych wywiadowczych na temat cyberzagrożeń.”

Efektem tych działań ma być zatem szczelne i przejrzyste środowisko regulacyjne dla europejskiego sektora finansowego w odniesieniu do zagrożeń ICT.Firmy technologiczne działające na terenie Unii Europejskiej już teraz przygotowują się do zmian, które w perspektywie może wymagać od nich ustawodawstwo. Jako zewnętrzny dostawca ICT spełniający zalecenia KNF dotyczące przetwarzania informacji w chmurze publicznej i hybrydowej przez podmioty nadzorowane, FORDATA uważnie przygląda się nowym propozycjom regulacyjnym na poziomie europejskim. Wyczekujemy ostatecznej wersji Rozporządzenia, a kiedy nowe przepisy wejdą w życie, będziemy gotowi nadal wspierać instytucje finansowe w czasach technologicznej transformacji.