Wraz z dynamicznym rozwojem technologii, który dotyka prawie wszystkich elementów codziennego życia, sektor finansowy musi skonfrontować
się z wieloma nowymi wyzwaniami. Innowacyjne rozwiązania technologiczne, takie jak technologie chmurowe, sztuczna inteligencja czy blockchain, otwierają nowe możliwości dla instytucji finansowych, ale jednocześnie stwarzają potencjalne zagrożenia związane z cyberbezpieczeństwem. Konieczne staje się zatem dostosowanie strategii i działań w celu zapewnienia ochrony informacji, poufności danych oraz zapobiegania incydentom związanym z cyberprzestępczością.
Sektor finansowy musi działać proaktywnie, inwestując w zaawansowane systemy ochrony danych, wdrażając skuteczne mechanizmy zarządzania ryzykiem oraz rozwijając świadomość w zakresie cyberbezpieczeństwa wśród pracowników i klientów. Tylko w ten sposób będzie możliwe skuteczne przeciwdziałanie nowym zagrożeniom, budowanie zaufania klientów i utrzymanie stabilności systemów finansowych w erze cyfrowej. Konieczne do tego jest stworzenie odpowiednich ram prawnych, umożliwiających instytucjom finansowym skuteczne radzenie sobie zagrożeniami wynikającymi z rozwoju technologii informacyjno-komunikacyjnych (ICT). W odpowiedzi na te zmiany, Komisja Nadzoru Finansowego (KNF) wprowadziła w przeszłości Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Miały one na celu zapewnienie odpowiedniego poziomu ochrony informacji, stabilności systemów informatycznych i zminimalizowanie ryzyka „cyberzagrożeń” w instytucjach finansowych, a swoim zakresem obejmowały prawie cały sektor finansowy za wyjątkiem sektora bankowego, któremu dedykowane są osobne wytyczne tzw. „Rekomendacje D”.
Charakterystyka problematyki bezpieczeństwa cybernetycznego
Problematyka cyberbezpieczeństwa w sektorze finansowym ma niemal zawsze charakter transgraniczny. Ze względu na specyfikę ryzyka cybernetycznego, a przede wszystkim szybkość i skalę jego rozprzestrzeniania1, pojedynczy cyberatak na kluczowe instytucje finansowe w danym kraju może mieć nie tylko lokalne, ale także globalne konsekwencje dla systemu finansowego. Aby skutecznie przeciwdziałać zagrożeniom jakie wiążą się z rozwojem technologicznym, niezbędne jest wprowadzenie spójnej strategii i harmonizacji przepisów na poziomie europejskim, umożliwiających koordynowanie działań i wymianę informacji pomiędzy państwami oraz sektorami gospodarki. Właśnie dlatego niezbędne było opracowanie jednolitych i skonsolidowanych ram prawnych dotyczących bezpieczeństwa cybernetycznego na poziomie Unii Europejskiej.
Czym jest rozporządzenie DORA?
W odpowiedzi na te potrzeby Parlament Europejski przyjął Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz. Urz. UE nr L 333, z dn. 27.12.2022,
str. 1–79 – dalej jako: „DORA”), które znajdzie zastosowanie od dnia 17 stycznia 2025 r. Wraz z wejściem w życie rozporządzenia DORA, firmy inwestycyjne, towarzystwa funduszy inwestycyjnych i pozostałe podmioty sektora finansowego stają w obliczu nowych obowiązków dotyczących zarządzania obszarami technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego.
W tym kontekście, istotne jest krytyczne spojrzenie na dotychczasowe wytyczne wprowadzone przez Komisję Nadzoru Finansowego. Wiele elementów związanych z zarządzaniem bezpieczeństwem informacji, audytami bezpieczeństwa, kontrolą dostępu i zarządzaniem incydentami znalazło już swoje odzwierciedlenie w dotychczasowych wytycznych polskiego organu nadzoru. W poniższym artykule skupimy się na porównaniu tych istniejących obowiązków z nowymi przepisami unijnymi. Porównanie jest konieczne do zrozumienia, jakie zmiany wprowadza rozporządzenie DORA i jak wpływają one na podmioty rynku finansowego w kontekście bezpieczeństwa środowiska ITC.
Główne założenia Rozporządzenia DORA
Obowiązki nakładane na podmioty finansowe przez Rozporządzenie Dora skupiają się wokół 5 kluczowych obszarów, którymi są: zarządzanie ryzykiem, zgłaszanie incydentów związanych z ICT, testowanie operacyjnej odporności cyfrowej, wymiana informacji oraz nadzorowanie zewnętrznych dostawców usług ICT.
Zasada proporcjonalności
Podstawową zasadą unijnej legislacji, która znajduje zastosowanie zarówno w Rozporządzeniu DORA jak i dotychczasowych wytycznych KNF, jest zasada proporcjonalności. Wyrażona w artykule 4 DORA zasada oznacza, że regulacje i wymagania dotyczące bezpieczeństwa cybernetycznego, a w szczególności zarządzania ryzykiem ICT, powinny być adekwatne i odpowiednie do skali i charakteru działalności danego podmiotu. Obejmuje to przede wszystkim uwzględnienie różnic między dużymi, średnimi i małymi instytucjami finansowymi, a także różnic w profilu działalności i potencjalnym ryzyku cyfrowym z jakim się spotykają. Wprowadzenie proporcjonalnych wymagań pozwala na elastyczne podejście do zarządzania ryzkiem ICT, uwzględniające specyficzne potrzeby i możliwości poszczególnych podmiotów. Celem unijnego ustawodawcy jest, aby nie narzucać nadmiernego obciążenia regulacyjnego małym instytucjom finansowym, jednocześnie zapewniając, aby wszystkie podmioty w sektorze były odpowiednio chronione przed zagrożeniami cyfrowymi.
Zarządzanie ryzykiem ICT
Analizę nowych wymogów skierowanych do instytucji finansowych wynikających z Rozporządzenia DORA, należy rozpocząć od refleksji nad identyfikacją konkretnych obowiązków związanych z jego pierwszym filarem, jakim jest zarządzanie ryzykiem ICT.
W pierwszej kolejności należy podkreślić, że zgodnie z DORA, kluczową rolę w kierowaniu i dostosowywaniu ram zarządzania ryzykiem związanym z ICT oraz ogólnej odporności cyfrowej odgrywają organy zarządzające2. Zgodnie z nowymi przepisami, zarząd będzie odpowiedzialny za zatwierdzanie i nadzorowanie wdrażania wszystkich ustaleń dotyczących ram zarzadzania ryzykiem związanym z ICT. Organ zarządzający powinien upewnić się, że polityka zarządzania ryzykiem jest odpowiednio wdrażana i przestrzegana, a wszelkie działania dotyczące przywracania pracy po wystąpieniu sytuacji nadzwyczajnej są skuteczne i zgodne z wcześniej założonym planem. Zarząd będzie odpowiedzialny za zatwierdzanie planu audytów związanych z ICT oraz dokonywanie regularnych przeglądów tego planu. Powinien
upewnić się, że audyty są przeprowadzane regularnie i obejmują wszystkie istotne obszary związane z ryzykiem ICT.
DORA kładzie duży nacisk na ogólną odpowiedzialność organu zarządzającego za cyfrową stabilność operacyjną. Kierownictwo musi zapewnić, że jednostka jest odpowiednio chroniona przed zakłóceniami ICT i cyberatakami. Wymaga to od zarządu ciągłego zaangażowania w kontrolę jakości zarządzania ryzykiem związanym z ICT w danym podmiocie. W tym celu na zarządzie spoczywa wyraźny obowiązek rozwijania i utrzymywania wiedzy na temat ryzyka ICT m.in. poprzez odbywanie regularnych szkoleń3.
Należy jednak stwierdzić, że w zakresie obszaru zarządzania ryzykiem ITC, DORA w dużej mierze odzwierciedla obowiązki, znane już podmiotom na skutek realizacji między innymi wspomnianych wyżej wytycznych IT Komisji Nadzoru Finansowego. Przykładowo, wprowadzony wymóg przywrócenia danych z kopii zapasowej w odrębnym środowisku operacyjnym4 odzwierciedla istniejące dotychczas praktyki związane z planami Business Continuity5. Organ zarządzający ma obowiązek zapewnienia, że plan i procedury dotyczące przywracania danych z kopii zapasowej w przypadku wystąpienia incydentów ICT są przyjęte i praktycznie wdrożone. Odrębne środowisko operacyjne służy jako miejsce, w którym możliwe jest przywrócenie danych z kopii zapasowej w sposób bezpieczny i niezakłócony. Podobnie wymóg prowadzenia dokumentowania działań instytucji finansowej zarówno przed, jak i w trakcie trwania incydentu ICT6 znajdywał już swoje odzwierciedlenie w dotychczasowych wytycznych Komisji Nadzoru Finansowego.
Raportowanie incydentów ICT
Kolejnym obszarem na którym skoncentrował się ustawodawca unijny jest zgłaszanie incydentów związanych z ICT. Zgodnie z DORA, podmioty sektora finansowego będą zobowiązane do prowadzenia rejestru incydentów związanych z ICT oraz istotnych zagrożeń cybernetycznych.
Wymaga się również wprowadzenia odpowiednich procedur, które zapewnią spójne i zintegrowane monitorowanie tych incydentów oraz umożliwią skuteczne podejmowanie działań następczych. Wymagane będzie również dokonywanie klasyfikacji tych incydentów i ocena ich wpływu na podstawie różnych czynników, takich jak liczba kontrahentów, których dotknęło zakłócenie spowodowane incydentem, krytyczność usług, których dotyczy incydent, wartość transakcji, czas trwania incydentu czy też jego zasięg geograficzny.
W przypadku wystąpienia incydentu zaklasyfikowanego jako poważny, instytucje finansowe zobowiązane będą do przekazywania odpowiedniemu organowi nadzoru (w Polsce organem właściwym w tym zakresie będzie Komisja Nadzoru Finansowego) odpowiedniej dokumentacji związanej z incydentem zawierającej sprawozdania wstępne, śródokresowe oraz końcowe.
Obowiązek raportowania incydentów cybernetycznych był już znany krajowym instytucjom finansowym i znalazł swoje odzwierciedlenie również w wytycznych Komisji, zgodnie z którymi podmioty rynku kapitałowego powinny posiadać sformalizowane zasady zarządzania incydentami obejmujące m.in. ich identyfikację, rejestrowanie oraz podejmowanie odpowiednich działań naprawczych. Dotychczasowa praktyka obejmuje raportowanie tych incydentów, które mają istotny wpływ na bezpieczeństwo przetwarzanych danych, w tym w szczególności na bezpieczeństwo środków klientów. Raportowanie to miał dotychczas jednak charakter tylko wewnętrzny. Dotychczasowe ramy prawne nie ukształtowały praktyki raportowania o incydentach odpowiednich organów nadzoru.
Testowanie odporności cyfrowej
DORA kładzie również nacisk na kwestię związane z regularnym testowaniem operacyjnej odporności cyfrowej podmiotów finansowych. Testowanie jest istotnym elementem zapewnienia bezpieczeństwa w całym sektorze. Zgodnie z nowymi wymogami, podmioty powinny przeprowadzać testy kluczowych systemów co najmniej raz w roku. Program powinien obejmować różne działania, takie jak analizę oprogramowania open source, ocenę bezpieczeństwa sieci, przeprowadzanie testów scenariuszowych czy testów wydajności7. W przypadku podmiotów, które nie są mikroprzedsiębiorstwami, DORA wprowadza dodatkowo obowiązek przeprowadzania testów penetracyjnych nie rzadziej niż na trzy lata8. Dokumentacja testów penetracyjnych powinna być zatwierdzona przez odpowiedni organ nadzoru, aby potwierdzić ich prawidłowe działanie9.
Kwestia regularnego testowania cyfrowej odporności operacyjnej podmiotów finansowych znana jest już również dotychczasowej praktyce. Wytyczne Komisji Nadzoru Finansowego10 wskazują na konieczność rozwijania przez podmioty rynku kapitałowego systemów informatycznych w sposób zapewniający wsparcie ich działalności oraz uwzgledniający wymogi bezpieczeństwa środowiska teleinformatycznego między innymi poprzez wykonywanie całościowych testów operacyjnych czy symulacji. Podmioty infrastruktury rynku kapitałowego powinny również posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności podmiotu infrastruktury rynku kapitałowego oraz bezpieczeństwo przetwarzanych danych11.
Wymiana informacji
Kolejną kwestią, która znajduje odzwierciedlenie w nowych przepisach jest wypracowanie procedur dotyczących efektywnej wewnątrzsektorowej wymiany informacji. Podmioty finansowe będą mogły wymieniać między sobą informacje na temat zidentyfikowanych przez nie zagrożeń cybernetycznych. Wymiana informacji w ramach sektora finansowego ma na celu wzmocnienie współpracy i solidarności w zakresie ochrony przed zagrożeniami cybernetycznymi. Dzięki identyfikacji zagrożeń na poziomie sektorowym, możliwe będzie szybsze reagowanie na incydenty i skuteczniejsze zarządzanie nimi. Pozwoli ona na lepsze zrozumienie specyficznych dla sektora zagrożeń wynikających z rozwoju technologii informacyjno-komunikacyjnych. DORA umożliwia zawieranie podmiotom umów o wymianę informacji w celu ujawnianie „zaufanym społecznościom” takim jak np. utworzony przeze KNF Sektorowy Zespół Cyberbezpieczeństwa, informacji i danych wywiadowczych dotyczących cyberzagrozeń.
Konieczność podejmowania tego rodzaju działań i kontaktów można było na gruncie dotychczasowej praktyki wywodzić przykładowo z postanowień wydanego przez Izbę Domów Maklerskich Kodeksu Dobrej Praktyki, który stanowi w § 26: „Domy Maklerskie we wzajemnych stosunkach powinny kierować się zasadami solidności i lojalności środowiskowej, zachowując zasady uczciwej konkurencji i nie powinny podejmować działań, które naruszają lub mogłyby naruszyć dobre imię innego Domu Maklerskiego”. W sytuacji wykrycia zagrożenia cybernetycznego mogącego mieć wpływ na pozostałe podmioty w sektorze, instytucja powinna natychmiast powiadomić te podmioty i w miarę możliwości pomóc im w zapobieżeniu materializacji ryzyka.
Zarządzanie ryzykiem ICT w relacjach z dostawcami usług
Jednym z najistotniejszych aspektów DORA jest wypracowanie ram prawnych dotyczących zarządzania ryzykiem w relacjach z zewnętrznymi dostawcami usług ICT. W przypadku zawierania umowy outsourcingu krytycznych funkcji, podmioty finansowe muszą negocjować konkretne ustalenia umowne dotyczące strategii wyjścia12, audytów oraz celów wydajnościowych w zakresie m.in. dostępności, integralności i bezpieczeństwa13. Podmioty finansowe będą mogły zawierać umowy wyłącznie z takimi zewnętrznymi dostawcami, którzy przestrzegają odpowiednich standardów w zakresie bezpieczeństwa informacji14. Rozporządzenie wprowadza również wymóg prowadzenia przez podmioty finansowe odpowiedniego rejestru informacji w odniesieniu do zawieranych przez niego umów outsourcingu z zewnętrznymi dostawcami. Udokumentowane dane będą przekazywane organom nadzoru przynajmniej raz na rok15. Instytucje z sektora finansowego zobowiązane będą też do implementowania oraz regularnego przeglądu strategii zarządzania ryzykiem dla zewnętrznych dostawców usług ICT. Strategia ta powinna obejmować między innymi politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców16.
Znaczenie DORA dla systemu finansowego
Badanie wpływu technologii na sektor finansowy ujawnia zarówno obiecujące perspektywy jak i pilne wyzwania. Rozwój cyfrowych innowacji otwiera drzwi do bardziej efektywnej, dostępnej i zintegrowanej usługi finansowej. Jednak równocześnie stawia przed sektorem istotne wyzwania dotyczące bezpieczeństwa i prywatności danych. W tym kontekście, wprowadzenie rozporządzenia DORA stanowi ważny krok w kierunku zapewnienia bezpieczeństwa w systemie finansowym. Dotychczasowe podejście krajowych organów nadzoru do zagrożeń związanych z cyberbezpieczeństwem, choć poprawne w założeniach, okazało się niewystarczające w obliczu stale ewoluujących wyzwań.
________________________________________
1 ESRB, Systematic cyber risk February 2020
2 Motyw 36 i art. 5 ust. 2 DORA
3 Art.5 ust.4 DORA
4 Art. 11 DORA
5 Wytyczna 15- Wytyczne IT KNF
6 Art. 10 DORA
7 Art. 25 ust. 1 DORA
8 Art. 26 ust. 1 DORA
9 Art. 26 ust. 2 DORA
10 Wytyczna 7 KNF IT
11 Wytyczna 9 KNF IT
12 Art. 28 ust. 8 DORA
13 Art. 28 ust. 4 DORA
14 Art. 28 ust. 5 DORA
15 Art. 28 ust. 3 DORA
16 Art. 28 ust. 2 DORA
