Rozporządzenie DORA – wpływ i wymogi
Zakres i przedmiot
Przedmiotem DORA jest ustanowienie jednolitych wymogów dotyczących bezpieczeństwa sieci i systemów informatycznych (ICT) m.in. dla instytucji kredytowych (banków), instytucji płatniczych oraz zakładów ubezpieczeń i zakładów reasekuracji.
Odpowiedzialność organu zarządzającego
DORA wprowadza zasadę pełnej odpowiedzialności organu zarządzającego za zarządzanie ryzykiem związanym z ICT podmiotu finansowego przejawiającą się m.in. w przypisywaniu wyraźnych ról i obowiązków w odniesieniu do wszystkich funkcji związanych z ICT oraz pełnym zaangażowaniu organu zarządzającego w kontrolę monitorowania zarządzania ryzykiem związanym z ICT.
Wymogi związane z zarządzaniem ryzykiem ICT
DORA opiera się na europejskich i międzynarodowych uznanych standardach technicznych oraz najlepszych praktykach branżowych, nie wprowadzając w tym zakresie konkretnej standaryzacji. Do najważniejszych wymogów należy zaliczyć:
– utworzenie i utrzymywanie odpornych systemów i narzędzi ICT w celu zminimalizowania skutków ryzyka związanego z ICT, opartych na modelu trzech linii obrony, tj. rozdzieleniu funkcji zarządzania ryzykiem, zapewnienia zgodności i audytu wewnętrznego
– wdrożenie tzw. strategii odporności cyfrowej (ang. Digital Resilience Strategy), określającej m.in. cele w zakresie bezpieczeństwa, opis sposobu wspierania strategii i celów biznesowych przez ramy zarządzania ryzykiem oraz całościową strategię korzystania z usług wielu dostawców
– obowiązek identyfikowania wszystkich źródeł ryzyka związanego z ICT, identyfikowania, klasyfikacji i dokumentowania funkcji biznesowych związanych z obszarem ICT oraz dokumentowania procesów opartych na usługach świadczonych przez dostawców zewnętrznych oraz zależności miedzy tymi dostawcami
– identyfikacja wszystkich zasobów informatycznych przez banki oraz przeprowadzanie ocen ryzyka i aktualizacji tych zasobów
– zapewnienie niezawodności wszystkich systemów, protokołów i narzędzi oraz przeprowadzanie audytów stosowanych rozwiązań technicznych
– utworzenie środków ochrony i zapobiegania oraz szybkiego wykrywania nietypowych działań
– wprowadzenie specjalnych i kompleksowych strategii dotyczących ciągłości działania oraz planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej
– ustanowienie i wdrożenie procesu zarządzania w celu monitorowania i rejestrowania incydentów związanych z ICT oraz obowiązek klasyfikowania incydentów na podstawie kryteriów określonych szczegółowo w DORA i dalej rozwijanych przez Europejskie Urzędy Nadzoru w celu określenia progów istotności (obowiązek raportowania dotyczy jedynie incydentów poważnych)*
– obowiązek przeprowadzania testów operacyjnej odporności cyfrowej w zależności od rozmiaru, profilu działalności i profilu ryzyka podmiotów finansowych oraz, co najmniej raz w roku, testów aplikacji i systemów informatycznych
– w zakresie outsourcingu: monitorowanie ryzyka związanego z outsourcingiem; zawieranie w umowach m.in. lokalizacji, w których mają być przetwarzane dane, opisów poziomu usług wraz z ilościowymi i jakościowymi celami w zakresie wydajności czy postanowień w sprawie dostępu, dostępności, integralności, bezpieczeństwa i ochrony danych osobowych; objęcie kluczowych zewnętrznych dostawców usług ICT unijnymi ramami nadzoru; wymóg uwzględniania długości łańcucha podwykonawców przy analizie ryzyka związanego z powierzeniem czynności
– usługi dostarczane przez dostawców zewnętrznych będą musiały być zgodne z wymogami określonymi w DORA; w tym zakresie dostawcy ci będą mogli być m.in. wzywani przez właściwe organy nadzorcze do dokonywania przeglądów co do adekwatności wiążących ich ustaleń umownych z podmiotami finansowymi
* Aktualnie toczą się prace nad relacją przepisów DORA o raportowaniu incydentów względem innych regulacji, m.in. dyrektywy PSD2. W pracach europarlamentu zaproponowano poprawkę, aby dla podmiotów objętych DORA zasady określone w nowym rozporządzeniu były nadrzędne wobec raportowania incydentów zgodnie z dyrektywą PSD2.