Rozporządzenie DORA: wzmocnienie cyberbezpieczeństwa usług finansowych

Cel rozporządzenia DORA

W dniu 14 grudnia 2022 roku, w Dzienniku Urzędowym Unii Europejskiej zostało opublikowane Rozporządzenie DORA, mające na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług technologii informacyjno-komunikacyjnych tj. ICT, na rynku finansowym. Rozporządzenie wejdzie w życie 17 stycznia 2025 r.

DORA jest odpowiedzią na narastającą potrzebę wypracowania wspólnotowych rozwiązań legislacyjnych w zakresie wzmocnienia cyberbezpieczeństwa usług finansowych. Rozporządzenie DORA znajduje bezpośrednie zastosowanie i co do zasady nie wymaga implementacji lub wydania krajowych przepisów służących jej stosowaniu, poza ściśle określonymi wyjątkami, tj. przede wszystkim w zakresie przepisów ustanawiających kary administracyjne czy sankcje karne.

Zakres zastosowania rozporządzenia

DORA skierowana jest głównie do instytucji rynku finansowego, w tym przede wszystkim do:

• Banków;
• Giełd;
• Instytucji inwestycyjnych;
• Instytucji płatniczych;
• Dostawców usług finansowania społecznościowego (crowdfunding).

Rozporządzenie DORA znajduje zastosowanie także do zewnętrznych dostawców usług ICT. Zewnętrzny dostawca usług ICT to przedsiębiorstwo świadczące usługi ICT. Usługi ICT to usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.

DORA znajduje zastosowanie do dostawców technologii informacyjno-komunikacyjnych (ICT), ponieważ aktualnie zapotrzebowanie na takie usługi stale rośnie, a ponadto firmy stają się coraz bardziej zależne od zewnętrznych dostawców usług ICT, co przedkłada się na podatność na zakłócenia łańcucha dostaw i obniżenie bezpieczeństwo danych.

Wymogi umowne dla dostawców ICT

Zwiększenie odporności na powyższe zagrożenia, na gruncie rozporządzenia DORA, mają zapewnić właściwe zapisy umowne z dostawcami ICT. Aby te właściwe zapisy wprowadzić, należy wcześniej zidentyfikować:

• procesy, które zależą od zewnętrznych dostawców usług ICT, w tym wspierają krytyczne lub istotne funkcje (tj. wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne oraz zasoby ICT wspierające te funkcje),
• wszystkie umowy dotyczące korzystania z usług ICT w celu prowadzenia działalności gospodarczej i świadczenia usług finansowych,
• podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje w całym łańcuchu dostaw.

Umowy dotyczące korzystania z usług ICT powinny obejmować przede wszystkim następujące elementy:

• jasny i kompletny opis wszystkich funkcji i usług ICT, ze wskazaniem czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję,
• miejsca (regiony, kraje), w których mają być świadczone funkcje i usługi ICT oraz przetwarzane dane objęte umową lub podwykonawstwem,
• postanowienia dotyczące dostępności, autentyczności, integralności i poufności danych,
• postanowienia dotyczące zapewnienia dostępu, odzyskiwania i zwrotu danych w łatwo dostępnym formacie,
• opisy gwarantowanych poziomów usług, w tym ich aktualizacje i zmiany;

Dodatkowo, umowy dotyczące korzystania z usług ICT wspierających krytyczne lub istotne funkcje powinny dodatkowo obejmować m.in. następujące elementy:

• pełne opisy gwarantowanych poziomów usług wraz z dokładnymi ilościowymi i jakościowymi celami w zakresie wyników,
• okresy wypowiedzenia i obowiązki sprawozdawcze zewnętrznego dostawcy usług ICT, w tym powiadamianie o każdej zmianie, która może mieć istotny wpływ na krytyczne lub istotne funkcje,
• wymogi wobec zewnętrznego dostawcy usług ICT w zakresie wdrażania i testowania planów awaryjnych w związku z prowadzoną działalnością oraz środków bezpieczeństwa ICT zapewniających odpowiedni poziom bezpieczeństwa świadczenia usług przez podmiot finansowy.

Obowiązki w zakresie zarządzania ryzykiem

Poza dostosowywaniem umów, DORA nakłada szereg obowiązków z zakresu wewnętrznego zarządzania ryzykiem:

• wdrożenie strategii zarządzania ryzykiem IT, która powinna być dostosowana do specyfiki działalności podmiotu,
• zapewnienie odpowiedniego poziomu bezpieczeństwa danych, w tym ochrony danych osobowych oraz informacji poufnych,
• przeprowadzanie regularnych testów odporności na cyberatak, mających na celu sprawdzenie skuteczności zabezpieczeń,
• monitorowanie i raportowanie incydentów IT, w celu szybkiego reagowania na ewentualne zagrożenia,
• przestrzeganie wymogów dotyczących outsourcingu usług technologicznych, w tym
• odpowiedniego zarządzania ryzykiem związanym z korzystaniem z usług zewnętrznych dostawców,
• dokumentacja bezpieczeństwa, która powinna wynikać z zidentyfikowanych ryzyk.

Terminy wejścia w życie i fazy implementacji

W związku z powyższym, część firm może chcieć uzyskać dodatkowe zabezpieczenie, polegające na otrzymaniu od Zewnętrznego dostawcy usług ICT oświadczenia, iż system którego uzywają nie posiada żadnych ukrytych funkcjonalności, poza tymi o których mowa jest w udostępnianych repozytoriach, co miałoby gwarantować firmie określony (wymagany) poziom bezpieczeństwa. Rozporządzenie DORA nie wymaga wydawania takich oświadczeń przez dostawców usług ICT, w związku z tym nie ma konieczności ich uprzedniego przygotowywania.