Komisja Nadzoru Finansowego przygotowała ankietę dotyczącą zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi, które wykorzystuje podmiotu finansowy podlegający pod rozporządzenie DORA. Jest to obowiązkowy dokument, który opracowują wszystkie podmioty finansowe w celu samooceny swojej gotowości na wejście w życie rozporządzenia DORA.
Ankieta samooceny podmiotu finansowego
Komisja Nadzoru Finansowego udostępniła ankietę samooceny poziomu zgodności z rozporządzeniem DORA. Ankieta ma 200 punktów i obejmuje rozdziały zgodnie z chronologią DORA.
- zarządzanie ryzykiem związanym z ICT
- zarządzanie incydentami związanymi z ICT
- testowanie operacyjnej odporności cyfrowej
- zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT
- ustalenia dotyczące wymiany informacji.
Ankieta podaje również 3 definicje. Dzieli przedsiębiorstwa na mikroprzedsiębiorstwa, małe przedsiębiorstwa, średnie przedsiębiorstwa oraz duże przedsiębiorstwa. Definiuje sposób realizowania wymagania w formie automatycznej, półautomatycznej oraz manualnej. Definiuje również poziom spełnienia wymagania w formie całkowitego spełnienia wymogu, częściowego spełnienia wymogu, braku spełnienia wymogu oraz “nie dotyczy”, kiedy dany wymóg nie dotyczy podmiotu finansowego w związku z konkretnym przepisem Rozporządzenia DORA.
Ankieta jest dostępna na stronie KNF wraz z instrukcją pobrania, wypełnienia i przekazania do KNF. KNF zaznacza, że wypełnienie ankiety nie tylko stanowi obowiązek dla podmiotów nadzorowanych, lecz także daje im szansę na lepsze zrozumienie wymogów DORA i odpowiednie przygotowanie się do ich wdrożenia.
Ankieta KNF jako działanie przygotowawcze
Ankieta samooceny stanowi istotne działanie przygotowawcze przed kontrolą podmiotów finansowych w zakresie ich zgodności z rozporządzeniem DORA. Poprzez wypełnienie tej ankiety, podmioty nadzorowane mogą zbierać informacje ilościowe i jakościowe dotyczące poziomu spełnienia wymagań wynikających z DORA oraz oceny stopnia przygotowania do zarządzania ryzykiem związanym z wykorzystywanymi technologiami. W ten sposób, ankieta stanowi szansę dla podmiotów nadzorowanych, pozwalając im lepiej zrozumieć wymogi wynikające z rozporządzenia DORA i odpowiednio się na nie przygotować. Dzięki temu, podmioty finansowe mogą skuteczniej dostosować swoje działania, strategie i procedury w celu osiągnięcia i utrzymania zgodności z Rozporządzeniem DORA oraz operacyjną odpornością cyfrową.
Sprawdź jak się przygotować do zarządzania ryzykiem zgodnie z DORA. Niezależnie od pytań ankiety samooceny, warto poznać konkretne zadania na horyzoncie czasowym. Z naszym harmonogramem zarządzania ryzykiem średni czas przygotowania organizacji to trzy miesiące.
Dodatkowo ankieta jako narzędzie badawcze, implikuje potrzebę weryfikację stanu aktualnego podmiotów. Sektor finansowy jest aktualnie na pewnego rodzaju etapie przejściowym, gdzie obie strony się edukują. Zarówno dla podmiotów finansowych jest to pewna próba w formie jeszcze edukacji, a dla nadzorcy edukacja na temat kondycji sektora.
Działania edukacyjne KNF
Komisja Nadzoru Finansowego przygotowuje webinaria w ramach projektu edukacyjnego Centrum Edukacji dla Uczestników Rynku (CEDUR), które skupiają się na omówieniu rozporządzenia dotyczącego operacyjnej odporności cyfrowej sektora finansowego oraz innych powiązanych aktów.
- Pierwsze webinarium odbędzie się 6 czerwca 2024 roku i będzie skierowane do podmiotów podlegających nadzorowi KNF. Osoby zainteresowane mogą znaleźć więcej informacji na stronie wydarzenia.
- Drugie webinarium, zaplanowane na 24 czerwca 2024 roku, będzie skierowane do zewnętrznych dostawców usług ICT dla podmiotów podlegających nadzorowi KNF. Więcej informacji na ten temat można znaleźć na stronie wydarzenia.
Udział w obu webinariach jest bezpłatny. Jest to ciekawa okazja dla uczestników rynku finansowego na poszerzenie wiedzy na temat istotnych kwestii dotyczących bezpieczeństwa cyfrowego w sektorze finansowym.
Jeden klucz do odpowiedzi na 115 z 200 pytań ankiety KNF
Wypełnienie ankiety samooceny może być dużym wyzwaniem. Dokument zawiera 200 wierszy, w każdym wersie do wypełnienia jest 7 kolumn. Największym jednak wyzwaniem jest dostęp do wiedzy i pewności – w jaki sposób zrealizujemy wymagania stawiane przez DORA? Bo w gruncie rzeczy w ankieta jest narzędziem weryfikującym jak pracują podmioty podlegające nadzorowi KNF. Z pomocą przychodzi RIG DORA, która jest odpowiedzią na 115 z około 200 wersów tego dokumentu.
KNF pyta, RIG DORA odpowiada
RIG DORA jest aplikacją służącą do oceny ryzyka zgodnie z wymaganiami DORA. Rozporządzenie określa w artykule 5, że ryzyko musi być odpowiednio zarządzane przy pomocy stworzonych ram, które składają się z polityk i procedur, oraz że ramy muszą być weryfikowane przynajmniej raz w roku. To zmusza osoby odpowiedzialne, przede wszystkim zarząd do prowadzenia oceny ryzyka, która jest nieskuteczna bez szacowania. Żeby odpowiedzieć w kolumnie I ankiety na 115 – w jaki sposób podmiot będzie realizował ocenę, nadzór, wprowadzanie zmian w dokumentach można wskazać RIG DORA jako środek realizujący dane zadanie. Przykładowo.
Przepis 8.2 rozdziału II zarządzanie ryzykiem związanym z ICT wskazuje, że podmioty finansowe muszą na bieżąco identyfikować i oceniać źródła ryzyka ICT oraz cyber zagrożenia. Kluczowe jest regularne, przynajmniej co roku, przeglądanie scenariuszy ryzyka związanych z ICT, aby zapewnić ochronę swoich funkcji biznesowych i zasobów informacyjnych. RIG DORA pozwala na łatwe i szybkie identyfikowanie źródeł ryzyka ICT dzięki funkcjom zawartym w systemie, a przeglądy poziomu ryzyka realizowane są automatycznie dzięki dynamicznej ocenie i wynikom dostępnym na dashboardzie.
Przepis 11.5 rodziału II zarządzanie ryzykiem związanym z ICT wskazuje, że podmioty finansowe muszą przeprowadzać analizę wpływu na działalność (BIA) w celu oceny narażenia na poważne zakłócenia gospodarcze. Używają do tego kryteriów ilościowych i jakościowych oraz analizy scenariuszowej. BIA obejmuje ocenę krytyczności funkcji biznesowych, procesów wsparcia, zależności od zewnętrznych dostawców oraz zasobów informacyjnych i ich współzależności. Podmioty te zapewniają, że zasoby i usługi ICT są projektowane i wykorzystywane zgodnie z wynikami BIA, z naciskiem na zapewnienie redundancji wszystkich krytycznych komponentów. Narzędzie RIG DORA pozwala na takie działania w ramach procesu szacowania ryzyka ICT.
Przepis 28.3 rozdziału V zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT wskazuje, że podmioty finansowe muszą utrzymywać i aktualizować rejestr informacji dotyczący wszystkich ustaleń umownych z zewnętrznymi dostawcami usług ICT. Rejestr ten powinien rozróżniać ustalenia wspierające krytyczne lub istotne funkcje od pozostałych. Raz w roku przekazują właściwym organom informacje na temat nowych ustaleń, kategorii dostawców, rodzaju umów oraz świadczonych usług i obsługiwanych funkcji. Ponadto, na żądanie organów, dostarczają pełny rejestr informacji i informują o wszelkich planowanych umowach dotyczących usług ICT wspierających krytyczne funkcje. Ważnym elementem składowym RIG DORA jest funkcja rejestrów, w tym rejestru związanego z dostawcami ICT. Dzięki tej funkcji można wskazać w ankiecie samooceny, że zadania wynikające z przepisu 28.3 są realizowane w organizacji.
Jeżeli szukasz pomocy z wypełnieniem ankiety samooceny, a później wypełnieniem obowiązków związanych z rozporządzeniem DORA oraz zapewnieniem operacyjnej odporności cyfrowej porozmawiaj z naszym doradcą i śledź treści na naszej stronie.
