Czy zarządzam ryzykiem zgodnie z DORA?
Jeżeli masz wdrożone wymagania różnych regulacji takich jak: Komunikat chmurowy UKNF, NIS2, RODO czy PSD2, to czy jesteś już zgodny z rozporządzeniem DORA? Tylko częściowo.
Digital Operations Resilience Act (DORA) to nowe rozporządzenie Unii Europejskiej, które skupia się na poprawie standardów w sektorze usług finansowych, zwłaszcza w kontekście zarządzania technologią informacyjną (ICT) oraz ryzykiem związanym z cyberbezpieczeństwem. Jego celem jest wprowadzenie spójnych regulacji obejmujących wszystkie instytucje finansowe i zabezpieczenie przed poważnymi zakłóceniami operacyjnymi. Prawdopodobnie spełniasz wymogi innych regulacji, które wiążą się z cyberbezpieczeństwem. Możliwe, że niektóre z nich już wypełniają część wymogów DORA.
W tym artykule znajdziesz różnice i podobieństwa między dotychczasowymi regulacjami, a nowym rozporządzeniem o operacyjnej odporności cyfrowej sektora finansowego. Następnie będziesz mógł zweryfikować czego ponad wcześniej wprowadzone regulacje wymaga DORA.
DORA a dotychczasowe regulacje
DORA nakłada wiele wymagań dotyczących zarządzania ryzykiem, zgłaszania poważnych incydentów związanych z ICT oraz przeprowadzania testów na operacyjną odporność cyfrową. W tym jednym rozporządzeniu zawarte zostało wiele punktów wskazywanych wcześniej w różnych innych szczegółowych regulacjach.
DORA dużo bardziej ingeruje w tworzenie środowisk ICT podmiotów finansowych niż obecne wytyczne i jest w tym bardziej precyzyjna, skupiając się na roli ICT w sektorze finansowym i wymagając podejścia opartego na „zapewnieniu cyberbezpieczeństwa” zamiast „zgodności z cyberbezpieczeństwem”. Omawiane rozporządzenie obejmuje szeroką gamę podmiotów, w tym fintechy i dostawców usług IT pracujących dla sektora finansowego. DORA wprowadza szczegółowe normy dotyczące umów z dostawcami usług ICT wspierających funkcje krytyczne lub istotne dla działalności finansowej. Warto zauważyć, że umowy z dostawcami ICT, zwłaszcza te dotyczące funkcji krytycznych, powinny być dostosowane do wymagań wspomnianego aktu prawnego do 17 stycznia 2025 roku. DORA wpisuje się w szeroki kontekst dotychczasowych regulacji, które w części zostały omówione poniżej.
DORA a Komunikat chmurowy UKNF
DORA wprowadza standardy regulujące usługi ICT w sektorze finansowym, w tym usługi chmury obliczeniowej. To rozporządzenie dąży do harmonizacji przepisów na poziomie ogólnoeuropejskim, a Komunikat chmurowy UKNF skupia się na polskim rynku. Obydwa dokumenty wymagają dostosowania metodologii szacowania ryzyka i zasad zawierania umów z dostawcami, ale DORA obejmuje szerszy zakres działań. Dodatkowo, to rozporządzenie w przeciwieństwie do Komunikatu skupia się na całym środowisku ICT podmiotu finansowego uwzględniając w tym dodatkowo aspekt przestrzeni fizycznych, podczas gdy ten drugi dotyczy przede wszystkim wykorzystywania usług chmury obliczeniowej. Dlatego dostawcy ICT tracą swój argument “to nas nie dotyczy” jak to było w czasach obowiązywania komunikatu.
DORA a NIS2
Rozporządzenie DORA i Dyrektywa NIS2 (Network and Information Systems Directive) łączą się w kontekście bezpieczeństwa cyberprzestrzeni. Dyrektywa NIS2 rozszerza zakres obowiązków dotyczących cyberbezpieczeństwa na instytucje finansowe, skupiając się na dostawcach usług ICT. Obejmuje ona zarządzanie incydentami, ujawnianie luk bezpieczeństwa i testowanie cyberbezpieczeństwa.
DORA działa jako szczegółowa regulacja w kontekście dyrektywy NIS 2, definiując ramy zarządzania ryzykiem i rozwinięcia cyberbezpieczeństwa dla podmiotów finansowych oraz dostawców usług ICT obsługujących te podmioty finansowe. Rozszerza zagadnienia takie jak identyfikacja krytycznych systemów, planów reagowania na incydenty, testów i oceny ryzyka. Wprowadzenie środków zarządzania ryzykiem w cyberprzestrzeni, zgodnie z obydwoma dokumentami, wymaga zharmonizowanego podejścia. NIS2 oraz standard ISO 27001 odgrywają istotną rolę w ocenie ryzyka związanego z usługami ICT określając zasady, według których podmioty finansowe mogą tworzyć swoje systemy zarządzania bezpieczeństwem.
DORA a RODO
DORA, skupiając się na cyberbezpieczeństwie, ma istotne implikacje dla ochrony prywatności danych osobowych, łącząc podejście z wymaganiami RODO. Oba akty mają wspólne cele, chroniąc zarówno przed cyberatakami, jak i naruszeniami prywatności. DORA może być użytecznym narzędziem dla podmiotów finansowych w spełnianiu wymagań RODO, takimi jak wzmocnienie operacyjnej odporności cyfrowej czy ochrony danych osobowych. W obu dokumentach zwrócono również uwagę na zagadnienie współpracy między podmiotami finansowymi a dostawcami usług ICT.
DORA a PSD2
DORA uwzględnia dyrektywę PSD2 w kontekście raportowania incydentów związanych z płatnościami realizowanymi w środowisku ICT podmiotu finansowego. Wprowadza zmiany w zakresie obowiązków zgłaszania incydentów, eliminując potencjalne powtórzenie obowiązków. To zmniejsza obciążenie administracyjne dla podmiotów finansowych objętych nowym rozporządzeniem, jednocześnie wprowadzając zharmonizowane standardy w zakresie zgłaszania incydentów na poziomie UE.
Czego wymaga DORA?
Specjalista odpowiedzialny za zarządzanie ryzykiem chcąc zapewnić zgodność organizacji z DORA, powinien na początku zwrócić swoją uwagę na artykuły od 6 do 14 analizowanego rozporządzenia. Są wstępem do zapewnienia zgodności z DORA i określają one pewne obowiązki w zakresie zarządzania ryzykiem ICT takie jak stworzenie ram zarządzania tym ryzykiem czy strategii operacyjnej odporności cyfrowej.
Ramy zarządzania ryzykiem ICT
Osoba wdrażająca rozporządzenie DORA musi skupić się na zagadnieniu integralnego zarządzania ryzykiem ICT poprzez opracowanie strategii, polityk, procedur i narzędzi w celu minimalizowania wpływu ryzyka. Jednocześnie ważne jest utrzymanie operacyjnej odporności cyfrowej poprzez szybką reakcję na zagrożenia, regularne testowanie systemów oraz udostępnianie pełnych informacji organom nadzoru.
Opracowanie strategii, polity i procedur to czasochłonne zajęcie, które może być łatwiejsze, jeżeli sprawdzisz jaki dokumenty musisz zawrzeć w ramach zarządzania ryzykiem. Pobierz praktyczną listę wszystkich obowiązkowych dokumentów wymienionych w rozporządzeniu DORA.
Ponadto, należy zadbać o niezależność funkcji zarządzania ryzykiem, kontroli i audytu wewnętrznego, zapewniając odpowiednie rozdzielenie obowiązków w ramach modelu trzech linii obrony. Regularne poddawanie ram zarządzania ryzykiem audytowi wewnętrznemu, z uwzględnieniem wiedzy i niezależności audytorów oraz dostosowywanie częstotliwości audytów proporcjonalnie do ryzyka związanego z ICT, stanowi kluczowy element doskonalenia procesów.
Strategia operacyjnej odporności cyfrowej
Specjalista odpowiedzialny za opracowanie strategii operacyjnej odporności cyfrowej powinien skupić się na integrowaniu ram zarządzania ryzykiem ICT z celami biznesowymi. To wymaga ustalenia, w jaki sposób ramy te wspierają cele biznesowe oraz określenia limitów tolerancji ryzyka ICT. Dodatkowo istotne jest przeprowadzenie analizy tolerancji wpływu zakłóceń w funkcjonowaniu ICT.
Należy również udokumentować architekturę ICT, zidentyfikować niezbędne zmiany na drodze do osiągnięcia celów biznesowych, implementować mechanizmy wykrywania incydentów oraz opracować skuteczną strategię komunikacji. Integracja tych elementów jest ważnym krokiem w budowaniu strategii operacyjnej odporności cyfrowej.
Identyfikacja składowych środowiska ICT
Nie jest możliwe zarządzanie ryzykiem zgodnie z DORA bez identyfikacji, klasyfikacji i dokumentacji składowych środowiska ICT i funkcji biznesowych wspieranych przez ICT. To obejmuje regularne identyfikowanie źródeł ryzyka związanego z ICT, w tym ekspozycji na ryzyko od innych podmiotów finansowych. Następna w kolejności jest ocena cyber zagrożeń i podatności związanych z obszarem ICT, których dotyczą funkcje biznesowe. Co więcej oddelegowane do tego zadania osoby powinny przeprowadzać regularne przeglądy scenariuszy ryzyka, co może wskazać wcześniej nie analizowane obszary ryzyka związanego z ICT, skutkiem czego będzie podwyższenie bezpieczeństwa środowiska ICT.
Wykrywanie nietypowych działań i incydentów ICT
Poprawne zarządzanie ryzykiem w zgodzie z DORA nie jest możliwe bez wykorzystania efektywnych mechanizmów umożliwiających szybkie wykrywanie nietypowych działań, problemów z wydajnością sieci ICT oraz incydentów związanych z ICT. Kluczowe jest również regularne testowanie wszystkich tych mechanizmów, co gwarantuje ich nieustanną skuteczność.
W kontekście wielopoziomowej kontroli delegowany specjalista powinien ustalać progi alarmowe i kryteria uruchamiania procesów reagowania na incydenty ICT. Dodatkowo konieczne jest przeznaczanie wystarczających zasobów na monitorowanie działalności użytkowników oraz incydentów związanych z ICT.
Reagowanie i przywracanie sprawności
Kolejnym zadaniem jest stworzenie kompleksowej, ogólnej dla całego podmiotu finansowego strategii ciągłości działania. DORA uszczegóławia to zagadnienie jako ustalenia, plany, procedury i mechanizmy, które mają zagwarantować ciągłość krytycznych i istotnych funkcji, skuteczne reagowanie na incydenty ICT i szybkie przywracanie sprawności systemów.
Ponadto należy dokonać estymacji skutków incydentów, określając działania w zakresie komunikacji i zarządzania kryzysowego. Regularne testowanie planów ciągłości i reagowania na incydenty pozwala ocenić skuteczność strategii i szybkiego dostosowywania się do zmieniającego się otoczenia. Integracja tych działań stanowi fundament kompleksowego podejścia do zarządzania ciągłością działania w obszarze ICT.
Polityki kopii zapasowych i przywracania danych
Podmiot finansowy musi opracować politykę tworzenia kopii zapasowych obejmującą zakres danych, częstotliwość tworzenia kopii i minimalizację przerw w dostępie do danych. Kolejnym krokiem jest ustanowienie systemów tworzenia kopii zapasowych zgodnych z politykami oraz regularne testowanie procedur w celu zapewnienia ich skuteczności.
Następnym zadaniem jest zadbanie o przywracanie danych przy użyciu fizycznie i logicznie oddzielonych systemów ICT zabezpieczonych przed nieuprawnionym dostępem. Ważne jest także utrzymanie nadmiarowych zdolności w zakresie ICT, co wspiera szybkie przywracanie danych w przypadku incydentów.
Osoba odpowiedzialna za ten obszar musi pamiętać o archiwizowaniu kopii wyników testów ciągłości działania w obszarze ICT, ponieważ organy nadzoru mogą prosić o takie informacje. Nadzór może również między innymi nakazać udzielenie informacji dotyczących szacunkowych rocznych kosztów i strat związanych z incydentami ICT.
Uczenie się i rozwój
Rozporządzenie DORA zwraca uwagę na zagadnienie związanego z nauką i rozwojem w obszarze zarządzania ryzykiem ICT. Przekładając to na poziom zadań, należy aktywnie gromadzić wiedzę, zwłaszcza dotyczącą nowych podatności i cyberzagrożeń oraz dokładnie analizować ich potencjalny wpływ na operacyjną odporność cyfrową organizacji.
Dodatkowo kadra podmiotu finansowego powinna przeprowadzać regularne przeglądy incydentów związanych z ICT. Poprzez analizę ich przyczyn oraz identyfikację obszarów do poprawy, możliwe jest skuteczne przeciwdziałanie powtarzającym się problemom. Proaktywne podejście do przeglądów incydentów umożliwia lepsze zrozumienie ewentualnych ryzyk i przygotowanie organizacji do skutecznego reagowania na potencjalne zagrożenia cyfrowe. Wprowadzenie tych praktyk jest istotnym krokiem w kierunku wzmocnienia zdolności operacyjnej organizacji w kontekście zmieniającego się krajobrazu cyberbezpieczeństwa.
Komunikacja
Polityka komunikacji i plany działań informacyjnych powinny opisywać, w jaki sposób podmiot finansowy będzie się komunikował do wewnątrz i na zewnątrz organizacji z zainteresowanymi stronami. To zadanie powinno być powierzone konkretnej osobie, która będzie odpowiedzialna za komunikację kryzysową.
Dotychczasowe wymagania to wstęp do DORA
Wymagania wskazane powyżej są początkiem procesu zarządzania ryzykiem ICT zgodnie z DORA. Z tego powodu wdrożenie ich oraz zgodność z wymienionymi regulacjami nie jest wystarczająca do stwierdzenia, że spełni się wszystkie obowiązki nałożone w zakresie zarządzania ryzykiem ICT. Trzeba pamiętać, że w celu poprawnego zarządzania ryzykiem ICT, które będzie prowadziło do zapewnienia operacyjnej odporności cyfrowej należy również wziąć pod uwagę szerszy kontekst rozporządzenia jak rozdziały 3 do 6 DORA, czy regulacyjne standardy techniczne opublikowane 17 stycznia 2024 roku.
Przykładem będzie artykuł 28, według którego podmioty finansowe są zobowiązane utrzymywać i aktualizować rejestr informacji dotyczący ustaleń umownych związanych z korzystaniem z usług ICT świadczonych przez zewnętrznych dostawców. Artykuł 31 określa procedurę wyznaczania kluczowych zewnętrznych dostawców usług ICT dla podmiotów finansowych przez wspólny komitet organów nadzoru w Europie. Artykuł 45 natomiast tworzy zasady wymiany informacji o cyberzagrożeniach i wynikach analiz w celu zwiększenia operacyjnej odporności cyfrowej sektora finansowego.
Jeżeli chcesz dowiedzieć się więcej o tym jak zapewnić bezpieczeństwo organizacji zgodnie z rozporządzeniem DORA, przeczytaj nasz artykuł Rozporządzenie DORA. Poradnik o strategii, polityce i zarządzaniu, w którym omówiliśmy poszczególne zadania wynikającego z tego aktu prawnego.
Rozporządzenie DORA harmonizuje zarządzanie cyberbezpieczeństwem
Digital Operations Resilience Act współpracuje z innymi regulacjami, takimi jak Komunikat chromowy UKNF, NIS2, RODO i PSD2, tworząc spójne i skoordynowane podejście do cyberbezpieczeństwa i ochrony danych osobowych. DORA stawia na zharmonizowane standardy na poziomie UE, podkreślając konieczność współpracy i dostosowania się instytucji finansowych do rozwijającego się środowiska regulacyjnego. Trzeba jednak zauważyć, że DORA łącząc obowiązki wynikające z poprzednich regulacji, wychodzi ponad ich zakres i nakazuje zdecydowanie bardziej proaktywne oraz holistyczne podejście do zagadnienia bezpieczeństwa w ICT.
