Firmy współpracujące z sektorami wysoko regulowanymi muszą spełniać szereg obowiązków, mimo że nie są przedstawicielami tych rynków. Wynika to z faktu dostosowania ich działania do standardów i regulacji panujących na tych rynkach. Podobna reguła występuje w sektorze usług finansowych. Jeżeli chcesz współpracować z przedstawicielami rynku finansowego, musisz podejmować działania zgodne z rozporządzeniem DORA. W artykule dowiesz się, jakie obowiązki nakłada na Ciebie ten akt prawny.
Rozporządzenie DORA
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) harmonizuje podejście do świadczenia usług ICT na poziomie wspólnotowym. Przed wejściem rozporządzenia w życie różnorodność przepisów i podejść regulacyjnych w krajach EU mogła wpływać na konkurencję między podmiotami finansowymi z różnych państw członkowskich. Brak spójności w prawodawstwie utrudniał właściwe zrozumienie i monitorowanie zagrożeń związanych z m.in koncentracją zależności od dostawców usług ICT. Kolejnym problemem były braki w monitorowaniu ryzyka związanego z usługami ICT świadczonymi przez dostawców, pomimo istnienia wytycznych dotyczących outsourcingu. DORA wprowadza odpowiednie ramy nadzoru w tym zakresie. Rozporządzenie umożliwia ciągłe monitorowanie działań kluczowych dostawców usług ICT dla podmiotów finansowych, jednocześnie zachowując poufność i bezpieczeństwo danych klientów.
Dostawca ICT – kim jest?
Definicja dostawcy usług ICT w rozporządzeniu obejmuje przedsiębiorstwa świadczące usługi cyfrowe i związane z danymi za pomocą systemów ICT. Rozróżnia się dostawców usług ICT zewnętrznych, którzy są przedsiębiorstwami oferującymi usługi ICT oraz wewnętrznych, którzy są częścią grupy finansowej i świadczą usługi ICT dla podmiotów należących do tej grupy. Usługi ICT to usługi cyfrowe i związane z danymi świadczone za pomocą systemów ICT, obejmujące także dostarczanie sprzętu komputerowego i wsparcia technicznego, z wyłączeniem tradycyjnych usług telekomunikacyjnych. Definicja ta jest szeroka, co sugeruje, że większość firm świadczących usługi cyfrowe za pomocą ICT może być uznana za dostawcę usług ICT. Więcej o tym kim jest dostawca ICT zawarliśmy w artykule Jestem dostawcą ICT. Czy podlegam pod DORA?.
Funkcje krytyczne oraz istotne
Wielokrotnie w DORA wymieniane są funkcje krytyczne lub istotne. DORA definiuje je jako funkcje, których zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych.
Będąc dostawcą ICT dla podmiotów finansowych należy szczególnie zwrócić uwagę na tę definicję. Dostawcy ICT, którzy zapewniają wsparcie dla działania takich funkcji, poddani są znacznie większemu rygorowi, dlatego warto przeprowadzić tego typu analizę przed rozpoczęciem współpracy z podmiotem finansowym.
Dostawcy ICT, którzy wykonają odpowiednią analizę ryzyka i odpowiednio udokumentują cyber zabezpieczenia z pewnością łatwiej będzie wpisać się w założenia strategii cyber odporności ich klientów z sektora finansowego. Pomocna może być w tym praktyczna instrukcja do dokumentowania cyberzabezpieczeń zgodnie z rozporządzeniem DORA.
Zostało to bezpośrednio wskazane w artykule 28 ust. 5 wedle którego, podmioty finansowe mogą zawierać ustalenia umowne wyłącznie z zewnętrznymi dostawcami usług ICT, którzy przestrzegają odpowiednich standardów w zakresie bezpieczeństwa informacji. W przypadku gdy te ustalenia umowne dotyczą krytycznych lub istotnych funkcji, podmioty finansowe – przed zawarciem takich ustaleń umownych – należycie uwzględniają, czy zewnętrzni dostawcy usług ICT stosują najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji. Jeżeli organizacja, w której pracujesz nie posiada branżowych certyfikatów oraz nie wdrożyła jeszcze renomowanych standardów, warto je pozyskać przed rozpoczęciem rozmów o współpracy z podmiotami finansowymi.
Rejestr informacji
Rozporządzenie nakłada obowiązek prowadzenia rejestru umów z dostawcami usług ICT na podmioty finansowe. Rejestr ten służy zwiększeniu świadomości nadzoru nad zależnością tych podmiotów od dostawców usług ICT oraz umożliwia lepsze zrozumienie relacji między nimi. Gromadzenie informacji o umowach pozwala organom nadzorczym skuteczniej monitorować i oceniać ryzyko związane z korzystaniem z usług ICT od dostawców, co wspiera operacyjną odporność sektora finansowego na incydenty związane z technologią. Dzięki zapoznaniu się z wymaganiami rejestru informacji i byciu gotowym na dostarczenie odpowiednich informacji, możliwe jest przyspieszenie negocjacji z podmiotem finansowym.
Wymagania rejestru zostały określone w pierwszej grupie regulacyjnych standardów technicznych (RTS) precyzujących szczegółowe wymogi dotyczące zarządzania ryzykiem ICT i umów z dostawcami usług ICT. Konkretniej, rejestry zostały omówione w wykonawczym standardzie technicznym (ITS) dotyczącym rejestru informacji. Określa on szablony, jakie powinny być utrzymywane przez podmioty finansowe w celu monitorowania zgodności z regulacją. W rejestrze umów z dostawcami ICT powinny znaleźć się takie informacje jak dane ogólne o podmiocie finansowym, informacje o umowach kontraktowych, identyfikacja dostawców usług ICT oraz ocena usług wspierających funkcje krytyczne lub istotne. Szczegółowy zakres i formularze rejestracyjne są określone w odpowiednich szablonach RT.
Identyfikacja i szacowanie ryzyka
Analiza ryzyka w podmiocie finansowym związana ze środowiskiem ICT jest kluczowa dla zapewnienia stabilności, bezpieczeństwa i ochrony interesów klientów. DORA nakłada obowiązek przeprowadzenia analizy ryzyka ICT jako części zarządzania ryzykiem, co ma zasadniczy wpływ na podniesienie poziomu bezpieczeństwa. Rozporządzenie nakazuje podmiotom finansowym skupienie się na ochronie interesów klientów poprzez identyfikację potencjalnych ryzyk operacyjnych i minimalizację ich. Przeprowadzenie analizy ryzyka pozwala na wczesne wykrywanie potencjalnych zagrożeń i podejmowanie działań zapobiegawczych, co zmniejsza ryzyko wystąpienia incydentów związanych z ICT i ewentualnych awarii.
W ramach analizy ryzyka podmioty finansowe muszą identyfikować i oceniać różne rodzaje ryzyk związanych z ich środowiskiem ICT, takie jak możliwość wystąpienia incydentów, cyberzagrożeń, błędów ludzkich, zagrożeń ze strony innych podmiotów finansowych, czy wpływu dostawców ICT. Przeprowadzenie analizy jest wymagane minimum raz w roku oraz przy znaczących zmianach w środowisku ICT.
Jako dostawca ICT musisz być gotowy na przejście tego procesu podczas nawiązywania współpracy z podmiotem finansowym. Jeżeli wcześniej przygotujesz się do niego, możesz przyspieszyć bieg zdarzeń. Przeprowadzając samemu analizę ryzyka oraz przyjmując perspektywę swoich klientów możesz również wyłapać różne problemy i zagrożenia związane z Twoimi usługami.
Audyty i testowanie
DORA nakłada na Twoją organizację obowiązek zapewnienia dostępu audytowego dla podmiotu finansowego. Jest to istotne w kontekście zapewnienia bezpieczeństwa, sprawności oraz zgodności regulacyjnej, z racji na możliwość dostępu do danych klientów, które są szczególnie wrażliwe i wymagają pełnej kontroli.
Z tego powodu musisz zapewnić nieograniczone prawa dostępu, kontroli i audytu przez podmiot finansowy lub wyznaczoną przez podmiot osobę trzecią. Warto zaznaczyć, że odnosi się to też do właściwego organu. Jest to istotne dla zapewnienia zgodności, bezpieczeństwa i sprawności operacyjnej. Jednakże ważne jest, aby takie prawa nie były ograniczone przez inne ustalenia umowne, czy politykę wdrażania, co mogłoby uniemożliwić skuteczne monitorowanie.
Oprócz praw audytowych, DORA nakłada na Twoją organizację obowiązek współpracy przy testowaniu operacyjnej odporności cyfrowej. Podmioty finansowe przeprowadzają testy penetracyjne w celu identyfikacji i zabezpieczenia się przed potencjalnymi zagrożeniami w swoich systemach i procesach ICT. Testy te obejmują krytyczne lub istotne funkcje finansowe oraz są wykonywane na działających systemach produkcyjnych wspierających te funkcje.
Jeśli program testów obejmuje dostawców usług ICT, podmioty finansowe muszą zapewnić ich udział i pełną odpowiedzialność za zgodność z wymaganiami regulacji. W sytuacjach, gdy udział dostawcy usług ICT w programie testów penetracyjnych (Threat-Led Penetration Testing – TLPT) może negatywnie wpłynąć na jakość usług świadczonych klientom, można zorganizować testowanie zbiorcze. Testowanie to obejmuje odpowiedni zakres usług ICT, a jego wyniki są uznawane za TLPT dla podmiotów finansowych uczestniczących w nim.
Wypowiedzenie umowy
Musisz być gotowy na to, że podmiot finansowy będzie chciał zapewnić sobie w ramach postanowień umownych możliwość rozwiązania umowy, zwłaszcza w przypadku poważnych naruszeń, zidentyfikowanych ryzyk, słabości w obszarze ICT, czy problemów nadzorczych.
W sytuacji, w której występują poważne naruszenia umowy, muszą zostać przewidziane klarowne procedury zgłaszania, a także należy opisać możliwe sankcje dla strony winnej. Umowa musi dokładnie określać warunki wypowiedzenia oraz strategie wyjścia, dostarczając w przypadku zakończenia współpracy, klarownych wytycznych dla obu stron. Celem tych postanowień jest zapewnienie płynności procesu zakończenia umowy.
Plany ciągłości i plan wyjścia
Polityka ciągłości działania podmiotów finansowych musi ściśle współgrać z kluczowymi elementami zarządzania ryzykiem związanym z ICT. W tym kontekście istotne są takie aspekty jak zarządzanie incydentami, strategie komunikacyjne, proces zarządzania zmianą oraz ryzykiem związanym z dostawcami ICT. Procedury zarządzania podatnościami muszą uwzględniać ryzyko ICT, a podmioty finansowe mają obowiązek monitorować, czy tacy dostawcy radzą sobie z podatnościami. Dostawcy usług ICT powinni zgłaszać istotne podatności, udostępniać statystyki i trendy dotyczące bezpieczeństwa oraz prowadzić dochodzenia w przypadku poważnych podatności, identyfikując ich przyczyny i wdrażając odpowiednie środki łagodzące. Dostawcy ICT musza kontrolować swoich poddostawców poprzez zarządzania ustaleniami umownymi ze swoimi podwykonawcami.
Podmioty finansowe muszą przeprowadzać analizę wpływu na działalność (BIA), która ma na celu ocenę potencjalnych skutków poważnych zakłóceń dla ich działalności gospodarczej. BIA obejmuje zarówno kryteria ilościowe, jak i jakościowe, opierając się na danych wewnętrznych i zewnętrznych oraz analizie scenariuszowej. W ramach BIA identyfikowane są i oceniane krytyczne funkcje biznesowe, procesy wsparcia oraz zależności od dostawców usług i zasobów informacyjnych. Jako dostawca ICT przygotuj się na bycie przedmiotem takiej analizy.
DORA wymaga od podmiotu finansowego również uwzględnienia w umowie planu wyjścia oraz środków bezpieczeństwa ICT, mając na uwadze funkcje krytyczne i istotne wspierane przez dostawcę ICT. Podmiot finansowy zobowiązany jest do utrzymania wysokiej operacyjnej odporności cyfrowej poprzez efektywne środki zaradcze w przypadku zakłóceń lub awarii systemów ICT. Ponadto postanowienia umowy powinny obejmować zobowiązanie dostawcy do udzielenia wsparcia w przypadku incydentów ICT, włączając w to aktywną pomoc w szybkim przywróceniu usług ICT do działania. Twoja organizacja musi być gotowa zapewnić wsparcie podmiotowi finansowemu mimo wdrożenia przez niego planu wyjścia ze współpracy z Tobą.
W jaki sposób uprościć nawiązanie współpracy z podmiotem finansowym?
Jako dostawca rozwiązań w zakresie ICT nie jesteś zobowiązany do przestrzegania rozporządzenia DORA. Zaczynasz być zobowiązany dopiero w momencie nawiązywania współpracy z podmiotami finansowymi. Z tego powodu warto przygotować się wcześniej, przeprowadzić analizę ryzyka z perspektywy klienta, przygotować informacje do rejestru informacji, czy też stworzyć odpowiednie procesy, które pomogą podczas audytów, wspólnych testów, czy też podczas wdrażania planu wyjścia ze współpracy z Twoją organizacją.
