Każdy pracownik banku, czy innej instytucji finansowej jest świadomy odpowiedzialności, jaka może na nim spoczywać w związku z błędami i zaniechaniami w jego pracy. Dobrym przykładem tego jest sytuacja, w której zostanie złamana tajemnica bankowa, a pracownik przekaże umyślnie lub nie osobie trzeciej dane klienta banku. Zazwyczaj skutkiem tego jest odpowiedzialność odszkodowawcza względem podmiotu finansowego oraz klienta. Inaczej jest w przypadku DORA, która może nakładać na konkretnych pracowników kary administracyjne.
Odpowiedzialność a funkcja kierownicza w DORA
Zgodnie z rozporządzeniem DORA, a dokładniej artykułem 5 pkt. 2 a), zarząd podmiotu finansowego ponosi ostateczną odpowiedzialność za kontrolę nad ryzykiem związanym z usługami ICT oraz strategią odporności operacyjnej. Jest to kluczowe ciało odpowiedzialne za określanie, zatwierdzanie i nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT, a także za pełną realizację tych ram. Projekt polskiej legislacji, mającej wprowadzić DORA do polskiego porządku prawnego definiuje ich jako “funkcję kierownicą”. Według preambuły 45 DORA organy zarządzające muszą nie tylko skoncentrować się na środkach zapewniających odporność systemów ICT, ale także uwzględnić w tym ludzi i procesy poprzez zestaw polityk. Na każdym szczeblu struktury korporacyjnej i w odniesieniu do wszystkich pracowników należy budować świadomość czynników ryzyka w cyberprzestrzeni i zaangażowanie na rzecz ścisłego przestrzegania zasad w zakresie higieny cyberbezpieczeństwa.
Sankcje za brak zgodności z DORA?
DORA oraz wspomniany w poprzednim rozdziale projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wprowadzają szereg sankcji. Związane sa one z nieumyślnymi zaniechaniami oraz umyślnymi działaniami mającymi na celu obniżenie poziomu cyfrowej odporności operacyjnej podmiotu finansowego.
Sankcje wynikające z nieprzestrzegania postanowień DORA dla podmiotów finansowych są surowe i obejmują szereg środków od nagany publicznej po wycofanie licencji na działalność nadzorowaną. Polski projekt ustawy precyzuje kary związane z działaniem niezgodnym z DORA. Obejmują one nakaz zaprzestania danego zachowania, zakaz pełnienia funkcji kierowniczych oraz kary pieniężne, które mogą być stosowane wobec osób prawnych lub jednostek organizacyjnych, a także osób fizycznych, odpowiedzialnych za naruszenie.
Ponadto, mimo że DORA jest regulacją UE, jej wpływ jest globalny, więc instytucje finansowe, zarówno te działające w UE, jak i współpracujące z klientami z UE, muszą przestrzegać DORA niezależnie od lokalizacji siedziby firmy. Dostawcy usług ICT muszą również przestrzegać DORA i odpowiednio dobierać swoich własnych dostawców, gdyż mogą ponosić konsekwencje za nieprzestrzeganie jej wymagań.
Dokładne omówienie sankcji finansowych za brak zgodności z rozporządzeniem DORA znajduje się w artykule o konsekwencjach dla osób i instytucji.
Konsekwencje dla zarządu w kontekście DORA
DORA, jak i NIS2, wychodzą ponad poziom odpowiedzialności zarządu na płaszczyznach: karnej, cywilnej i odszkodowawczej dokładając do tego odpowiedzialność administracyjną. W przeciwieństwie do poprzednich, ten rodzaj cechuje się natychmiastową wymagalnością kary i dopiero późniejszą możliwością odwoławczą. W artykule o zadaniach zarządu w kontekście DORA, wspominaliśmy o tych, które dotyczą czynności przeprowadzenia wdrożenia DORA. Czynności, które kadra zarządzająca może zrobić w celu zmniejszenia zagrożenia wystąpienia konsekwencji osobistych to:
- wybranie najbardziej kompetentnej osoby w zakresie zarządzania ryzykiem ICT w zarządzie i wyznaczenie tej osoby do nadzoru nad zagadnieniem;
- weryfikacja kompetencji w działach compliance i security z zakresu tworzenia polityk, planów, procedur, które zarząd musi akceptować;
- akceptacja polityk, procedur oraz planów w zakresie bezpieczeństwa ICT i nadzór nad ich wdrożeniem;
- zdecydowanie o wdrożeniu odpowiednich narzędzi, które mają pomóc organizacji w zarządzaniu ryzykiem;
- szkolenie zarządu, które mają zapewnić tej grupie odpowiednią wiedzę do podejmowania najważniejszych decyzji w zakresie zarządzania ryzykiem ICT.
Warto zrobić wszystko, co możliwe, żeby upewnić się, że Twoja organizacja, a przez to Ty, jesteś zgodny z DORA. Jest to dobry moment na działania związane z tym, ponieważ zostało jeszcze kilka miesięcy do 17 stycznia 2025, czyli dnia wejścia w życie DORA. Jest to też dobra okazja, żeby zmierzyć się ze wszystkimi starszymi problemami i zaniechaniami, które po wspomnianej dacie mogą okazać się dużym zagrożeniem i ryzykiem interwencji KNF.
Wyznaczenie członka zarządu
Zarząd mierzy się z wieloma obowiązkami i jest odpowiedzialny za powodzenie organizacji jako całej. DORA to zauważa i nie oczekuje od wszystkich członków zarządu zajmowania się zagadnieniem bezpieczeństwa środowiska ICT równocześnie. Ustęp 3 artykułu 5 wskazuje, że podmioty finansowe niebędące mikroprzedsiębiorstwami mają ustanowić funkcję monitorowania i nadzoru nad ryzykiem związanym z usługami ICT. Może to być jeden z członków zarządu lub przedstawiciel grupy kierowniczej wyższego szczebla. Osoba ta powinna być odpowiedzialna za nadzorowanie między innymi ekspozycji na ryzyko związane ze współpracą z zewnętrznymi dostawcami ICT i odpowiedniej w tym zakresie dokumentacji.
Sprawdź jak powinna przebiegać praca nad wdrożeniem zarządzania ryzykiem zgodnie z DORA nadzorowana przez wyznaczonego członka zarządu.
Akceptowanie polityk
Rolą zarządu nie jest operacyjna realizacja zadań wynikających z DORA. Skala czynności, które trzeba zrealizować, znacząco wykracza ponad możliwości i dostępny czas tego zespołu. Rolą zarządu jest akceptowanie planów, polityk, procedur i ról w organizacji, które przyczynią się do realizacji wymagań DORA. Są to między innymi:
- ustalanie i przeglądanie jasnych ról i obowiązków w przypadku wszystkich funkcji związanych z ICT oraz ustanawianie ustaleń dotyczących zarządzania;
- ustanawianie i weryfikacja kanałów raportowania dla zewnętrznych dostawców usług ICT, planowanych istotnych zmian w zewnętrznych dostawcach usług ICT, potencjalnego wpływu takich zmian na krytyczne lub ważne funkcje oraz poważnych incydentów związanych z ICT;
- wdrażanie i przeglądanie polityki dostępności, autentyczności, integralności i poufności danych;
- zatwierdzanie i przeglądanie polityki ciągłości działania ICT podmiotu finansowego oraz planu reagowania i naprawy ICT;
- zatwierdzanie planów i modyfikacji audytów wewnętrznych ICT oraz przeglądanie wyników;
- przydział i przegląd cyfrowej odporności operacyjnej.
Zarząd musi również regularnie przeglądać te dokumenty w celu upewnienia się, że dalej są dostosowane do potrzeb organizacji.
Wdrożenie odpowiednich narzędzi
Dużym problemem, z którym będą musiały zmierzyć się podmioty finansowe, jest fakt, że analiza ryzyka jest rozproszona na różne osoby i działy. Powoduje to, że dane są niespójne i brakuje całościowego, wielowymiarowego obrazu ryzyka, który trzeba całościowo przedstawić przed KNF. Z tego powodu zarząd i kierownictwo wyższego szczebla może mieć trudność w podejmowaniu właściwych decyzji.
Warto zastanowić się nad wdrożeniem narzędzia z kategorii Governance, Risk & Compliance. Trzeba jednak zwrócić uwagę, że w większości z nich zastosowano metodykę zarządzania ryzykiem opartą na procesach. Rozporządzenie DORA wymaga jednak metodyki opartej o aktywa. Takim narzędziem z kategorii GRC z metodyką Asset Based Approach jest RIG DORA. Dzięki niemu, mając pełną wiedzę o metodyce oceny ryzyka i dostępowi do wszystkich niezbędnych dokumentów, jesteś w stanie skutecznie zarządzać ryzykiem. RIG DORA działa zgodnie z normami ISO. Jest jednocześnie archiwum dokumentów i analiz ryzyka. Umożliwia mapowanie informacji o zasobach, zabezpieczeniach i procesach w sposób zautomatyzowany. Dzięki temu masz możliwość klarownej prezentacji kluczowych ryzyk i odpowiednich działań zaradczych. RIG DORA daje Ci również możliwość rozliczalności zadań oraz możliwość wysokopoziomowego spojrzenia na poziom ryzyka ICT w całej organizacji.
Szkolenie zarządu
Ustęp 4 artykułu 5 wymaga od członków zarządu aktywnej aktualizacji wiedzy i swoich umiejętności. Dzięki temu będą oni posiadać odpowiednią możliwość zrozumienia i oceny ryzyka związanego ze środowiskiem ICT i jego wpływu na działalność operacyjną podmiotu finansowego. Szkolenia mogą obejmować takie zagadnienia jak:
- podstawowe cechy techniczne i organizacyjne bezpieczeństwa i odporności teleinformatycznej;
- znaczenie bezpieczeństwa i odporności środowiska ICT dla organizacji;
- katalog ryzyk związanych z ICT, na jakie narażony jest podmiot finansowy;
- środki, które podmiot finansowy ma do dyspozycji w celu ograniczenia tego ryzyka.
Szkolenie może być prowadzone w formie wykładów, warsztatów oraz case study, warto również udokumentować zakres szkolenia w przypadku ewentualnych kontroli.
Termin wejścia w życie DORA
Podmioty finansowe stają przed nowymi wyzwaniami. Regulacje takie jak NIS2, czy DORA, która wchodzi w życie 17 stycznia 2025 roku, nakładają na nie wiele nowych obowiązków i odpowiedzialności. Z tego powodu zarządy i kierownictwo tych organizacji muszą już teraz pracować nad zapewnieniem bezpieczeństwa, ale również w celu ochrony przed osobistą odpowiedzialnością administracyjną. Rok 2024 to ostatni moment, żeby zwrócić uwagę na wieloletnie zaniechania i wskazać obszary do poprawy.
Z tego powodu zapraszamy do zapoznania się z harmonogramem wdrożenia DORA, który został przygotowany przez nasz zespół. Podzieliliśmy w nim zadania w grupy według obszarów kompetencji danego zespołu i określiliśmy czas potrzebny na dane czynności.
