Odpowiedzialność osobista za zgodność z DORA

10.05.2024
  • Kontrola ryzyka
odpowiedzialnosc osobowa DORA

Każdy pracownik banku, czy innej instytucji finansowej jest świadomy odpowiedzialności, jaka może na nim spoczywać w związku z błędami i zaniechaniami w jego pracy. Dobrym przykładem tego jest sytuacja, w której zostanie złamana tajemnica bankowa, a pracownik przekaże umyślnie lub nie osobie trzeciej dane klienta banku. Zazwyczaj skutkiem tego jest odpowiedzialność odszkodowawcza względem podmiotu finansowego oraz klienta. Inaczej jest w przypadku DORA, która może nakładać na konkretnych pracowników kary administracyjne.

Odpowiedzialność a funkcja kierownicza w DORA 

Zgodnie z rozporządzeniem DORA, a dokładniej artykułem 5 pkt. 2 a), zarząd podmiotu finansowego ponosi ostateczną odpowiedzialność za kontrolę nad ryzykiem związanym z usługami ICT oraz strategią odporności operacyjnej. Jest to kluczowe ciało odpowiedzialne za określanie, zatwierdzanie i nadzorowanie wdrożenia ram zarządzania ryzykiem związanym z ICT, a także za pełną realizację tych ram. Według preambuły 45 DORA organy zarządzające muszą nie tylko skoncentrować się na środkach zapewniających odporność systemów ICT, ale także uwzględnić w tym ludzi i procesy poprzez zestaw polityk. Na każdym szczeblu struktury korporacyjnej i w odniesieniu do wszystkich pracowników należy budować świadomość czynników ryzyka w cyberprzestrzeni i zaangażowanie na rzecz ścisłego przestrzegania zasad w zakresie higieny cyberbezpieczeństwa. 

Projekt polskiej legislacji wprowadzającej DORA do polskiego porządku prawnego wychodzi dalej i definiuje “funkcję kierownicą”. Oznacza to, że osoby zarządzające danymi obszarami, które nie są członkami zarządu, również będą mieć nałożoną na siebie odpowiedzialność osobową za zapewnienie zgodności z rozporządzeniem.

Sankcje za brak zgodności z DORA?

DORA oraz wspomniany w poprzednim rozdziale projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego wprowadzają szereg sankcji. Związane sa one z nieumyślnymi zaniechaniami oraz umyślnymi działaniami mającymi na celu obniżenie poziomu cyfrowej odporności operacyjnej podmiotu finansowego.

Sankcje wynikające z nieprzestrzegania postanowień DORA dla podmiotów finansowych są surowe i obejmują szereg środków od nagany publicznej po wycofanie licencji na działalność nadzorowaną. Polski projekt ustawy precyzuje kary związane z działaniem niezgodnym z DORA. Obejmują one nakaz zaprzestania danego zachowania, zakaz pełnienia funkcji kierowniczych oraz kary pieniężne, które mogą być stosowane wobec osób prawnych lub jednostek organizacyjnych, a także osób fizycznych, odpowiedzialnych za naruszenie. 

Ponadto, mimo że DORA jest regulacją UE, jej wpływ jest globalny, więc instytucje finansowe, zarówno te działające w UE, jak i współpracujące z klientami z UE, muszą przestrzegać DORA niezależnie od lokalizacji siedziby firmy. Dostawcy usług ICT muszą również przestrzegać DORA i odpowiednio dobierać swoich własnych dostawców, gdyż mogą ponosić konsekwencje za nieprzestrzeganie jej wymagań.

Dokładne omówienie sankcji finansowych za brak zgodności z rozporządzeniem DORA znajduje się w artykule o konsekwencjach dla osób i instytucji.

Konsekwencje dla zarządu i kierownictwa w kontekście DORA

DORA, jak i NIS2, wychodzą ponad poziom odpowiedzialności zarządu na płaszczyznach: karnej, cywilnej i odszkodowawczej dokładając do tego odpowiedzialność administracyjną. W przeciwieństwie do poprzednich, ten rodzaj cechuje się natychmiastową wykonalnością kary i dopiero późniejszą możliwością odwoławczą. W artykule o zadaniach zarządu w kontekście DORA, wspominaliśmy o tych, które dotyczą czynności przeprowadzenia wdrożenia DORA. Czynności, które kadra zarządzająca może zrobić w celu zmniejszenia zagrożenia wystąpienia konsekwencji osobistych to:

  • wybranie najbardziej kompetentnej osoby w zakresie zarządzania ryzykiem ICT w zarządzie i wyznaczenie tej osoby do nadzoru nad zagadnieniem;
  • weryfikacja kompetencji w działach compliance i security z zakresu tworzenia polityk, planów, procedur, które zarząd musi akceptować;
  • akceptacja polityk, procedur oraz planów w zakresie bezpieczeństwa ICT i nadzór nad ich wdrożeniem;
  • zdecydowanie o wdrożeniu odpowiednich narzędzi, które mają pomóc organizacji w zarządzaniu ryzykiem;
  • szkolenie zarządu, które mają zapewnić tej grupie odpowiednią wiedzę do podejmowania najważniejszych decyzji w zakresie zarządzania ryzykiem ICT. 

Warto zrobić wszystko, co możliwe, żeby upewnić się, że Twoja organizacja, a przez to Ty, jesteś zgodny z DORA. Jest to dobry moment na działania związane z tym, ponieważ zostało jeszcze kilka miesięcy do 17 stycznia 2025, czyli dnia wejścia w życie DORA. Jest to też dobra okazja, żeby zmierzyć się ze wszystkimi starszymi problemami i zaniechaniami, które po wspomnianej dacie mogą okazać się dużym zagrożeniem i ryzykiem interwencji KNF.

Wyznaczenie członka zarządu

Zarząd mierzy się z wieloma obowiązkami i jest odpowiedzialny za powodzenie organizacji jako całej. DORA to zauważa i nie oczekuje od wszystkich członków zarządu zajmowania się zagadnieniem bezpieczeństwa środowiska ICT równocześnie. Ustęp 3 artykułu 5 wskazuje, że podmioty finansowe niebędące mikroprzedsiębiorstwami mają ustanowić funkcję monitorowania i nadzoru nad ryzykiem związanym z usługami ICT. Może to być jeden z członków zarządu lub przedstawiciel grupy kierowniczej wyższego szczebla. Osoba ta powinna być odpowiedzialna za nadzorowanie między innymi ekspozycji na ryzyko związane ze współpracą z zewnętrznymi dostawcami ICT i odpowiedniej w tym zakresie dokumentacji.

Sprawdź jak powinna przebiegać praca nad wdrożeniem zarządzania ryzykiem zgodnie z DORA nadzorowana przez wyznaczonego członka zarządu.

harmonogram zarzadzania ryzykiem zgodnie z dora

Akceptowanie polityk

Rolą zarządu nie jest operacyjna realizacja zadań wynikających z DORA. Skala czynności, które trzeba zrealizować, znacząco wykracza ponad możliwości i dostępny czas tego zespołu. Rolą zarządu jest akceptowanie planów, polityk, procedur i ról w organizacji, które przyczynią się do realizacji wymagań DORA. Są to między innymi:

  • ustalanie i przeglądanie jasnych ról i obowiązków w przypadku wszystkich funkcji związanych z ICT oraz ustanawianie ustaleń dotyczących zarządzania;
  • ustanawianie i weryfikacja kanałów raportowania dla zewnętrznych dostawców usług ICT, planowanych istotnych zmian w zewnętrznych dostawcach usług ICT, potencjalnego wpływu takich zmian na krytyczne lub ważne funkcje oraz poważnych incydentów związanych z ICT;
  • wdrażanie i przeglądanie polityki dostępności, autentyczności, integralności i poufności danych;
  • zatwierdzanie i przeglądanie polityki ciągłości działania ICT podmiotu finansowego oraz planu reagowania i naprawy ICT;
  • zatwierdzanie planów i modyfikacji audytów wewnętrznych ICT oraz przeglądanie wyników;
  • przydział i przegląd cyfrowej odporności operacyjnej.

Zarząd musi również regularnie przeglądać te dokumenty w celu upewnienia się, że dalej są dostosowane do potrzeb organizacji.

Wdrożenie odpowiednich narzędzi

Dużym problemem, z którym będą musiały zmierzyć się podmioty finansowe, jest fakt, że analiza ryzyka jest rozproszona na różne osoby i działy. Powoduje to, że dane są niespójne i brakuje całościowego, wielowymiarowego obrazu ryzyka, który trzeba całościowo przedstawić przed KNF. Z tego powodu zarząd i kierownictwo wyższego szczebla może mieć trudność w podejmowaniu właściwych decyzji.

Warto zastanowić się nad wdrożeniem narzędzia z kategorii Governance, Risk & Compliance. Trzeba jednak zwrócić uwagę, że w większości z nich zastosowano metodykę zarządzania ryzykiem opartą na procesach. Rozporządzenie DORA wymaga jednak metodyki opartej o aktywa. Takim narzędziem z kategorii GRC z metodyką Asset Based Approach jest RIG DORA. Dzięki niemu, mając pełną wiedzę o metodyce oceny ryzyka i dostępowi do wszystkich niezbędnych dokumentów, jesteś w stanie skutecznie zarządzać ryzykiem. RIG DORA działa zgodnie  z normami ISO. Jest jednocześnie archiwum dokumentów i analiz ryzyka. Umożliwia mapowanie informacji o zasobach, zabezpieczeniach i procesach w sposób zautomatyzowany. Dzięki temu masz możliwość klarownej prezentacji kluczowych ryzyk i odpowiednich działań zaradczych. RIG DORA daje Ci również możliwość rozliczalności zadań oraz możliwość wysokopoziomowego spojrzenia na poziom ryzyka ICT w całej organizacji.

Szkolenie zarządu

Ustęp 4 artykułu 5 wymaga od członków zarządu aktywnej aktualizacji wiedzy i swoich umiejętności. Dzięki temu będą oni posiadać odpowiednią możliwość zrozumienia i oceny ryzyka związanego ze środowiskiem ICT i jego wpływu na działalność operacyjną podmiotu finansowego. Szkolenia mogą obejmować takie zagadnienia jak:

  • podstawowe cechy techniczne i organizacyjne bezpieczeństwa i odporności teleinformatycznej;
  • znaczenie bezpieczeństwa i odporności środowiska ICT dla organizacji;
  • katalog ryzyk związanych z ICT, na jakie narażony jest podmiot finansowy; 
  • środki, które podmiot finansowy ma do dyspozycji w celu ograniczenia tego ryzyka.

Szkolenie może być prowadzone w formie wykładów, warsztatów oraz case study, warto również udokumentować zakres szkolenia w przypadku ewentualnych kontroli.

Termin wejścia w życie DORA

Podmioty finansowe stają przed nowymi wyzwaniami. Regulacje takie jak NIS2, czy DORA, która wchodzi w życie 17 stycznia 2025 roku, nakładają na nie wiele nowych obowiązków i odpowiedzialności. Z tego powodu zarządy i kierownictwo tych organizacji muszą już teraz pracować nad zapewnieniem bezpieczeństwa, ale również w celu ochrony przed osobistą odpowiedzialnością administracyjną. Rok 2024 to ostatni moment, żeby zwrócić uwagę na wieloletnie zaniechania i wskazać obszary do poprawy. 

Z tego powodu zapraszamy do zapoznania się z harmonogramem wdrożenia DORA, który został przygotowany przez nasz zespół. Podzieliliśmy w nim zadania w grupy według obszarów kompetencji danego zespołu i określiliśmy czas potrzebny na dane czynności.

Zapisz się na newsletter
Po zgłoszeniu swojego e-maila będziesz dostawać od nas raz na dwa tygodnie nowo opublikowane treści na naszej stronie.
Podobne wpisy z kategorii