Banki, podmioty ubezpieczeniowe oraz inni przedstawiciele polskiego sektora finansowego nadzorowani są przez Komisję Nadzoru Finansowego. Tę relację definiuje szereg regulacji jak Prawo Bankowe, Ustawa o nadzorze nad rynkiem finansowym, czy Ustawa o usługach płatniczych1. Digital Operational Resilience Act (DORA) wpływa na tę zależność.
Nadzór KNF związany z rozporządzeniem DORA odnosi się do dostosowania wytycznych i nadzoru w obszarze bezpieczeństwa ICT, aby uwzględnić nowe wymogi wynikające z DORA. Rozporządzenie wprowadza nowe wymagania w zakresie zgodności w całym sektorze finansowym UE oraz zobowiązuje organizację nadzoru finansowego do bezpośredniej kontroli dostawców rozwiązań teleinformatycznych, którzy mają kluczowe znaczenie dla systemu finansowego UE. Dzięki temu, KNF będzie musiał dostosować swoje wytyczne i nadzór, szczególnie pod kątem zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT.
Jak DORA wpływa na regulacje dla sektora finansowego i nadzór KNF?
Sektor finansowy Unii Europejskiej jest regulowany przez spójny zbiór przepisów i podlega nadzorowi ze strony Europejskiego Systemu Nadzoru Finansowego. Niemniej jednak, przepisy dotyczące operacyjnej odporności cyfrowej oraz bezpieczeństwa ICT dotychczas w pełni nie zostały ujednolicone. Odpowiedzią na to jest rozporządzenie DORA, które poprzez swoje wytyczne w jasny sposób określa zadania podmiotów finansowych w Europejskim Obszarze Gospodarczym. Dokument ten wpływa również na pracę Komisji Nadzoru Finansowego oraz UKNF przyczyniając się do zwiększenia możliwości monitorowania rynku i ochrony klientów.
DORA wprowadza znaczące zmiany w zakresie nadzoru KNF nad instytucjami finansowymi. Rozszerza zakres regulacji dotyczących bezpieczeństwa ICT na inne podmioty z sektora finansowego, takie jak dostawcy usług w zakresie kryptoaktywów, pośrednicy zarządzający alternatywnymi funduszami inwestycyjnymi, dostawcy usług chmury obliczeniowej oraz dostawcy zewnętrzni usług ICT, którzy dotychczas nie byli objęci tak obszernymi regulacjami. DORA nakłada również wymóg poświadczenia odporności stron trzecich, co wymaga bliskiej i efektywnej współpracy z kluczowymi dostawcami usług ICT, zwłaszcza gdy wspierają oni świadczenie ważnych usług biznesowych. W związku z tym KNF będzie musiał dostosować swoje wytyczne i nadzór w obszarze bezpieczeństwa ICT, aby uwzględnić nowe wymogi wynikające z rozporządzenia DORA.
Podmiot finansowy a właściwe organy
DORA nie określa w swoich definicjach jednoznacznie, czym są właściwe organy. Więcej informacji przekazuje artykuł 46, w którym przedstawione zostały odnośniki do różnych dokumentów EU, w których sprecyzowane są właściwe organy dla każdej z kategorii podmiotów finansowych. Dla większości z nich podmiotem zapewniającym przestrzeganie rozporządzenia będzie KNF, dlatego w dalszej części artykułu będziemy do niego referować.
Uprawnienia KNF
DORA w artykule 50 określa, że nadzór posiada wszelkie uprawnienia do kontroli i nakładania kar, a może robić to poprzez m.in;
-dostęp do dokumentów i danych przechowywanych w formie fizycznej i cyfrowej,
-przeprowadzanie kontroli fizycznie w przestrzeniach podmiotu finansowego,
-wzywanie przedstawicieli do złożenia wyjaśnień i przeprowadzanie przesłuchań.
Nadzór może również wymagać naprawy naruszeń wymogów nakładanych przez rozporządzenie.
KNF może również nałożyć szereg kar w tym; nakaz zaprzestania działań naruszających wytyczne DORA, kary pieniężne i inne oraz podanie do opinii publicznej danych osoby fizycznej czy prawnej i przedmiotu naruszenia.
Jakie zadania DORA nakłada na KNF?
Komisja Nadzoru Finansowego, jak zostało wspomniane w poprzedniej części, może zapytać zawsze i o wszystkie dane przedsiębiorstwa, ale DORA wskazuje jeszcze kilka dodatkowych zadań nadzorczych. KNF weryfikuje stosowanie zasady proporcjonalności przez podmiot finansowy podczas przeglądu spójności ram zarządzania ryzykiem ICT. Ocenia też plan testów penetracyjnych. Organizacja decyduje, które krytyczne lub istotne funkcje powinny zostać poddane testom oraz określa ich częstotliwość, ale nadzór może wydać inne zalecenia w tym zakresie. Podobnie jest względem zagadnienia zewnętrznych dostawców ICT. Właściwy organ może uzyskać dostęp do pełnego rejestru zawierającego informacje dotyczące korzystania z zewnętrznych usług ICT i ich dostawców oraz wszelkie inne informacje, które mogą być niezbędne podczas kontroli.
Jakie zadania DORA nakłada na podmiot finansowy?
Rozporządzenie nakłada na przedstawicieli sektora finansowego szereg zadań związanych z zapewnieniem odpowiedniego poziomu operacyjnej odporności cyfrowej. Firmy te również muszą informować KNF o szeregu zdarzeń. W tym rozdziale omówimy je.
Informowanie o ramach zarządzania ryzykiem ICT
Podmiot finansowy tworzy ramy zarządzania ryzykiem związanym z ICT. Jego zadaniem jest minimalizowanie wpływu ryzyka poprzez wdrożenie odpowiednich strategii czy polityk. Jeżeli Twój zespół dostanie takie wezwanie, musicie przekazać pełne i aktualne informacje na temat ryzyka związanego z ICT oraz dokumentację dotyczącą Waszych ram zarządzania ryzykiem. Nadzór może również zażądać otrzymania raportów z okresowych przeglądów ram.
W materiale do pobrania możesz sprawdzić z czego powinny składać się ramy zarządzania ryzykiem.
Komunikacja o incydentach
Ważnym elementem polityki ciągłości działania jest komunikacja o incydentach z KNF. Musicie powiadomić nadzór w przypadku każdego znacznego incydentu, możecie również informować tę insytucję w przypadku mniejszych incydentów oraz wykrytych, potencjalnych cyberzagrożeń. Jest to ważne, ponieważ DORA stawia mocny akcent na wymianie informacji w sektorze w ramach wczesnego ostrzegania. Każdy podmiot finansowy musi na żądanie podać szacunkową kwotę strat wynikających z incydentów ICT.
Powiadomienie nadzoru o incydencie powinno zostać przeprowadzone w trzech etapach:
- Pierwsza, wstępna informacja o zdarzeniu;
- Sprawozdanie śródkoresowe, w którym zawarte są nowe informacje, aktualizacja dotycząca zagrożenia;
- Sprawozdanie końcowe, które składa się po zakończeniu analizy przyczyn incydentu, niezależnie od tego, czy zostały wdrożone już środki naprawiające skutki zdarzenia.
Informowanie o zmianach wprowadzonych po incydentach
Każdy incydent jest zagrożeniem, ale również możliwością do nauki. DORA nakłada na Twoją organizację obowiązek analizy przyczyny zakłócenia oraz wdrożenia planu naprawczego, który będzie adresował zidentyfikowane słabości. Kolejnym krokiem jest przekazanie nadzorowi raportu o przyczynach, wnioskach i następnych działaniach po incydencie.
Błędy wykrywane przez nadzór
KNF w swoich kontrolach nadzorczych zidentyfikował szereg obszarów, które są najbardziej problematyczne dla sektora finansowego. Lista zawierająca część błędów bazuje na sprawozdaniach rocznych z działalności UKNF i KNF, które możesz znaleźć pod linkiem. Możesz zapoznać się z nimi i sprawdzić, jak zagospodarowane są w Twojej organizacji, co może pomóc przygotować się na przyszłe kontrole.
Zarządzanie uprawnieniami
Pierwszy z problematycznych obszarów wymienionych w sprawozdaniach odnosi się do tematu uprawnień. Nadzór zidentyfikował szereg błędów jak brak przeglądów nadawanych uprawnień i weryfikacji czy faktycznie nadane uprawnia zgadzają się z polityką firmy. Innym błędem był brak uwzględnienia zagrożeń związanych z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych w zasadach zarządzania uprawnieniami.
Bezpieczeństwo środowiska teleinformatycznego
Kontrolowane podmioty finansowe posiadały nieskuteczny i słabo sformalizowany system zarządzania bezpieczeństwem ICT. Środowisko ICT tych firm nie było systematycznie audytowane. Systemy poczty elektronicznej były niewystarczająco zabezpieczone w celu kontroli nad przepływem informacji poufnych. Nadzór zwrócił również uwagę na duże zagrożenie atakami DOS/DDOS i brak wystarczających zabezpieczeń przed takim scenariuszem. Dostrzeżono zagrożenie dla urządzeń mobilnych w formie braku automatycznej ochrony przed szkodliwym oprogramowaniem.
Zidentyfikowano brak dobrze określonych zasad aktualizowania środowiska oraz brak prowadzenia rejestru oprogramowania użytkownika końcowego.
Ciągłość działania
W planowaniu ciągłości działania, nadzór zidentyfikował brak aktualizacji planów, nawet pomimo licznych zmian organizacyjnych. Dodatkowo, brakowało szczegółowych instrukcji dotyczących odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii zapasowych. W kontekście kontroli kopii zapasowych zauważono brak regularnych testów poprawności ich wykonywania oraz możliwości skutecznego przywrócenia danych z tych kopii.
Jeśli chodzi o ciągłość działania w chmurze obliczeniowej, brakowało udokumentowanych planów uwzględniających ewentualną utratę kontroli nad przetwarzanymi informacjami u dostawcy usług publicznej chmury obliczeniowej.
Wskazówki do poprawy
Powyższe trzy przykłady są częścią błędów zidentyfikowanych przez KNF podczas kontroli. Wybraliśmy te, które są wyzwaniami spójnymi z rozporządzeniem DORA.
Zarządzanie uprawnieniami, bezpieczeństwo środowiska teleinformatycznego oraz ciągłość działania stanowią kluczowe obszary, w których kontrolowane podmioty finansowe muszą podjąć działania naprawcze. Dostępność sprawozdań rocznych z działalności UKNF i KNF dostarcza cennych wskazówek dotyczących obszarów wymagających poprawy, co może stanowić ważne wsparcie w procesie przygotowania się na przyszłe kontrole. W obliczu tych wyzwań, istotne jest, aby podmioty finansowe skoncentrowały się na wdrożeniu skutecznych i zgodnych z wymogami rozwiązań, aby zapewnić niezbędną ochronę danych i infrastruktury teleinformatycznej.
