RTS – Regulacyjne Standardy Techniczne dla DORA. Pierwsza grupa ogłoszona

29.01.2024

Kontrola ryzyka

Spis treści

Europejskie Urzędy Nadzoru 17 stycznia 2024 r. ogłosiły najnowszy zestaw regulacyjnych standardów technicznych opartych na rozporządzeniu dotyczącym operacyjnej odporności cyfrowej sektora finansowego. Te standardy precyzują metodę wdrażania zadań wynikających z DORA. W niniejszym artykule zostanie omówione jakie elementy zostały włączone do tych regulacji.

Czym są Regulacyjne Standardy Techniczne?

DORA harmonizuje i konsoliduje kluczowe elementy istniejących ram i standardów odporności cyfrowej w Unii Europejskiej, ale wprowadza także nowe wymogi. Podmioty finansowe są zainteresowane szeroką współpracą z zewnętrznymi dostawcami ICT, którzy otrzymują duży wpływ na środowisko ICT organizacji. Z tego też powodu DORA ma zastosowanie także do zewnętrznych dostawców usług ICT i wpływa na umowy zawierane przez podmioty finansowe z tymi dostawcami.

Z drugiej strony, samo rozporządzenie nie precyzuje konkretnych czynności czy dokumentów, które powinny zostać przygotowane w celu zapewnienia zgodności podmiotu finansowego z DORA. Regulacyjne standardy techniczne (RTS) mają na celu ustanowienie powszechnych ram prawnych w obszarach zarządzania ryzykiem ICT, zgłaszania poważnych incydentów związanych z ICT oraz zarządzania ryzykiem stron trzecich z nim związanym. z ICT.

Regulacyjny standard techniczny to narzędzie stosowane w Unii Europejskiej w celu doprecyzowania niektórych aspektów prawodawstwa i rozwinięcia szczegółowych specyfikacji technicznych w związku z zapewnieniem zgodności z prawem. Europejskie Urzędy Nadzoru (ESA) często opracowują RTS w celu zapewnienia bardziej szczegółowych wytycznych i określenia szczegółowych zasad, które uzupełniają szersze przepisy określone w prawodawstwie pierwotnym.

DORA zapewnia ramy prawne określające wysokopoziomowe zasady i wymagania mające działać na rzecz zapewnienia odporności operacyjnej podmiotów finansowych w epoce cyfrowej. Aby wdrożyć te zasady i wymagania w życie oraz zapewnić bardziej szczegółowe wytyczne dotyczące sposobu ich wdrażania, Europejskie Urzędy Nadzoru opracowały regulacyjne standardy techniczne dla DORA.

Co zawiera pierwsza paczka RTS?

Wdrożenie RTS zostało podzielone na dwie części. Opublikowany projekt standardów technicznych obejmuje trzy regulacyjne standardy techniczne (RTS) i jeden wykonawczy standard techniczny (ITS). Są to:

RTS dotyczące ram zarządzania ryzykiem ICT i uproszczonych ram zarządzania ryzykiem ICT;
RTS w sprawie kryteriów klasyfikacji incydentów związanych z ICT;
RTS określające politykę dotyczącą usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT;
ITS określający wzory rejestru informacji.

Poniżej zostały omówione poszczególne dokumenty.

RTS w sprawie ram zarządzania ryzykiem

Regulacyjne standardy techniczne w zakresie ram zarządzania ryzykiem mają na celu dalsze precyzyjne określenie elementów związanych z zarządzaniem ryzykiem ICT, mających służyć zharmonizowaniu narzędzi, metod, procesów i polityk. Elementy zdefiniowane w projekcie RTS uzupełniają istniejące już w ramach DORA. W ramach zagadnienia skupiono się m.in na tematach:

polityk, procedur, protokołów i narzędzi bezpieczeństwa ICT;
polityki zasobów ludzkich i kontroli dostępu;
detekcji i reakcji na incydenty związane z ICT;
zarządzania ciągłością działania systemów ICT;
raporcie z przeglądu ram zarządzania ryzykiem ICT.

Bazując na zasadzie proporcjonalności, którą kieruje się DORA, nałożony jest na podmiot finansowy obowiązek oceny i uzasadnienia standardu oraz zakresu wymogów, jakie musi przygotować, a także ostatecznie wdrożyć. W związku z tym w RTS zostały zdefiniowane zasady uproszczonych ram zarządzania ryzykiem ICT dotyczących części podmiotów.

RTS w sprawie kryteriów klasyfikacji incydentów związanych z ICT

Regulacyjne standardy techniczne dotyczące kryteriów klasyfikacji incydentów związanych z ICT określają obszary, takie jak; kryteria klasyfikacji poważnych incydentów, podejście do ich klasyfikacji, progi istotności dla każdego kryterium, a także kryteria i progi istotności służące do identyfikacji znaczących cyberzagrożeń.

RTS dostarczają kryteriów oceny incydentów. Organom w poszczególnych państwach członkowskich wskazują, jak określać ich znaczenie. RTS podają także szczegóły dotyczące udostępniania informacji o incydentach w tym kontekście. W rezultacie RTS harmonizują proces klasyfikacji zgłoszeń incydentów w całym sektorze finansowym.

RTS w sprawie polityki usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców

Regulacyjne standardy techniczne dotyczące polityki związanej z usługami ICT, wspierającymi krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców, określają kluczowe aspekty zarządzania, zarządzania ryzykiem oraz ram kontroli wewnętrznej. Zakres ten powinien zostać zdefiniowany przez podmioty finansowe w kontekście korzystania z usług zewnętrznych dostawców ICT. Głównym celem tych RTS jest umożliwienie podmiotom finansowym efektywnej kontroli nad ryzykiem operacyjnym, bezpieczeństwem informacji oraz ciągłością działania na przestrzeni całego cyklu życia umów z zewnętrznymi dostawcami usług ICT.

ITS w sprawie rejestru informacji

Wykonawczy standard techniczny (ITS) dotyczący rejestru informacji określa szablony, jakie powinny być utrzymywane i aktualizowane przez podmioty finansowe w kontekście ich ustaleń umownych z zewnętrznymi dostawcami usług ICT. Rejestr informacji pełni kluczową rolę w ramach zarządzania ryzykiem związanym z dostawcami usług ICT. Jego użyteczność obejmuje monitorowanie przestrzegania wymogów DORA przez podmioty finansowe oraz identyfikację kluczowych dostawców usług ICT, którzy podlegają systemowi nadzoru związanego z DORA. Te informacje są wykorzystywane przez właściwe organy i Europejskie Urzędy Nadzoru w celu skutecznego nadzorowania i egzekwowania przestrzegania wymogów regulacyjnych.

Co będzie zawarte w drugim pakiecie RTS?

Konsultacje w sprawie drugiej grupy regulacyjnych standardów technicznych trwają i zakończyły się w 4 marcu 2024 roku. Pakiet obejmuje:

RTS i ITS dotyczące treści, harmonogramów i szablonów zgłaszania incydentów;
wytyczne na temat zagregowanych kosztów i strat wynikających z poważnych incydentów;
RTS dotyczące outsorcingu funkcji krytycznych lub istotnych;
RTS dotyczące harmonizacji nadzoru;
wytyczne w sprawie współpracy w zakresie nadzoru między Europejskimi Urzędami Nadzoru, a właściwymi organami;
RTS dotyczące testów penetracyjnych opartych na zagrożeniach (TLPT).

Zadania w kierunku zgodności z DORA

Zapewnienie zgodności z DORA nie jest łatwym zadaniem. Rozporządzenie zawiera zestaw wysokopoziomowych zadań, które nie precyzują konkretnych kroków dotyczących realizacji. RTSy pomagają w nawigowaniu w zakresie zgodności z rozporządzeniem. Oprócz wskazanych w nich kroków, ważne jest rozplanowanie odpowiedzialności między działami organizacji finansowej. Pomocny w tym może być harmonogram wdrożenia rozporządzenia DORA, który łączy w sobie zadania rozpisane na linii czasu z odpowiedzialnościami działów: Compliance, Security, IT, nie pomijając też kluczowej roli zarządu.

harmonogram zarzadzania ryzykiem zgodnie z dora

Podsumowując, regulacyjne standardy techniczne stanowią kluczowe narzędzie w procesie zgodności z rozporządzeniem o cyfrowej odporności sektora finansowego. Ważne jest żebyś zapoznał się z nimi i przemyślał, w jakim zakresie Twój zespół musi dostosować aktualną dokumentację dla zgodności z rozporządzeniem o cyfrowej odporności sektora finansowego

Pierwsza paczka regulacyjnych standardów technicznych (RTS) składa się z trzech RTS i jednego ITS. RTS obejmują ramy zarządzania ryzykiem ICT, kryteria klasyfikacji incydentów związanych z ICT oraz politykę dotyczącą usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Dodatkowo, ITS określa wzory rejestru informacji. Każdy z tych dokumentów precyzyjnie określa elementy związane z zarządzaniem ryzykiem, klasyfikacją incydentów oraz polityką usług ICT.

Drugi pakiet RTS, którego konsultacje trwały do 4 marca 2024 r., zawiera RTS i ITS dotyczące treści, harmonogramów i szablonów zgłaszania incydentów, wytyczne dotyczące zagregowanych kosztów i strat wynikających z poważnych incydentów, RTS dotyczące outsorcingu funkcji krytycznych lub istotnych, RTS dotyczące harmonizacji nadzoru, wytyczne w sprawie współpracy w zakresie nadzoru między Europejskimi Urzędami Nadzoru, a właściwymi organami oraz RTS dotyczące testów penetracyjnych opartych na zagrożeniach (TLPT).

Podobne wpisy z kategorii

21.06.2024
- Automatyzacja
- Kontrola ryzyka
Tenable i RIG DORA – Cybersecurity techniczne i biznesowe

Działy cybersecurity i IT muszą współpracować, odpowiednio alokując swoje zasoby, aby osiągnąć wyznaczone cele. Muszą być gotowe na…

Przeczytaj
14.06.2024
- Kontrola ryzyka
Zakupy wybierają rozwiązanie do wdrożenia DORA

Duża część usług związanych z wdrożeniem DORA może być realizowana w formie zautomatyzowanych narzędzi. Jakie przeprowadzić efektywne zakupy?

Przeczytaj
12.06.2024
- Automatyzacja
- Kontrola ryzyka
Jak zaoszczędzić 59% budżetu i 66% czasu na szacowaniu ryzyka zgodnie z DORA?

Szacowanie ryzyka zgodnie z DORA wymaga wiele pracy związanej z mapowaniem procesów, ocenę ryzyka przy każdej większej zmianie infastruktury.

Przeczytaj