Ze względu na dynamiczne zmiany w obszarze technologii informacyjno-komunikacyjnych (ICT) oraz rosnące zagrożenia związane z cyberbezpieczeństwem podmioty finansowe muszą cechować się proaktywnym i kompleksowym podejściem do identyfikowania, oceny i rozwiązywania potencjalnych zagrożeń. Brak takiego podejścia mógłby zagrozić operacyjnej odporności cyfrowej, bezpieczeństwu sieci oraz integralności, dostępności, autentyczności i poufności danych podmiotów finansowych i ich klientów. Z tego powodu duże znaczenie ma prawidłowe ustalenie i zachowanie zasad bezpieczeństwa we współpracy z zewnętrznymi dostawcami ICT. Wielokrotnie zdarzało się, że dostęp do systemów IT organizacji był pozyskiwany poprzez infrastrukturę zewnętrznego dostawcy. Przykładem tego jest atak na korporację SolarWinds z 2020 roku, w którym dostawcy byli wykorzystani do kolejnych włamań. Hakerzy uzyskali wtedy dostęp do środowisk ICT wielu globalnych korporacji. Rozporządzenie DORA zwraca na to uwagę, określa zasady współpracy z dostawcami oraz wskazuje, w jaki sposób możliwe jest ograniczanie ryzyka podczas korzystania z usług ICT świadczonych przez zewnętrzne podmioty.
Dlaczego DORA skupia się na zarządzaniu ryzykiem ICT?
Zmiany w funkcjonowaniu podmiotów finansowych, takie jak przeniesienie płatności do świata cyfrowego, handel elektroniczny czy obsługa roszczeń online, sprawiają, że korzystanie z usług informatycznych staje się podstawowym elementem ich codziennej działalności. W dzisiejszych czasach systemy IT budowane są jako sieć naczyń połączonych. Część z nich jest tworzona wewnętrznie w organizacji, ale występuje również duża grupa, która pozyskiwana jest od zewnętrznych dostawców ICT. Z tego powodu w interesie podmiotów finansowych jest prawidłowa ocena dostawców, która zwiększy ogólne bezpieczeństwo całego środowiska ICT organizacji. Niemniej jednak, pomimo znaczącej roli, jaką pełnią usługi ICT, brak jednoznacznych standardów na poziomie ogólno wspólnotowym dotyczących umów z zewnętrznymi dostawcami usług ICT był wyzwaniem w skutecznym zarządzaniu ryzykiem. Z tego powodu DORA zagospodarowując tę lukę ustanawia zasady, którymi mają kierować się podmioty finansowe w zarządzaniu ryzykiem związanym z dostawcami usług ICT.
DORA zawiera szeroką definicję zewnętrznego dostawcy usług ICT określając go, jako “przedsiębiorstwo świadczące usługi ICT”, a usługi ICT definiowane są jako “usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą i usługami w zakresie sprzętu komputerowego obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej”. Ma to na celu, jak najbardziej horyzontalne podejście do zagadnienia. Jeżeli firma współpracująca z podmiotem finansowym zastanawia się, czy jest dla niego dostawcą ICT i odnoszą się do niej wymagania DORA – najprawdopodobniej nim jest.
Te zasady nie tylko uzupełniają przepisy sektorowe dotyczące outsourcingu, ale także stanowią fundament kompleksowego podejścia do zarządzania ryzykiem w kontekście korzystania z usług ICT. W ten sposób podmioty finansowe zyskują pewność, że są w stanie skutecznie kontrolować i minimalizować wszelkie ryzyka wynikające z zależności od dostawców usług ICT, co w obliczu coraz bardziej cyfrowego otoczenia staje się sprawą kluczową dla ich stabilności i bezpieczeństwa.
Jakie zadania DORA nakłada na podmioty finansowe w kontekście dostawców ICT?
Rozporządzenie DORA wprost w artykule 28 nakłada zadanie zarządzania ryzykiem zewnętrznych dostawców ICT. Według tego większość podmiotów finansowych (oprócz mikroprzedsiębiorstw i podmiotów wskazanych w artykule 16 ust. 1) musi opracować strategię dotyczącą ryzyka związanego z zewnętrznymi dostawcami usług ICT. Dokument ten może obejmować zagadnienie współpracy ze wszystkimi dostawcami podmiotu i nie musi być tworzony osobno dla każdego z dostawców. Strategia ta obejmuje również politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje Ma ona zastosowanie zarówno na poziomie indywidualnym, jak i w niektórych przypadkach na poziomie subskonsolidowanym i skonsolidowanym.
Zarząd podmiotu finansowego musi regularnie przeglądać ryzyka związane z korzystaniem z zewnętrznych usług ICT uwzględniając ogólny profil ryzyka, skalę i stopień złożoności usług biznesowych. Organ zarządzający musi, na podstawie oceny ogólnego profilu ryzyka podmiotu i skali oraz złożoności świadczonych usług biznesowych, regularnie przeglądać zidentyfikowane ryzyka dotyczące umów dotyczących korzystania z usług ICT wspierających funkcje krytyczne lub istotne.
Kolejnym ważnym elementem, z perspektywy podmiotu jak i organu nadzorczego, w zakresie zarządzania ryzykiem we współpracy z dostawcami ICT, jest rejestr informacji dotyczący umów z dostawcami usług ICT. Ten rejestr obejmuje wszelkie ustalenia umowne dotyczące korzystania z usług ICT dostarczanych przez zewnętrznych dostawców. Podmioty finansowe muszą utrzymywać i aktualizować dokument na poziomie swojej organizacji oraz, w niektórych przypadkach, na poziomie subskonsolidowanym i skonsolidowanym. Więcej o rejestrze informacji dotyczący umów z dostawcami usług ICT napisaliśmy w artykule [xxx].
Zasada proporcjonalności
Zarządzanie ryzykiem związanym z zewnętrznymi dostawcami usług ICT przez podmioty finansowe powinno być realizowane w oparciu o zasadę proporcjonalności biorąc pod uwagę charakter, skalę, stopień złożoności i znaczenie zależności w zakresie ICT. Ocena ryzyka powinna uwzględniać krytyczność lub istotność danej usługi, procesu lub funkcji dla ciągłości i dostępności usług finansowych. W ramach tego podejścia uwzględnia się różnorodność czynników, aby skutecznie ocenić i zarządzać ryzykiem związanym z dostawcami usług ICT. W rezultacie zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT nie jest jednorodne, ale dostosowane do specyfiki każdej usługi, uwzględniając istotność i wpływ na funkcjonowanie podmiotu finansowego.
Co musi zrobić podmiot finansowy w celu ograniczenia ryzyka dostawców usług ICT?
Aby ograniczyć ryzyko związane z współpracą z zewnętrznymi dostawcami usług ICT, podmiot finansowy powinien podjąć szereg działań, które bazują na rozporządzeniu DORA, ale też na regulacyjnym standardzie technicznym dotyczącym ram zarządzania ryzykiem ICT oraz uproszczonych ram zarządzania ryzykiem ICT opublikowanym 17 stycznia 2024 roku.
Przed zawarciem umowy
Przed rozpoczęciem procesu negocjacji i zawarcia umowy dotyczącej usług ICT świadczonych przez zewnętrznego dostawcę ICT podmiot finansowy ma szereg obszarów, które może zweryfikować w celu skutecznego zarządzania ryzykiem i zapewnienia zgodności z odpowiednimi normami. Powinien on przeprowadzić analizę potencjalnych dostawców i ich konkurentów, aby upewnić się, czy są organizacjami renomowanymi na rynku i spełniają określone standardy. Powinna również nastąpić weryfikacja, czy zamawiane usługi ICT wspierają krytyczne lub istotne funkcje.
Podmiot finansowy powinien analizować korzyści i koszty rozwiązań alternatywnych, uwzględniając przy tym różnych dostawców usług ICT. Należy skoncentrować się na zgodności z celami biznesowymi i potrzebami określonymi w strategii odporności cyfrowej.
Podczas zawierania umowy
Podmiot finansowy podczas zawierania umowy ma możliwość dużo bardziej szczegółowo zidentyfikować korzyści i zagrożenia związane ze współpracą z dostawcą ICT. Z tego powodu podmiot finansowy powinien przeprowadzić identyfikację i ocenę ryzyka związanego z planowanymi ustaleniami umownymi dotyczącym usług ICT, zwłaszcza tych wspierających krytyczne lub istotne funkcje. Należy skoncentrować się na istotnych zagrożeniach i opracować strategie ich minimalizacji. Trzeba też rozważyć konsekwencje zawarcia umowy, szczególnie w kontekście potencjalnego związania się z dostawcą, którego trudno byłoby zastąpić lub posiadania wielu umów z jednym dostawcą. Podmiot finansowy musi przeprowadzić ocenę skutków dla elastyczności działania i możliwość wprowadzenia zmian.
Należy pamiętać, że podmiot finansowy powinien w odpowiednim terminie poinformować właściwy organ o planowanych ustaleniach umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje, a także o tym, gdy dana funkcja staje się krytyczna lub istotna. Podmiot finansowy musi uwzględnić przepisy prawa upadłościowego dotyczące umów związanych z usługami ICT dla umów dotyczących usług ICT wspierających krytyczne lub istotne funkcje. Należy zidentyfikować ograniczenia związane z odzyskiwaniem danych w przypadku upadłości dostawcy usług ICT.
Gdy umowa przewiduje zlecanie usług podwykonawcom, podmiot finansowy musi ocenić potencjalne długie lub złożone łańcuchy podwykonawstwa i ich wpływ na zdolność do monitorowania funkcji umownych oraz nadzoru właściwego organu. W przypadku możliwości podwykonawstwa przez dostawcę usług ICT, podmiot finansowy musi dokładnie ocenić korzyści i ryzyka związane z takim podwykonawstwem, zwłaszcza jeśli podwykonawca ma siedzibę w państwie trzecim. Jeśli umowa dotyczy usług ICT wspierających krytyczne lub istotne funkcje z dostawcą mającym siedzibę w państwie trzecim, podmiot finansowy musi sprawdzić, czy przestrzega się unijnych przepisów o ochronie danych i czy są one skutecznie egzekwowane.
Co powinna zawierać umowa
DORA definiuje również szereg elementów, które powinny zostać zawarte w umowie. Kilka z najważniejszych punktów to:
- Strony umowy
- Przedmiot umowy
- Prawa i obowiązki
- Kwestie finansowe
- Gwarancje
- Możliwość audytów
- Możliwość wypowiedzenia umowy
- Plan wyjścia
Po zawarciu umowy
Moment zawarcia umowy nie jest końcem prac nad zapewnieniem bezpieczeństwa w zakresie korzystania z usług ICT świadczonych przez zewnętrznych dostawców, a jedynie początkiem. Podmiot finansowy mając umownie zapewnioną taką możliwość, powinien korzystać z prawa dostępu, kontroli i audytów w odniesieniu do dostawcy usług ICT, stosując podejście oparte na analizie ryzyka. Powinien z góry ustalić częstotliwości audytów i kontroli oraz obszarów podlegających kontroli, zgodnie z powszechnie przyjętymi standardami audytu. Dodatkowo powinien monitorować dostawcę i skorzystać z możliwości wypowiedzenia umowy w przypadku poważnego naruszenia przepisów, zmian w funkcjach dostarczanych przez dostawcę, ujawnienia słabości w zarządzaniu ryzykiem ICT lub niemożności skutecznego nadzoru przez właściwy organ.
Bezpieczeństwo ICT i ciągłość działania
Jak zostało wspomniane w punkcie powyżej, po zawarciu umowy podmiot finansowy powinien realizować wiele działań. Zostały one wymienione w rozporządzeniu i uszczegółowione w RTS. Podmioty finansowe są zobowiązane do zapewnienia wczesnego i skutecznego wykrywania anomalii w działaniu usług ICT świadczonych przez dostawców zewnętrznych. W tym celu powinny odpowiednio gromadzić, monitorować i analizować różne źródła informacji. Ważne jest unikanie polegania wyłącznie na logach jako źródle informacji, a zamiast tego należy rozważyć szersze źródła informacji, w tym te zgłaszane przez inne wewnętrzne funkcje, informacje pochodzące od dostawców zewnętrznych oraz informacje dostępne w ogólnych źródłach.
W ramach polityki ciągłości działania podmiotów finansowych istnieje potrzeba uwzględnienia ściśle powiązanej natury tej polityki z kluczowymi elementami zarządzania ryzykiem związanym z ICT. W tym kontekście istotne są aspekty takie jak zarządzanie incydentami, strategie komunikacyjne, proces zarządzania zmianą oraz ryzyka związane z dostawcami zewnętrznymi ICT. Procedury zarządzania podatnościami mają obejmować perspektywę ryzyk związanych z dostawcami zewnętrznymi. W szczególności podmioty finansowe mają obowiązek sprawdzić, czy dostawcy usług zewnętrznych ICT radzą sobie z podatnościami związanymi ze świadczonymi usługami ICT. Wymagane jest, aby dostawcy zgłaszali co najmniej istotne podatności, a także udostępniali statystyki i trendy związane z bezpieczeństwem. Podmioty finansowe powinny żądać od dostawców zewnętrznych ICT, aby prowadzili dochodzenie w przypadku istotnych podatności, identyfikowali ich przyczyny i wdrażali odpowiednie środki łagodzące.
Proces zarządzania aktywami ICT wymaga od podmiotów finansowych prowadzenia rejestrów różnych informacji, w tym dat zakończenia regularnych, rozszerzonych i niestandardowych usług wsparcia dostawcy usług zewnętrznego ICT. Konieczne jest także jest zaimplementowanie kontroli chroniącej integralność kodu źródłowego w ramach systemów ICT rozwijanych wewnętrznie lub przez zewnętrznego dostawcę ICT, dostarczanych podmiotowi finansowemu przez zewnętrznego dostawcę ICT. Wymagane jest również analizowanie i testowanie oprogramowania oraz, o ile to możliwe, kodu źródłowego dostarczanego przez dostawcę zewnętrznego ICT lub pochodzącego z projektów open source przed ich wdrożeniem w środowisku produkcyjnym.
Pobierz przygotowaną przez nas instrukcję i dowiedz się jak udokumentować cyber zabezpieczenia by zarządzać ryzykiem ICT>
W zakresie polityki zasobów ludzkich podmioty finansowe powinny wdrożyć wymagania dla własnego personelu oraz dostawców zewnętrznych ICT, którzy korzystają z aktywów ICT podmiotu finansowego, które dotyczą informowania i przestrzegania polityk, procedur i protokołów bezpieczeństwa ICT organizacji. Powinni również opracować, udokumentować i wdrożyć polityki oraz procedury zarządzania tożsamością, aby zapewnić unikalną identyfikację i uwierzytelnianie osób fizycznych i systemów uzyskujących dostęp do informacji podmiotu finansowego.
Ciągłość działania usług ICT świadczonych przez zewnętrznych dostawców ICT powinna być stale testowana. W ramach planów reakcji i odzyskiwania ICT podmioty finansowe muszą rozważyć i wdrożyć środki w celu złagodzenia skutków awarii zewnętrznych dostawców ICT, którzy świadczą usługi ICT wspierające krytyczne lub istotne funkcje instytucji finansowej. Podmioty finansowe powinny należycie uwzględniać scenariusze związane z niewypłacalnością lub awariami dostawcy usług ICT lub ryzykiem politycznym w jurysdykcji dostawcy, jeżeli jest to istotne. Powinny również zostać stworzone i aktualizowane procedury weryfikujące zdolność personelu podmiotu finansowego, zewnętrznych dostawców ICT, systemów ICT i usług ICT do adekwatnej reakcji na scenariusze.
Strategia wyjścia
Podmiot finansowy musi w umowie uwzględnić możliwość zerwania jej w określonych przypadkach. Wiąże się to ze stworzeniem strategii i planu wyjścia, które mogą zostać wdrożone w przypadku awarii dostawcy, pogorszenia jakości usług, czy innych zakłóceń. Plany te powinny być szczegółowo udokumentowane i testowane zgodnie z określonymi kryteriami, z uwzględnieniem alternatywnych rozwiązań i planów przejściowych. W ramach nich powinny zostać uwzględnione odpowiednie środki awaryjne dla utrzymania ciągłości działania w sytuacjach awaryjnych w tym obowiązkowy okres przejściowy, umożliwiający migrację do innego dostawcy usług ICT lub przejście na rozwiązania w ramach struktury wewnętrznej. Ostatecznym celem strategii wyjścia jest zapewnienie możliwości wycofania się z umowy bez zakłóceń w działalności, zgodności z regulacjami oraz bez szkody dla klientów.
Brak możliwości outsourcingu odpowiedzialności
Zarządzanie ryzykiem związanym z usługami ICT świadczonymi przez zewnętrznych dostawców jest ważnym elementem ogólnej strategii operacyjnej odporności cyfrowej podmiotów finansowych. Postanowienia rozporządzenia DORA skoncentrowane na tym obszarze mają na celu ochronę sektora finansowego przed potencjalnymi zagrożeniami wynikającymi z zależności od zewnętrznych dostawców. Wdrożenie holistycznego podejścia do zgodności z DORA umożliwia podmiotom finansowym nie tylko budowanie odporności operacyjnej, ale także przyczynianie się do stabilności i bezpieczeństwa szerszego ekosystemu finansowego. Podmioty finansowe mają możliwość w zgodzie z DORA outsourcingu zadania weryfikacji zgodności z wymaganiami zarządzania ryzykiem ICT dostawcom usług wewnątrzgrupowym ICT lub zewnętrznym dostawcom ICT zgodnie z przepisami prawa Unii i krajowego sektorowego. Jednakże podmiot finansowy ostatecznie zawsze pozostaje w pełni odpowiedzialny za weryfikację zgodności z wymaganiami zarządzania ryzykiem ICT. Zostało to wprost wskazane w artykule 5 ust. 2, w który podkreśla się, że “organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie.”
