Niewłaściwe zarządzanie ryzykiem związanym z ICT może prowadzić do zakłóceń w świadczeniu usług finansowych w wymiarze krajowym i transgranicznym. To z kolei ma wpływ na inne przedsiębiorstwa, sektory a niejednokrotnie na całą gospodarkę, co determinuje znaczenie operacyjnej odporności cyfrowej i zapewnia stabilność i integralność sektora finansowego.

W tym kontekście w grę wchodzi Rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act, „DORA”), które wprowadza rozszerzone ramy zarządzania ryzykiem ICT oraz ciągłością działania. Rozporządzenie weszło w życie 16 stycznia 2023 r. i będzie stosowane od 17 stycznia 2025 r.

Zobacz również:

• Polska Izba Ubezpieczeń buduje standard rynkowy zgodny z DORA
• AI podnosi poprzeczkę w cyberbezpieczeństwie
• Jak sektor finansowy dba o bezpieczeństwo

Celem DORA jest zbudowanie i utrzymanie cyfrowej odporności operacyjnej w dynamicznie zmieniającym się środowisku zagrożeń cybernetycznych w sektorze usług finansowych, który jest nieustannie narażony na różnorodne zaawansowane ataki.

DORA zapewnia harmonizację przepisów dotyczących odporności operacyjnej sektora finansowego, mających zastosowanie do 20 różnych rodzajów podmiotów finansowych i zewnętrznych dostawców usług ICT, a są to m.in. banki, instytucje płatnicze, firmy inwestycyjne, zakłady ubezpieczeń, podmioty zarządzające aktywami, dostawcy usług chmurowych czy platformy crowdfundingowe. Przepisy Rozporządzenia będą miały zastosowanie do ponad 22 tysięcy instytucji finansowych w krajach Unii Europejskiej.

W związku z tym podmioty funkcjonujące w sektorze finansowym są zobowiązane wprowadzić odpowiednie polityki i procedury pozwalające stosować skuteczne środki kontroli zarządzania ryzykiem w celu ograniczenia jego potencjalnego wpływu na informacje, w tym zapobieganiu kradzieży lub zniszczenia danych a także zapobiaganiu zakłóceniom kluczowych operacji, zabezpieczeniu kontrahentów i klientów.

Dostawcy usług

DORA określa zakres zarządzania dostawcami usług ICT aby umożliwić pełne monitorowanie przez podmiot finansowy ryzyka na wszystkich etapach współpracy. Do nich zalicza się przedsiębiorstwa dostarczające m.in. oprogramowanie, usługi chmurowe czy ośrodki przetwarzania danych. W celu utrzymania stabilności systemu finansowego Unii oraz integralności jednolitego rynku usług finansowych, kluczowi zewnętrzni dostawcy usług ICT powinni podlegać unijnym ramom nadzoru.

Umowy między instytucjami finansowymi będącymi zleceniodawcami a dostawcami usług ICT powinny określać kompleksowy opis funkcji i usług, wskazanie lokalizacji przetwarzania danych, zasady dostępu, zapewnienie bezpieczeństwa i integralności danych, sposób postępowania w przypadku awarii, jak również obowiązek zgłaszania incydentów ICT i pomoc w ich obsłudze. Należy ponadto zapewnić sobie prawo dostępu w celu przeprowadzenia audytu i kontroli dostawcy oraz określić obowiązek współpracy z organami nadzoru.

Postanowienia Rozporządzenia dotyczą na równi dostawców z Unii Europejskiej, jak również spoza UE.

Testowanie operacyjnej odporności cyfrowej

Podmioty finansowe są zobowiązane co najmniej raz w roku realizować na systemach produkcyjnych rozszerzony program testowania operacyjnej odporności cyfrowej, który stanowi integralną część systemu zarządzania ryzykiem związanym z ICT. Testowaniu powinna podlegać infrastruktura, wszystkie kluczowe systemy i aplikacje ICT aby ocenić gotowość organizacji na wypadek zaistnienia incydentów a jednocześnie określenia braków lub podatności w zakresie operacyjnej odporności cyfrowej. W przypadku stwierdzenia zagrożenia badany podmiot powinien podjąć działania naprawcze.

Na szczegółowy program testowania operacyjnej odporności cyfrowej składa się szereg testów, metodyk, praktyk i narzędzi pozwalających na dokonanie diagnostyki ryzyka. W szczególności testowanie powinno obejmować ocenę narażenia, identyfikację braków fizycznych, kontrolę zabezpieczeń, przeglądy architektury, konfiguracji, oprogramowania, kompatybilności, wydajności, symulacje awarii i ataku cybernetycznego, przeglądy planów ciągłości działania i odtwarzania oraz testy socjotechniczne, np. phishing. Sprawdzeniu powinna podlegać również wiedza i świadomość zagrożeń cybernetycznych wśród pracowników firmy.

W oparciu o analizę zagrożeń podmioty finansowe są zobowiązane przeprowadzać co najmniej raz na trzy lata zaawansowane testy penetracyjne TLPT (Threat-Led Penetration Testing), które mają wpływ na funkcje krytyczne systemów ICT.

Testerzy winni zapewniać należyte zarządzanie ryzykiem związanym z wykonywaniem testów. To oznacza korzystanie z usług doświadczonych testerów, którzy posiadają zdolności techniczne i organizacyjne, wykazują się wiedzą fachową, posiadają certyfikat jednostki akredytującej, cieszą się dobrą renomą i przestrzegają zasady etyczne.

Jeżeli występują zewnętrzni dostawcy usług ICT podmiot finansowy zapewnia udział tych dostawców w procesie testowania.

Incydenty bezpieczeństwa

Incydent związany z ICT oznacza nieprzewidziane zdarzenie, wywołane awarią sprzętu czy oprogramowania lub spowodowane umyślnie przez osoby trzecie, które zagraża bezpieczeństwu sieci i systemów informatycznych, przechowywanych lub przesyłanych przez te systemy informacji, mające negatywny wpływ na ich dostępność, poufność, integralność i w konsekwencji ciągłość usług finansowych świadczonych przez podmiot finansowy. DORA określa zasady proaktywnego reagowania na tego rodzaju incydenty.

Poważny incydent ICT oznacza zdarzenie o dużym potencjalnie negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne funkcje podmiotu finansowego. Taki incydent winien być obowiązkowo zgłoszony do organu nadzorczego – Komisji Nadzoru Finansowego. Nie później niż tydzień po wstępnym zgłoszeniu należy złożyć sprawozdanie śródokresowe, a następnie, po dokonaniu analizy przyczyny i skutków incydentu - sprawozdanie końcowe, nie później jednak niż przed upływem jednego miesiąca. KNF przekazuje informację o incydencie do Europejskiego Urzędu Nadzoru.

W przypadku, gdy poważny incydent związany z ICT ma lub może mieć wpływ na interesy finansowe klientów, podmiot finansowy powinien bez zbędnej zwłoki poinformować swoich klientów oraz środkach, które podjęto w celu ograniczenia niekorzystnych skutków takiego incydentu.

Korzyści z wdrożenia DORA

Wdrożenie DORA będzie wiązać się z nakładami na infrastrukturę, dodatkowymi czynnościami operacyjnymi i zmianami organizacyjnymi w instytucjach finansowych. Jednak pozytywnym skutkiem będzie zwiększenie bezpieczeństwa sieci i systemów ICT, co przełoży się na ich większą odporność operacyjną wobec zagrożeń cybernetycznych.

Poprzez wymóg posiadania zaawansowanych systemów bezpieczeństwa cyfrowego, instytucje finansowe będą mogły lepiej chronić się przed cyberatakami, reagować na potencjalne zagrożenia, lepiej zarządzać sytuacjami kryzysowymi, minimalizując ryzyko utraty danych, przerw w działalności czy kradzieży aktywów finansowych, jak również uniknąć kar i utraty reputacji. Wdrożenie DORA w instytucji finansowej przyczyni się do poprawy efektywności operacyjnej i wzrostu zaufania jej klientów.