DORA – nowe standardy cyberbezpieczeństwa 🔒
W erze cyfrowej, kiedy większość transakcji finansowych odbywa się online, bezpieczeństwo naszych danych i środków finansowych staje się priorytetem. Wszyscy mogliśmy ostatnio zaobserwować – na przykładzie awarii systemów operacyjnych Microsoft – co dzieje się, kiedy awaria dotyka jedną z powszechniej stosowanych w biznesie usług online, czyli Office 365. ✈️🚫
Odwoływano połączenia lotnicze, nie działała giełda w Londynie, problemy zgłaszali również klienci banków (w Polsce problemy nie ominęły m.in. klientów Santander Banku oraz PKO BP). Microsoft szacował, że incydent dotknął nawet 8,5 mln urządzeń z systemem Windows. Skutki tego, co okazało się „tylko” awarią, na moment zatrzymały część świata. Skala utrudnień w działalności podmiotów z wielu branż każe zastanowić się, co może się zdarzyć, kiedy będziemy mieć do czynienia nie z awarią, a z udanym cyberatakiem. 🤔💻
Unia Europejska, dostrzegając rosnące ryzyka w obszarze bezpieczeństwa cyfrowego dla sektora finansowego i jego klientów, w grudniu 2023 r. uchwaliła rozporządzenie w sprawie operacyjnej odporności cyfrowej (Digital Operational Resilience Act, w skrócie – DORA), które wyznacza nowe standardy cyberbezpieczeństwa podmiotów finansowych, dążąc do zapewnienia ich odporności na wszelkie zakłócenia i zagrożenia związane z technologiami ICT. 🌐📜
Nowe regulacje mają na celu:
Minimalizowanie ryzyka związanego nie tylko z cyberatakami, ale szerzej – z incydentami bezpieczeństwa. Poprzez ustanowienie jednolitych standardów i procedur, DORA ma przyczynić się do ochrony integralności, bezpieczeństwa i ciągłości usług finansowych w Unii Europejskiej. 🛡️🇪🇺
Odliczanie trwa ⏳
Podmioty finansowe mają czas na dostosowanie się do DORA do 17 stycznia 2025 r. Po tej dacie nie będzie taryfy ulgowej – KNF podczas szkoleń i spotkań z sektorem finansowym uprzedza, że nie będzie czekać na spóźnialskich i od pierwszego dnia planuje weryfikować i egzekwować realizację nowych obowiązków. 📅🔍
Co istotne, DORA ma charakter nie dyrektywy (jak jest to w przypadku innego istotnego z punktu widzenia cyberbezpieczeństwa aktu, jakim jest NIS2), a rozporządzenia. Oznacza to, że wiąże ono w całości podmioty, do których jest skierowane i jest bezpośrednio stosowane we wszystkich krajach Unii Europejskiej, bez konieczności implementowania go do lokalnych porządków prawnych za pomocą ustaw. 📜⚖️
Kogo dotyczy DORA? 🏦💼
DORA obejmuje przede wszystkim – ale nie wyłącznie – szerokie spektrum instytucji finansowych oraz podmiotów z obszaru finansów cyfrowych. Zobowiązane do dostosowania się do nowych regulacji są m.in. banki, firmy ubezpieczeniowe, fundusze inwestycyjne, instytucje kredytowe, dostawcy usług w zakresie kryptowalut, instytucje pieniądza elektronicznego oraz inne podmioty świadczące usługi finansowe. 💳🏢
Dodatkowo, DORA wprowadza pewne obowiązki w odniesieniu do dostawców technologii, w tym dostawców usług chmury obliczeniowej i innych dostawców usług ICT. ☁️💻
Co oznacza DORA dla sektora finansowego? 📊🔒
DORA nakłada obowiązki na podmioty sektora finansowego, wymagając, aby instytucje finansowe nie tylko reagowały na incydenty, ale również podejmowały liczne działania prewencyjne, w myśl zasady, że lepiej zapobiegać, niż leczyć. 💡🔧
W praktyce oznacza to konieczność podjęcia działań przede wszystkim w następujących, kluczowych obszarach:
- Zarządzanie ryzykiem ICT 🖥️⚠️Instytucje finansowe powinny opracować i wdrożyć kompleksową strategię zarządzania ryzykiem związanym z technologiami ICT. Strategia ta powinna obejmować identyfikację, ocenę, monitorowanie i kontrolowanie ryzyk związanych z ICT, żeby zapewnić bezpieczeństwo i integralność systemów informatycznych.
- Zarządzanie incydentami związanymi z ICT 🛡️🚨Klasyfikacja i raportowanie incydentów związanych z ICT są według DORA kluczowe dla skutecznego zarządzania bezpieczeństwem. Instytucje finansowe zobowiązane będą do przestrzegania jasnych wytycznych dotyczących klasyfikacji incydentów, co ma prowadzić do ich odpowiedniego śledzenia, analizowania i reagowania.Obowiązki w tym obszarze obejmą m.in.:Stworzenie i wdrożenie jednolitych wytycznych dotyczących klasyfikacji incydentów, które umożliwią ich kategoryzację według poziomu powagi i typu zagrożenia.Regularne raportowanie incydentów do odpowiednich organów i interesariuszy, zgodnie z obowiązującymi normami i przepisami.Przeprowadzanie analizy przyczyn incydentów w celu identyfikacji słabych punktów i wdrażania działań naprawczych.
- Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT 🤝🔍Instytucje finansowe powinny określić zasady zarządzania współpracą z zewnętrznymi dostawcami usług ICT. Obowiązki w tym obszarze obejmą m.in. opracowanie kryteriów oceny i wyboru dostawców usług ICT, które zapewnią, że spełniają oni wymagania dotyczące bezpieczeństwa i zgodności, zapewnienie, że umowy zawierane z dostawcami ICT są zgodne z wymaganiami stawianymi przez DORA, a także regularne monitorowanie i ocenę wydajności dostawców.
- Testowanie operacyjnej odporności cyfrowej 🔄🛠️Obowiązki w tym obszarze obejmować będą m.in. ustanowienie kompleksowego programu testowania operacyjnej odporności cyfrowej. Podmioty finansowe inne niż mikroprzedsiębiorstwa zobowiązane będą do przeprowadzenia przynajmniej raz w roku testów wszystkich systemów i aplikacji ICT. Dla części obowiązanych DORA przewiduje również dodatkowy obowiązek przeprowadzania nie rzadziej niż co 3 lata zaawansowanych testów penetracyjnych (TLPT) pod kątem wyszukiwania zagrożeń.
Tam gdzie są obowiązki, pojawiają się również sankcje ⚖️💰
Zrozumienie i adaptacja do wymogów DORA są z punktu widzenia podmiotów finansowych niezbędne nie tylko ze względu na konieczność zapewnienia odpowiedniego poziomu operacyjnej odporności cyfrowej, ale również dla uniknięcia poważnych konsekwencji prawnych i finansowych.
DORA zakłada przyznanie właściwym organom (w Polsce będzie to przede wszystkim KNF) szerokich uprawnień do nadzorowania i egzekwowania przepisów DORA. Będą one uprawnione do żądania dostępu do wszelkich dokumentów i danych, które uznają za istotne w kontekście prowadzonych dochodzeń. Instytucje finansowe muszą być przygotowane na ewentualne kontrole i inspekcje. Brak współpracy lub niedostarczenie wymaganych informacji może prowadzić do nałożenia dodatkowych sankcji. 🔍📋
W przypadku naruszeń przepisów DORA, organy nadzoru mogą zastosować różne sankcje administracyjne. Obejmują one m.in. nakazy zaprzestania działań niezgodnych z przepisami, wymóg zakończenia praktyk sprzecznych z regulacjami oraz stosowanie sankcji finansowych mających na celu wymuszenie zgodności. 💼💸
Podsumowanie 📊✍️
Oczywiście pełna ocena skutków nowych regulacji będzie możliwa dopiero po jakimś czasie, jednak już odważymy się postawić tezę, iż DORA to krok milowy w kierunku zapewnienia cyfrowej odporności operacyjnej w sektorze finansowym UE. Dzięki wprowadzeniu nowych standardów zarządzania ryzykiem ICT oraz wymogu proaktywnego podejścia do bezpieczeństwa cyfrowego, DORA powinna nie tylko pomóc chronić instytucje finansowe, ale także zwiększyć zaufanie klientów do usług finansowych. Ruch jest teraz po stronie sektora finansowego – osiągnięcie celu DORA i związanych z tym korzyści będzie możliwe tylko, jeżeli poważnie podejdzie się do wdrożenia nowych regulacji. 🔜🔧