17 lipca 2024 r. ogłoszony został drugi zestaw regulacyjnych standardów technicznych (tzw. RTS-ów) dotyczących DORA (Digital Operational Resilience Act). To przepisy wykonawcze do jednej z najbardziej złożonych i kompleksowych regulacji prawnej, jakie w ostatnich latach powstały w UE. Jej celem jest wzmocnienie odporności operacyjnej sektora finansowego na zagrożenia cybernetyczne.
DORA wymaga od podmiotów finansowych współpracy jedynie z dostawcami usług ICT, którzy przestrzegają odpowiednich, wysokich norm bezpieczeństwa informacji. Jeśli współpraca dotyczy krytycznych lub istotnych funkcji, podmioty finansowe muszą należycie zbadać, czy dostawcy stosują najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji.
W dobie wysokiego skomplikowania usług ICT oraz częstego outsourcingu nawet krytyczne funkcje podmiotów finansowych są realizowane przez dostawców ICT. RTS-y precyzują te elementy, które powinny być oceniane przez podmioty finansowe. Często określają konkretne wymagania techniczne, które muszą być spełnione przez systemy, procesy lub produkty, aby być zgodne z przepisami prawnymi.
Publikacja drugiej grupy RTS-ów to ostatni dzwonek dla instytucji finansowych, aby rozpocząć intensywne prace nad wdrożeniem wymogów regulacji unijnych. Ekspert w dziedzinie prawnych i technologicznych aspektów DORA – Mikołaj Otmianowski, wskazuje, że kluczowym elementem tego procesu jest szacowanie ryzyka.
– Dziś informacja finansowa jest jedną z tych najcenniejszych. Nie chodzi tylko o możliwość kradzieży pieniędzy z naszego konta w banku. Ci, którzy czyhają na te dane mogą zyskać wiedzę o naszych skłonnościach, przyzwyczajeniach i nałogach. A to daje wiedzę: kogo można okraść, kogo szantażować, kogo postawić w niekorzystnej sytuacji w transakcji biznesowej – podkreśla Mikołaj Otmianowski. – Bez odpowiedniej ochrony danych finansowych stoimy przed widmem ogromnych strat – nie tylko finansowych, ale także operacyjnych i reputacyjnych.
Publikacja RTS-ów to ostatni dzwonek nie tylko dla instytucji finansowych, ale również ogromnej rzeszy dostawców usług ICT. Jednym z najtrudniejszych aspektów wdrażania DORA jest kompleksowość procesu szacowania ryzyka w dużej organizacji finansowej.
– Wyobraźmy sobie instytucję finansową jako statek na burzliwym oceanie. Analiza ryzyka to jak dokładna mapa, na której zaznaczone są wszystkie niebezpieczeństwa – od ukrytych raf po groźne prądy morskie. To także przyrządy nawigacyjne, które pozwalają zorientować się w aktualnej pozycji. Bez tej mapy i przyrządów nawet doświadczony kapitan jest skazany na ślepe dryfowanie w nieznane, narażając statek i jego pasażerów na katastrofę – wyjaśnia Mikołaj Otmianowski.
DORA nie narzuca jednej konkretnej metodyki analizy ryzyka, ale wymaga, aby ta analiza koncentrowała się na wartości i krytyczności posiadanych aktywów oraz wpływie ich utraty na funkcje biznesowe. Analiza ryzyka powinna być przeprowadzana regularnie i zawsze w przypadku znaczących zmian w środowisku ICT, co pozwala na wczesne wykrywanie zagrożeń i podejmowanie działań zapobiegawczych.
Podmioty finansowe muszą dostosować swoje ramy zarządzania ryzykiem, obejmujące strategie, polityki, procedury i narzędzia ICT, do swojej specyfiki operacyjnej. Kluczowe jest także zarządzanie ryzykiem związanym z zewnętrznymi dostawcami ICT. Dlatego wdrażanie DORA wymaga nie tylko technologicznych narzędzi, ale także zmiany mentalności i podejścia do zarządzania ryzykiem.
– Na szczęście DORA opiera się na zasadzie proporcjonalnego podejścia do zarządzania ryzykiem i uwzględnia różne możliwości i potrzeby w zakresie instytucji finansowych w zależności od ich wielkości i charakteru działalności. Jednak oznacza to jednocześnie, że nie ma jednego, gotowego zestawu procedur lub dokumentów, których zastosowanie pozwoli ogłosić: „Jesteśmy zgodni z DORA” – dodaje Mikołaj Otmianowski.
Instytucje finansowe muszą działać teraz, aby zapewnić bezpieczeństwo swoim klientom i uniknąć poważnych konsekwencji regulacyjnych. Wprowadzenie DORA to wyzwanie, ale także szansa na zbudowanie silniejszych, bardziej odpornych na zagrożenia struktur operacyjnych.
– Dzięki drugiej paczce RTS-ów podmioty finansowe mają wytyczne w jakie sposób skutecznie monitorować i reagować na incydenty, co przyczynia się do zwiększenia bezpieczeństwa i stabilności sektora finansowego. Dodatkowo, standaryzacja procesu raportowania ułatwia analizę i porównywanie danych między różnymi podmiotami oraz umożliwia szybką reakcję na potencjalne zagrożenia – podsumowuje Otmianowski.
Standardy zostaną opublikowane 17 lipca 2024 roku, czyli sześć miesięcy przed wejściem w życie DORA, tj. od 17 stycznia 2025 roku.
Autor: Radca prawny Mikołaj Otmianowski