DORA a Rekomendacja D KNF: Jak dotychczasowe wdrożenia pomagają w zgodności z nowym rozporządzeniem?

Polski sektor finansowy od lat funkcjonuje w środowisku o wysokiej dojrzałości regulacyjnej. Wytyczne IT Komisji Nadzoru Finansowego (KNF) oraz Rekomendacja D dla banków stanowiły przez lata kręgosłup, wokół którego budowano systemy zarządzania bezpieczeństwem i ryzykiem technologicznym. Wdrożenie tych ram było dla wielu instytucji ogromnym, wieloletnim wysiłkiem organizacyjnym i finansowym, który znacząco podniósł poziom cyberodporności. Dziś, w obliczu wejścia w życie ogólnoeuropejskiego Rozporządzenia DORA (Digital Operational Resilience Act), wielu liderów zadaje sobie pytanie: czy cała ta praca pójdzie na marne?

Odpowiedź brzmi: absolutnie nie. Dotychczasowe wdrożenia zgodne z wytycznymi KNF to niezwykle cenny kapitał i solidny fundament, na którym można i należy budować zgodność z DORA. Wiele kluczowych obszarów, takich jak potrzeba posiadania ram zarządzania ryzykiem, plany ciągłości działania czy procedury obsługi incydentów, jest wspólnych dla obu reżimów. Jednak DORA w kilku kluczowych aspektach idzie znacznie dalej, podnosząc poprzeczkę i wprowadzając zupełnie nowe, bardziej rygorystyczne obowiązki. Zrozumienie, gdzie leży synergia, a gdzie pojawiają się nowe luki do wypełnienia, jest dziś kluczowym zadaniem dla każdej instytucji finansowej w Polsce.

Jaki był dotychczasowy krajobraz regulacyjny dla IT w polskim sektorze finansowym (Rekomendacja D, Wytyczne KNF)?

Przez lata, głównymi drogowskazami dla zarządzania technologią i bezpieczeństwem w polskim sektorze finansowym były dokumenty wydawane przez Komisję Nadzoru Finansowego. Dla banków, kluczowym dokumentem była Rekomendacja D, która dotyczyła zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Dla pozostałych podmiotów, takich jak firmy ubezpieczeniowe czy inwestycyjne, KNF wydała analogiczne Wytyczne dotyczące zarządzania obszarami IT i bezpieczeństwa.

Dokumenty te, choć miały charakter tzw. „miękkiego prawa” (soft law), w praktyce były traktowane przez rynek i nadzorcę jako obowiązkowe. Wprowadziły one do sektora finansowego kulturę zarządzania ryzykiem technologicznym, wymusiły na zarządach zwrócenie uwagi na kwestie IT, a także zdefiniowały wymagania w takich obszarach jak ciągłość działania, bezpieczeństwo systemów czy zarządzanie incydentami. Były one jednak dokumentami o charakterze krajowym, a ich szczegółowość i interpretacja mogły się różnić.

Rozporządzenie DORA (Digital Operational Resilience Act) to akt prawny Unii Europejskiej, który jest stosowany bezpośrednio i w ten sam sposób we wszystkich krajach członkowskich. Jego nadrzędnym celem jest harmonizacja i ujednolicenie wymogów dotyczących cyfrowej odporności operacyjnej w całym europejskim sektorze finansowym.

W przeciwieństwie do krajowych rekomendacji, DORA ma rangę rozporządzenia, co oznacza, że jej moc prawna jest znacznie silniejsza. DORA nie zastępuje całkowicie wytycznych KNF, ale staje się dla nich ramą nadrzędną. Oznacza to, że wszędzie tam, gdzie DORA wprowadza bardziej rygorystyczne lub nowe wymagania, stają się one obowiązujące dla polskich instytucji.

Głównym celem DORA jest zapewnienie, że cały europejski system finansowy, jako sieć połączonych ze sobą naczyń, będzie w stanie przetrwać i funkcjonować nawet w obliczu poważnego, transgranicznego cyberataku lub awarii ICT.

Dobra wiadomość dla polskich instytucji finansowych jest taka, że lata pracy nad wdrożeniem wytycznych KNF nie poszły na marne. Wiele fundamentalnych koncepcji jest wspólnych dla obu reżimów prawnych.

Organizacje, które rzetelnie wdrożyły Rekomendację D lub Wytyczne IT, posiadają już solidne podstawy w takich obszarach jak:

• Ogólne ramy zarządzania ryzykiem: Posiadanie polityk, procedur i struktur organizacyjnych do zarządzania ryzykiem IT.
• Zarządzanie incydentami: Posiadanie podstawowych procedur identyfikacji, klasyfikacji i obsługi incydentów.
• Ciągłość działania: Posiadanie i testowanie planów ciągłości działania (BCP) i odtwarzania po awarii (DR).
• Bezpieczeństwo systemów: Wdrożenie fundamentalnych zabezpieczeń technicznych, takich jak kontrola dostępu, hardening czy ochrona sieci.

Te istniejące procesy i mechanizmy nie muszą być budowane od zera. Stanowią one doskonały punkt wyjścia, który należy jednak zweryfikować, rozszerzyć i dostosować do bardziej szczegółowych i rygorystycznych wymogów DORA.

Jest to jeden z obszarów, w których DORA idzie znacznie dalej niż dotychczasowe wytyczne KNF. Rozporządzenie wprowadza cały, dedykowany rozdział poświęcony zarządzaniu ryzykiem ze strony zewnętrznych dostawców usług ICT.

Podczas gdy wytyczne KNF traktowały ten temat w sposób bardziej ogólny, DORA nakłada na instytucje finansowe bardzo konkretne i szczegółowe obowiązki, w tym:

• Posiadanie strategii dotyczącej ryzyka związanego z dostawcami ICT.
• Prowadzenie szczegółowego rejestru informacji o wszystkich umowach z dostawcami, ze szczególnym uwzględnieniem tych, którzy wspierają funkcje krytyczne lub istotne.
• Przeprowadzanie dogłębnej oceny ryzyka (due diligence) przed zawarciem każdej nowej umowy z dostawcą ICT.
• Wprowadzanie do umów szeregu obowiązkowych, szczegółowych klauzul dotyczących m.in. bezpieczeństwa, prawa do audytu, lokalizacji danych i strategii wyjścia.
• Nadzór nad całym łańcuchem poddostawców (tzw. „fourth-party risk”).

Co więcej, DORA wprowadza unikalny na skalę światową mechanizm bezpośredniego nadzoru europejskiego nad krytycznymi dostawcami ICT (np. największymi dostawcami chmury).

DORA dąży do stworzenia jednolitego, ogólnoeuropejskiego systemu zgłaszania poważnych incydentów, aby umożliwić organom nadzoru szybką ocenę ich potencjalnego, transgranicznego wpływu. W tym celu, wprowadza zharmonizowany proces klasyfikacji i raportowania.

Instytucje finansowe będą musiały klasyfikować wszystkie incydenty związane z ICT w oparciu o jednolite, zdefiniowane w rozporządzeniu kryteria, które uwzględniają m.in. liczbę dotkniętych użytkowników, czas trwania, zasięg geograficzny i wpływ na dane.

W przypadku wystąpienia „poważnego incydentu”, DORA narzuca bardzo rygorystyczny, wieloetapowy proces zgłaszania go do właściwego organu nadzoru:

• Zgłoszenie wstępne: w ciągu 24 godzin od sklasyfikowania incydentu jako poważny.
• Sprawozdanie pośrednie: w ciągu 72 godzin.
• Sprawozdanie końcowe: w ciągu jednego miesiąca.

Ten zharmonizowany i wymagający kalendarz ma na celu zapewnienie, że informacje o potencjalnie systemowych zagrożeniach będą docierać do nadzorców w całej UE w sposób szybki i spójny.

Jedną z najważniejszych zmian, jakie wprowadza DORA, jest umieszczenie ostatecznej i bezpośredniej odpowiedzialności za zarządzanie cyfrową odpornością operacyjną na barkach organu zarządzającego (zarządu) instytucji finansowej.

To już nie jest zadanie, które można w pełni delegować na dyrektora IT czy CISO. Zgodnie z DORA, zarząd musi:

• Definiować, zatwierdzać, nadzorować i ponosić odpowiedzialność za wdrożenie ram zarządzania ryzykiem ICT.
• Ustalać tolerancję na ryzyko związane z ICT.
• Aktywnie nadzorować umowy z zewnętrznymi dostawcami ICT.
• Regularnie (co najmniej raz w roku) przechodzić specjalistyczne szkolenia, aby utrzymać i poszerzać swoją wiedzę na temat ryzyka ICT i jego wpływu na działalność.

Ta osobista odpowiedzialność, połączona z groźbą dotkliwych kar, sprawia, że cyberbezpieczeństwo i odporność cyfrowa stają się jednym z kluczowych tematów na każdym posiedzeniu zarządu w instytucji finansowej.

W nFlo posiadamy unikalne kompetencje, które pozwalają nam skutecznie wspierać instytucje sektora finansowego w tej złożonej transformacji regulacyjnej. Rozumiemy zarówno dotychczasowe realia i wymagania KNF, jak i nowe, szersze obowiązki wynikające z DORA.

Naszą kluczową usługą jest kompleksowa analiza luk (Gap Analysis) między obecnym stanem wdrożenia Wytycznych IT KNF a pełnym spektrum wymagań DORA. Mapujemy Twoje istniejące procesy, polityki i zabezpieczenia na nowe wymogi, precyzyjnie identyfikując obszary, które wymagają rozszerzenia, modyfikacji lub zbudowania od zera. Wynikiem jest priorytetyzowana mapa drogowa, która pozwala na efektywne zaplanowanie działań dostosowawczych.

Aktywnie wspieramy w wypełnianiu zidentyfikowanych luk. Pomagamy w rozbudowie ram zarządzania ryzykiem ICT, ze szczególnym uwzględnieniem ryzyka stron trzecich, pomagając w tworzeniu procesów oceny dostawców i przygotowaniu odpowiednich klauzul umownych. Nasz elitarny zespół Red Team jest gotowy do przeprowadzenia zaawansowanych testów penetracyjnych opartych na analizie zagrożeń (TLPT), zgodnie z frameworkiem TIBER-EU. W ramach usług vCISO, wspieramy również zarządy w zrozumieniu i realizacji ich nowych, bezpośrednich obowiązków, pomagając w budowie skutecznego systemu raportowania i nadzoru nad cyfrową odpornością operacyjną.