Już od 17 stycznia 2025 roku we wszystkich krajach Unii Europejskiej stosowane będzie Rozporządzenie DORA. Jego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych, w tym między innymi instytucji kredytowych, instytucji płatniczych, przedsiębiorstw ubezpieczeniowych i reasekuracyjnych oraz firm inwestycyjnych. DORA ma być także krokiem w kierunku uregulowania kwestii świadczenia usług ICT na rynku finansowym, w związku z czym jej zapisy będą obowiązywać także organizacje świadczące tego typu usługi. Jak instytucje finansowe mogą się przygotować do nowych przepisów? Odpowiedzią może być stworzony przez Linux Polska system DORIAN.
Czym jest Rozporządzenie DORA i kogo obejmie?
Rozporządzenie DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 14 grudnia 2022 roku i zmieniło dotychczas obowiązujące rozporządzenia: (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011. Nowe przepisy wprowadzają jednolite wymogi dla instytucji finansowych w zakresie bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe. Wymogi te dotyczą przede wszystkim zarządzania ryzykiem ICT, zgłaszania poważnych incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami, testowania operacyjnej odporności cyfrowej, zarządzania ryzykiem dostawców usług ICT oraz stworzenia ram kontroli krajowych i unijnych organów nadzoru.
W Rozporządzeniu DORA wymienionych jest ponad 20 typów organizacji, które będą objęte nowymi przepisami. Są to przede wszystkim podmioty finansowe – instytucje kredytowe i płatnicze, firmy inwestycyjne, spółki zarządzające, zakłady ubezpieczeń czy centralne depozyty papierów wartościowych. Ponadto rozporządzenie będzie dotyczyło także zewnętrznych dostawców usług ICT. Co ważne, w artykule 4 została wprowadzona zasada proporcjonalności – instytucje finansowe będą stosować przepisy, biorąc pod uwagę, m.in. wielkość ryzyka, a także skalę i złożoność swoich usług i operacji.
Nowe obowiązki podmiotów finansowych
Rozporządzenie DORA nakłada na instytucje finansowe wiele obowiązków. Należą do nich, m.in. wprowadzenie polityk, zapewniających utrzymanie wysokich standardów dostępności, integralności i poufności danych, zatwierdzenie strategii, zapewniającej ciągłość działania i planów reakcji na awarie systemów IT oraz regularne audyty bezpieczeństwa. Firmy finansowe zostaną zobowiązane do testowania swojej operacyjnej odporności cyfrowej poprzez ocenę podatności i bezpieczeństwa sieci, przeglądy kodu źródłowego, a także testy scenariuszowe i penetracyjne.
Rozporządzenie określa ponadto ramowe wytyczne dotyczące wymiany informacji w zakresie cyberbezpieczeństwa oraz reguluje kwestie zarządzania incydentami, m.in. wskaźniki wczesnego ostrzegania, kategoryzację zdarzeń ze względu na ich wagę czy obowiązek zgłaszania poważnych zagrożeń kadrze kierowniczej. Dariusz Świąder, Prezes Linux Polska, podkreśla, że zgodnie z Rozporządzeniem DORA instytucje finansowe będą zobligowane również do zarządzania ryzykiem w zakresie współpracy z zewnętrznymi dostawcami usług ICT.
– DORA nakłada na podmioty finansowe obowiązek utrzymania i aktualizacji rejestru informacji dotyczącego wszystkich ustaleń umownych o korzystaniu z usług ICT. Przed zawarciem umowy firmy będą musiały ustalić, czy konkretne zapisy odnoszą się do korzystania z usług wspierających krytyczną funkcję, a także czy spełniają one warunki nadzorcze dotyczące zawierania umów. Konieczna będzie ocena wszystkich rodzajów ryzyka związanego z każdym ustaleniem umownym oraz identyfikacja konfliktów interesów, które mogą z niego wyniknąć. Zawarcie umowy będzie możliwe oczywiście wyłącznie z tymi dostawcami usług ICT, którzy spełniają odpowiednie standardy w zakresie bezpieczeństwa informacji – mówi Dariusz Świąder, Prezes Linux Polska.
Jak przygotować się do Rozporządzenia DORA?
Rozporządzenie DORA zacznie obowiązywać już od 15 stycznia 2025 roku. Aby pomóc firmom spełnić wymogi określone w przepisach, firma Linux Polska stworzyła system DORIAN (Digital Operational Resilience Investigation and Analysis). Rozwiązanie jest wsparciem w zakresie zarządzania ryzykiem operacyjnym w obszarze ICT w podmiotach finansowych. Jak podkreśla Dariusz Świąder, system ma także na celu zwiększenie bezpieczeństwa IT w podmiotach finansowych.
– DORIAN powstał z myślą o organizacjach, które będą objęte regulacjami DORA. Rozwiązanie to umożliwia analizę oraz zarządzanie ryzykiem dotyczącym aktywów ICT, dostawców i producentów rozwiązań informatycznych, funkcji organizacyjnych, a także wielu innych obszarów. Głównym celem narzędzia jest wsparcie obsługi rejestru ryzyka oraz usprawnienie przekazu informacji o zarejestrowanym ryzyku operacyjnym. Stworzony przez nas system działa kompleksowo – automatycznie pobiera i identyfikuje ryzyka, a następnie przesyła rekomendacje dotyczące działań naprawczych. Są to funkcjonalności, dzięki którym organizacja minimalizuje ryzyko niepożądanych incydentów i zwiększa ochronę przed cyberzagrożeniami, wypełniając jednocześnie wymogi formalne określone w dyrektywie DORA – wyjaśnia Dariusz Świąder, Linux Polska.
Radosław Żak-Brodalko, Senior Architect Solutions w Linux Polska, dodaje, że DORIAN z założenia miał być prostym i intuicyjnym narzędziem, które usprawni pracę analityków ryzyka. Cel ten udało się osiągnąć.
– Stworzyliśmy konfigurowalny interfejs, który każdy może dostosować do własnych potrzeb i oczekiwań. Takie rozwiązanie zapewnia szybki dostęp do najważniejszych informacji o ryzyku, a także ułatwia wyszukiwanie poszczególnych obiektów, czyli elementów architektury ICT, którym może być przyporządkowane ryzyko. DORIAN prezentuje relacje między tymi obiektami w formie interaktywnych grafów 2D. Użytkownik może ukrywać lub rozwijać różne typy obiektów, a także przemieszczać się po grafie przy pomocy strzałek na klawiaturze. Co istotne, narzędzie określa również wpływ obiektów objętych ryzykiem na inne, zależne od tego obiektu obszary. Funkcjonalność ta dostarcza kompleksowej wiedzy na temat ryzyka operacyjnego – dodaje Radosław Żak-Brodalko, Linux Polska.
Według szacunków Rozporządzenie DORA obejmie około 22 tys. podmiotów finansowych działających na terenie Unii Europejskiej. Odpowiedzialność za przestrzeganie przepisów spoczywa na zarządach tych organizacji. W Polsce funkcję organu nadzorczego pełni Komisja Nadzoru Finansowego.