Rozporządzenie DORA (Digital Operational Resilience Act) wprowadza istotne zmiany w zakresie zarządzania ryzykiem ICT (technologie informacyjne i komunikacyjne) w instytucjach finansowych w Unii Europejskiej. Jego celem jest zapewnienie odpowiedniej odporności organizacji finansowych na zagrożenia cyfrowe, takie jak cyberataki, awarie systemów czy inne zakłócenia technologiczne, które mogą wpłynąć na ich działalność. W artykule omówione zostaną kluczowe wymagania DORA w zakresie zarządzania ryzykiem ICT, raportowania reakcji na incydenty ICT, testowania odporności operacyjnej w środowisku cyfrowym, zarządzania ryzykiem stron trzecich ICT oraz udostępniania informacji.
Zarządzanie ryzykiem ICT
Zarządzanie ryzykiem związanym z technologiami informacyjnymi i komunikacyjnymi (ICT) jest jednym z centralnych elementów rozporządzenia DORA. Instytucje finansowe muszą opracować skuteczne strategie identyfikowania, oceny, monitorowania oraz zarządzania ryzykami ICT, które mogą wpłynąć na ich działalność operacyjną.
Kluczowe wymagania w tym zakresie obejmują:
• Ocena ryzyka ICT – Instytucje finansowe muszą przeprowadzać systematyczne analizy ryzyka ICT, które uwzględniają różnorodne zagrożenia, takie jak ataki cybernetyczne, awarie infrastruktury, błędy systemowe, czy zmiany regulacyjne. Regularne audyty ryzyka pomagają w identyfikowaniu luk w zabezpieczeniach oraz w tworzeniu planów działania w przypadku incydentów.
• Zarządzanie bezpieczeństwem systemów ICT – Rozporządzenie nakłada obowiązek wprowadzenia odpowiednich zabezpieczeń systemów ICT, takich jak szyfrowanie danych, zarządzanie dostępem, monitorowanie aktywności w systemach IT, a także regularne aktualizacje oprogramowania. Każda instytucja finansowa powinna posiadać spójny system zarządzania bezpieczeństwem, który obejmuje zarówno prewencję, jak i reagowanie na incydenty.
• Strategie i procedury operacyjne – Instytucje finansowe muszą wdrożyć jasne procedury zarządzania ryzykiem ICT na poziomie operacyjnym. Obejmuje to m.in. tworzenie procedur reagowania na awarie systemów ICT, wdrożenie planów ciągłości działania oraz przechowywanie i zabezpieczanie danych w sposób zgodny z regulacjami.
Raportowanie reakcji na incydenty ICT
Rozporządzenie DORA wymaga, aby instytucje finansowe były w stanie szybko i skutecznie reagować na incydenty ICT, a także regularnie raportować takie incydenty odpowiednim organom nadzorczym. Zgłaszanie i monitorowanie reakcji na incydenty jest kluczowe, aby uniknąć długotrwałych zakłóceń w działalności organizacji i minimalizować potencjalne straty.
W zakresie raportowania DORA nakłada następujące obowiązki:
• Raportowanie incydentów ICT – Instytucje finansowe muszą zgłaszać poważne incydenty ICT, które mogą wpłynąć na ich działalność, regulatorom w ciągu 24 godzin od ich wystąpienia. Do takich incydentów zaliczają się np. cyberataki, poważne awarie systemów, utrata danych czy problemy z dostępem do kluczowych usług.
• Dokumentowanie odpowiedzi na incydent – Instytucje muszą szczegółowo dokumentować podjęte działania w odpowiedzi na incydent ICT, w tym analizę przyczyn incydentu, wdrożone środki zaradcze, czas reakcji oraz ocenę wpływu na działalność. Raportowanie takich incydentów pozwala na lepszą analizę ryzyk i wdrażanie skuteczniejszych środków prewencyjnych w przyszłości.
• Współpraca z organami nadzorczymi – Rozporządzenie wprowadza obowiązek ścisłej współpracy z organami nadzorczymi w przypadku poważnych incydentów ICT. Instytucje finansowe muszą udzielać pełnych informacji o incydentach i podejmowanych działaniach w celu umożliwienia organom nadzorczym podejmowania decyzji dotyczących dalszego postępowania.
Testowanie odporności operacyjnej w środowisku cyfrowym
DORA nakłada na instytucje finansowe obowiązek regularnego testowania ich odporności operacyjnej w obliczu zagrożeń cyfrowych. Testy te są niezbędne, aby zapewnić, że instytucje będą w stanie skutecznie reagować na incydenty ICT i minimalizować wpływ zakłóceń na ich działalność.
Do kluczowych wymagań w zakresie testowania odporności operacyjnej należą:
• Symulacje incydentów i testy kryzysowe – Instytucje finansowe powinny regularnie przeprowadzać symulacje incydentów ICT, które odwzorowują rzeczywiste scenariusze kryzysowe, takie jak cyberataki czy poważne awarie systemów. Testy te pozwalają sprawdzić, jak instytucja reaguje na zakłócenia oraz jakie działania należy podjąć, aby zapewnić ciągłość usług.
• Testowanie systemów ICT – Regularne testowanie systemów IT i infrastruktury technologicznej pozwala na wykrycie ewentualnych słabości i podatności, które mogą zostać wykorzystane przez cyberprzestępców. Testy odporności obejmują również sprawdzanie zabezpieczeń przed atakami typu ransomware, DDoS (rozproszone ataki odmowy usługi) i innymi zagrożeniami cyfrowymi.
• Ocena wyników testów – Po przeprowadzeniu testów, instytucje muszą dokonać analizy wyników i wprowadzić zmiany w swoich procedurach i systemach, aby poprawić odporność operacyjną. Regularne testowanie i dostosowywanie strategii bezpieczeństwa pozwala na minimalizowanie ryzyka zakłóceń w działalności.
Zarządzanie ryzykiem stron trzecich ICT
Współpraca z podmiotami zewnętrznymi, takimi jak dostawcy usług chmurowych, dostawcy technologii czy inne strony trzecie, stwarza dodatkowe ryzyko dla instytucji finansowych. DORA nakłada obowiązek szczegółowego zarządzania ryzykiem związanym z takimi dostawcami, aby zapobiec wpływowi ich problemów na działalność instytucji.
Kluczowe wymagania DORA w zakresie zarządzania ryzykiem stron trzecich obejmują:
• Ocena ryzyka dostawców – Instytucje muszą przeprowadzać dokładne analizy ryzyka związane z dostawcami usług ICT, oceniając ich bezpieczeństwo, stabilność operacyjną i zdolność do zapewnienia ciągłości usług.
• Zarządzanie umowami z dostawcami – W ramach umów z podmiotami zewnętrznymi należy uwzględniać odpowiednie zapisy dotyczące bezpieczeństwa, dostępności usług oraz reagowania na incydenty ICT. Umowy muszą także określać obowiązki dostawców w zakresie raportowania zagrożeń i zapewnienia zgodności z regulacjami.
• Nadzór nad działaniami dostawców – Instytucje finansowe są zobowiązane do regularnego monitorowania działalności dostawców, w tym przeprowadzania audytów, weryfikacji zgodności z wymaganiami DORA oraz sprawdzania, czy dostawcy przestrzegają ustalonych standardów bezpieczeństwa.
Udostępnianie informacji
DORA nakłada obowiązek udostępniania informacji o zagrożeniach ICT, incydentach oraz procedurach zarządzania ryzykiem zarówno wewnętrznie, jak i na zewnątrz instytucji. Przejrzystość w tym zakresie pozwala na lepsze zarządzanie ryzykiem i współpracę z odpowiednimi organami nadzorczymi.
Instytucje finansowe muszą zapewnić:
• Dostępność informacji o ryzykach ICT – Pracownicy oraz menedżerowie muszą mieć dostęp do informacji o identyfikowanych ryzykach i zagrożeniach ICT, aby podejmować odpowiednie decyzje operacyjne.
• Przekazywanie informacji do organów nadzorczych – Instytucje muszą udostępniać odpowiednim organom nadzorczym dane dotyczące incydentów ICT, analiz ryzyka oraz działań naprawczych, co umożliwia podejmowanie decyzji dotyczących dalszego postępowania.
Rozporządzenie DORA wprowadza szereg wymagań, które mają na celu zapewnienie wysokiej odporności instytucji finansowych na zagrożenia cyfrowe. Kluczowe obszary to zarządzanie ryzykiem ICT, raportowanie incydentów ICT, testowanie odporności operacyjnej, zarządzanie ryzykiem dostawców oraz udostępnianie informacji. Przestrzeganie tych wymagań pozwoli organizacjom nie tylko na zwiększenie swojej odporności na kryzysy technologiczne, ale także na zapewnienie zgodności z regulacjami, co jest kluczowe w obliczu rosnącego ryzyka cyberzagrożeń w sektorze finansowym.