Trzy europejskie urzędy nadzoru: EUNB, EIOPA i ESMA opublikowały 26 lipca wspólne sprawozdanie końcowe w sprawie projektu regulacyjnych standardów technicznych określających sposób określania i oceny warunków zlecania podwykonawstwa usług w zakresie technologii informacyjno-komunikacyjnych (ICT), wspierających krytyczne lub ważne funkcje na podstawie rozporządzenia w sprawie operacyjnej odporności cyfrowej (DORA).
Regulacyjne standardy techniczne koncentrują się na usługach ICT świadczonych przez podwykonawców ICT, którzy wspierają krytyczne lub ważne funkcje albo, ich istotne części. Ponadto określają one wymogi w całym cyklu życia ustaleń umownych między podmiotami finansowymi a zewnętrznymi dostawcami usług ICT. W szczególności wymagają one od podmiotów finansowych oceny ryzyka związanego z podwykonawstwem na etapie przedumownym, w tym procesu należytej staranności.
Wymogi dotyczące wdrażania ustaleń umownych dotyczących warunków podwykonawstwa i zarządzania nimi są określone w tych regulacyjnych standardach technicznych w celu zapewnienia, aby podmioty finansowe monitorowały podwykonawców skutecznie wspierających usługi ICT, które wspierają krytyczne lub ważne funkcje i pozostają pod kontrolą ich ryzyka.
Damian Jagusz, CITSO, Chief Digital Operational Resilience Officer oraz Head of IT Security and Compliance Team ERGO Hestii i przewodniczący Zespołu ds. DORA Polskiej Izby Ubezpieczeń wskazuje, że z perspektywy operacyjnej działalności zakładów ubezpieczeń spośród siedmiu dokumentów przedstawionych przez europejskie nadzory na szczególną uwagę zasługują:
- Regulacyjny standard techniczny dotyczący testów penetracyjnych pod kątem wyszukiwania zagrożeń (ang. Regulatory technical standard specifying elements related to threat led penetration tests)
- Regulacyjny standard techniczny dotyczący zgłaszania i raportowania poważnych incydentów związanych z ICT oraz znaczących cyberzagrożeń (ang. Regulatory technical standard on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents)
- Implementacyjny standard techniczny dotyczący standardowych formularzy, szablonów oraz procedur raportowania poważnego incydentu związanego z ICT oraz zgłaszania znaczącego cyberzagrożenia (ang. Implementing technical standard on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat)
- Wspólne wytyczne dotyczące szacowania zagregowanych rocznych kosztów i strat spowodowanych przez poważne incydenty związane z ICT (ang. Joint Guidelines on the estimation of aggregated annual costs and losses caused by major ICT-related incidents)
„Publikacja dokumentów nastąpiła 6 miesięcy przed datą obowiązywania DORA – w momencie, w którym zdecydowana większość zakładów ubezpieczeń prowadzi zaawansowane prace nad wdrożeniem nowych zasad. Najbliższe zadanie to szczegółowa analiza dodatkowych wymogów i ocena ich wpływu na dotychczasowe założenia i cele toczących się projektów. W następnym kroku konieczne może okazać się: dostosowanie aktów legislacji wewnętrznej, rozwiązań procesowych, a niejednokrotnie również warunków współpracy z zewnętrznymi dostawcami świadczącymi usługi m.in. monitorowania środowiska i obsługi incydentów. Ostateczne projekty standardów zostały przekazane Komisji Europejskiej, która rozpocznie proces zmierzający do ich formalnego przyjęcia” – wskazał ekspert na blogu PIU.
Więcej na blogu PIU.
(AM, źródło: EIOPA, PIU)