Od czasu oficjalnego opublikowania treści rozporządzenia w sprawie operacyjnej odporności cyfrowej (DORA) w grudniu 2022 r. i jej wejścia w życie w styczniu kolejnego roku nieuchronnie zbliżamy się do momentu, w którym DORA będzie w pełni stosowana – czyli do 17 stycznia 2025 r.
Dla wielu organizacji podlegających pod reżim DORA jest to okres intensywnej pracy nad dostosowaniem do nowych wymogów. Niektórym, zwłaszcza mniejszym podmiotom, nadal brakuje pełnej świadomości co do skali i złożoności programu dostosowawczego. Niemniej, obecny czas to doskonała okazja, aby dokonać pierwszych podsumowań i przygotować się na ostatnią prostą tej drogi.
Celem niniejszego artykułu jest wskazanie kluczowych obserwacji i wyzwań, przed którymi w kontekście DORA stają dziś nie tylko nasi klienci, z którymi pracowaliśmy nad analizami luki i dostosowaniem do DORA, ale również znacząca część rynku – niezależnie od tego, czy mówimy o dojrzałych instytucjach finansowych, czy mniejszych podmiotach.
Wierzymy, że identyfikacja tych kluczowych obszarów nie tylko pozwoli organizacjom lepiej zrozumieć, gdzie znajdują się na ścieżce ku pełnej zgodności, ale także powinna umożliwić im skoncentrowanie wysiłków na najistotniejszych aspektach – minimalizując ryzyko oraz maksymalizując operacyjną odporność cyfrową.
Warto jednocześnie zaznaczyć, że wiele instytucji finansowych uważa, iż już teraz podlega licznym regulacjom w obszarach zbliżonych do DORA, co sugeruje, że ich obecny poziom dojrzałości w zakresie bezpieczeństwa i odporności cyfrowej powinien pozwolić na łatwe osiągnięcie zgodności z nowym rozporządzeniem. Nasze doświadczenia pokazują jednak, że nawet te zaawansowane organizacje są zmuszone do włożenia znaczącego wysiłku w dostosowanie się do nowych wymogów.
DORA oczywiście jest postrzegana na rynku raczej jako ewolucja niż rewolucja. Wprowadza zatem stopniowe, ale jednocześnie głębokie zmiany, które wymagają przemyślanej i długofalowej adaptacji w całej strukturze organizacyjnej.
Funkcje istotne lub krytyczne
Jednym z kluczowych elementów procesu dostosowania do DORA oraz późniejszego monitorowania zgodności z rozporządzeniem i zarządzania nią jest wyznaczenie funkcji istotnych lub krytycznych zgodnie z definicją DORA. Obecnie istnieje wiele wymagań i standardów, które obligują do klasyfikacji procesów biznesowych z perspektywy różnych kryteriów. Na przykład analiza oceny wpływu na biznes (ang. Business Impact Analysis) koncentruje się na aspekcie dostępności, aby jak najlepiej zabezpieczyć ciągłość działania procesów w przypadku scenariuszy mogących tę ciągłość zakłócić.
Klasyfikacja funkcji zgodnie z wymogami DORA idzie jednak znacznie dalej – wymaga uwzględnienia wszystkich atrybutów bezpieczeństwa – poufności, dostępności, integralności i autentyczności. Celem jest upewnienie się, że zidentyfikowane zostały funkcje, których zakłócenie może wpłynąć nie tylko na wyniki finansowe podmiotu, ale również na bezpieczeństwo i ciągłość świadczonych przez niego usług.
Odpowiednie wyznaczenie funkcji istotnych lub krytycznych ma fundamentalne znaczenie z dwóch powodów:
- DORA nakłada na nie dodatkowe szczegółowe wymagania;
- stanowi to podstawę do odpowiedniej inwentaryzacji – funkcji, systemów i zewnętrznych dostawców usług ICT, jak również opracowania rejestru informacji.
Inwentaryzacja oraz rejestr informacji
Każdy, kto zetknął się z wymaganiami DORA oraz powiązanymi aktami delegowanymi, wie już, że jednym z elementów dostosowania jest opracowanie nowego rejestru informacji – zdefiniowanego szczegółowo co do zakresu i formy.
Opracowanie rejestru informacji możliwe jest wyłącznie pod warunkiem posiadania kompletnej i poprawnej listy funkcji (z określeniem krytyczności) powiązanej z informacją o wspierających je systemach ICT. Systemy natomiast powinny być powiązane z ewentualnymi zewnętrznymi dostawcami usług ICT. A wszystko to opierać się powinno dodatkowo na odpowiednim zrozumieniu tego, czym w ogóle jest usługa ICT oraz zewnętrzny dostawca usługi ICT.
Definicja usługi ICT i wyznaczenie dostawców
W kontekście filaru dotyczącego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT kluczowym punktem wyjścia jest konieczność prawidłowego zidentyfikowania dostawców i umów, które podlegają pod reżim DORA. Szeroki zakres niektórych definicji oraz wykorzystanie pojęć nieostrych powoduje istotne trudności interpretacyjne w kontekście zrozumienia przesłanek prowadzących do jednoznacznego uznania, czy świadczona przez dostawcę usługa jest w istocie usługą ICT.
W tym zakresie pojawiają się również spory na tle relacji definicji usługi ICT w DORA a katalogiem usług ICT identyfikowanym na gruncie ITS w sprawie rejestru informacji. ITS po prowadzonych zmianach proponuje katalog zamknięty usług ICT, natomiast jest on stworzony na potrzeby uzupełniania przez instytucje finansowe rejestru informacji i wprowadzona w samym rozporządzeniu definicja do niego bezpośrednio nie referuje.
Zidentyfikować można więc np. rozbieżne podejścia interpretacyjne, które albo identyfikują usługę ICT wyłącznie przez pryzmat dopasowania jej do katalogu z ITS, albo stosują podejście dwuetapowe poprzez ocenę umowy nie tylko z perspektywy katalogu ITS, ale również ocenę przesłanek z definicji DORA. Niejednokrotnie oceny te mogą potencjalnie prowadzić do rozbieżnych kwalifikacji tych samych umów.
Zarządzanie ryzykiem ICT
Zarządzanie ryzykiem jest w DORA tak istotnym aspektem, że poświęcono mu nie bez powodu aż dwa filary – dotyczące zarządzania ryzykiem ICT podmiotu finansowego oraz zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT.
W kontekście filaru pierwszego nadal istotnym wyzwaniem pozostaje ujednolicenie działań związanych z zarządzaniem ryzykiem ICT, które często realizowane są punktowo przez różne obszary. Na przykład, ryzyka identyfikowane na poziomie poszczególnych systemów ICT zazwyczaj nie są korelowane z ryzykami wykrytymi podczas audytów procesów. Aby osiągnąć cyfrową odporność, proces ten powinien skutecznie agregować te ryzyka i integrować je z zarządzaniem ryzykiem operacyjnym, tak aby podejście organizacji było spójne. Kluczowe znaczenie w tym zakresie ma również opracowanie ram zarządzania ryzykiem ICT, na co DORA kładzie duży nacisk w swoich wymaganiach.
W kontekście zarządzania ryzykiem dostawców zewnętrznych elementem, na który należy zwrócić szczególną uwagę, jest konieczność analizy ryzyka, monitorowania go i zarządzania ryzykiem związanym z dostawcami nie tylko na etapie nawiązywania relacji, ale również w trakcie jej trwania oraz zakończenia.
Sen z powiek spędza zwłaszcza ten ostatni element cyklu życia, gdyż dla dostawców wspierających funkcje krytyczne wymaga opracowania strategii i planów zakończenia relacji, co nie w każdym przypadku jest zadaniem trywialnym, a w niektórych przypadkach wymagać może aneksowania dotychczasowych umów z dostawcami usług.
Aneksowanie umów
Nowa regulacja to również nowe wymogi dotyczące elementów (klauzul umownych), które powinny zostać uwzględnione w umowie z dostawcą ICT. Mimo że na część instytucji finansowych były nałożone już wymogi regulacyjne w kontekście umów IT, nadal w umowach z dostawcami zauważalne są pewne braki w tym zakresie.
Konieczne wobec tego jest, po kroku związanym z identyfikacją umów z dostawcami ICT, dokonanie ich przeglądu i w odpowiednich przypadkach dostosowania w drodze aneksów zmieniających. Dla części instytucji finansowych jest to proces dotyczący dziesiątek lub setek umów i wymaga zaangażowania szerokich kompetencji i zasobów.
Istotnym elementem procesu dostosowania umów do wymagań DORA jest przeprowadzenie wspomnianej już oceny krytyczności i istotności funkcji. W odniesieniu do każdej umowy powinny zostać zidentyfikowane funkcje instytucji finansowej, które dana umowa wspiera, a następnie weryfikacja, czy funkcje te zostały ocenione jako krytyczne lub istotne. Od tej oceny będzie zależał zakres przeglądu i ewentualnych zmian w umowie z dostawcą.
Powodzenia!
Niezależnie od tego, na jakim etapie wdrożenia DORA znajduje się dana organizacja oraz które z najczęściej napotykanych wyzwań są bliskie danemu podmiotowi finansowemu, jedno jest pewne: DORA to doskonała okazja, aby w niepewnych czasach, pełnych zagrożeń w obszarze cyberbezpieczeństwa, potraktować proces dostosowania nie tylko jako kolejny, żmudny element zgodności z regulacjami, ale również jako szansę na realne podniesienie poziomu odporności cyfrowej organizacji.
W dłuższej perspektywie przyniesie to korzyści zarówno w kontekście zarządzania ryzykiem, jak i budowania zaufania wśród interesariuszy, czego Państwu serdecznie życzymy.
Aleksandra Bańkowska
CEE Legal Business Solutions Leader, Partner, PwC Polska
Szymon Grabski
Senior Manager, PwC Polska
