Postępująca cyfryzacja budzi coraz większe obawy wśród decydentów, przedsiębiorstw, obywateli i całych sektorów gospodarki. Wraz z nią rośnie bowiem zagrożenie cyberatakami, które mogą mieć poważne konsekwencje dla funkcjonowania instytucji finansowych, w tym ubezpieczycieli.
Pierwszą odpowiedzią Unii Europejskiej na rosnące zagrożenia cybernetyczne była Dyrektywa o bezpieczeństwie sieci i systemów informacyjnych (NIS1) z 2016 r. Wprowadziła ona pierwsze regulacje dotyczące cyberbezpieczeństwa i raportowania incydentów dla operatorów kluczowych usług oraz dostawców usług cyfrowych w całej UE.
Dyrektywa ta odegrała istotną rolę w zwiększeniu odporności cybernetycznej w Europie, jednak stworzyła nierówne warunki dla sektora ubezpieczeń. W niektórych krajach, takich jak Francja, obowiązki wynikające z NIS1 objęły również ubezpieczycieli, podczas gdy w innych państwach członkowskich sektor ten pozostał poza regulacją.
DORA – spójne ramy dla cyberodporności sektora finansowego
W odpowiedzi na te nierówności Komisja Europejska we wrześniu 2020 r. przedstawiła propozycję nowej wersji Dyrektywy NIS (NIS2), a równocześnie zaproponowała Rozporządzenie o cyfrowej odporności operacyjnej (DORA), które miało stworzyć jednolite ramy cyberbezpieczeństwa dla sektora finansowego.
DORA została przyjęta w grudniu 2022 r. i jest pozytywnie oceniana przez ubezpieczycieli, ponieważ harmonizuje praktyki wszystkich europejskich firm ubezpieczeniowych oraz wprowadza wspólny, wysoki poziom ochrony. Kluczową zmianą wynikającą z DORA jest to, że przepisy NIS2 nie obejmują już ubezpieczycieli – od teraz regulacją obowiązującą dla sektora finansowego jest wyłącznie DORA.
Nawet w krajach, które wcześniej objęły ubezpieczycieli regulacjami NIS1, to właśnie DORA stała się dominującym aktem prawnym. Dzięki temu ubezpieczyciele funkcjonują teraz w jednolitych ramach regulacyjnych, co jest znaczącym krokiem naprzód dla sektora.
Rozwój szczegółowych wytycznych – drugi pakiet aktów wykonawczych
Przyjęcie DORA nie zakończyło procesu legislacyjnego. Europejskie Urzędy Nadzoru (ESA) rozpoczęły prace nad tzw. drugim pakietem aktów wykonawczych, który miał doprecyzować sposób wdrożenia regulacji. Obejmuje on Regulacyjne Standardy Techniczne (RTS), Wdrożeniowe Standardy Techniczne (ITS) oraz inne wytyczne, opracowywane przez ESA i Komisję Europejską po konsultacjach z branżą.
W obliczu rosnących zagrożeń cybernetycznych sektor ubezpieczeniowy od 2023 r. intensywnie pracował nad dostosowaniem się do nowych wymogów. Firmy przeprowadzały analizy luk oraz opracowywały strategie wdrożenia. Wiele z nich mogło oprzeć się na dotychczasowych praktykach, ponieważ część regulacji drugiego pakietu bazowała na istniejących standardach europejskich i międzynarodowych, co było jednym z postulatów rynku.
Mimo to pełna zgodność z DORA do stycznia 2025 r. pozostawała dla sektora ogromnym wyzwaniem – zarówno pod względem wymogów technicznych i IT, jak i aspektów związanych z zarządzaniem ryzykiem i zobowiązaniami kontraktowymi.
Branża ubezpieczeniowa aktywnie uczestniczyła w konsultacjach prowadzonych przez ESA, co poskutkowało dostarczeniem cennych uwag do regulacji drugiego pakietu. Firmy doceniły wysoką jakość pracy organów nadzorczych oraz wysiłek włożony w prowadzenie z sektorem dialogu, który odbywał się na poziomie europejskim i krajowym. Ubezpieczyciele i instytucje branżowe miały możliwość konsultowania wstępnych wersji RTS i ITS ze swoimi krajowymi organami nadzoru, co przyczyniło się do lepszego przygotowania sektora do wdrożenia DORA.
Wdrożenie drugiego pakietu regulacji – kluczowe obszary
Drugi pakiet aktów wykonawczych był wdrażany w dwóch głównych etapach.
Pierwszy etap koncentrował się na:
- narzędziach zarządzania ryzykiem,
- klasyfikacji poważnych incydentów,
- rejestrze informacji o umowach z dostawcami ICT,
- politykach dotyczących korzystania z usług ICT wspierających kluczowe funkcje.
Drugi etap obejmował:
- warunki podwykonawstwa usług ICT wspierających kluczowe funkcje,
- określenie harmonogramu i zakresu raportowania o poważnych incydentach,
- wprowadzenie ram testów penetracyjnych prowadzonych pod kątem zagrożeń cybernetycznych, opartych na istniejących standardach europejskich.
Dodatkowo Europejskie Urzędy Nadzoru prowadziły konsultacje w zakresie nadzoru nad wdrażaniem regulacji, zespołów egzaminacyjnych oraz opłat nadzorczych. Przygotowały także akt delegowany określający kryteria identyfikacji kluczowych dostawców usług ICT, co w 2025 r. stało się jednym z głównych zadań ESA. Firmy ubezpieczeniowe będą zobowiązane do przekazywania informacji w ramach nowych wymogów raportowania DORA.
Branża ubezpieczeniowa w toku konsultacji podkreślała potrzebę większej proporcjonalności wymagań oraz zastosowania podejścia opartego na ryzyku, aby umożliwić wszystkim podmiotom – niezależnie od wielkości – dostosowanie się do regulacji. Istotnym postulatem było także unikanie nadmiernej złożoności oraz ścisłe przestrzeganie mandatu określonego w głównym tekście DORA.
Co po styczniu 2025? Perspektywy na przyszłość
Wdrożenie DORA do stycznia 2025 r. było poważnym wyzwaniem dla sektora finansowego, zwłaszcza że wiele regulacji drugiego pakietu zostało sfinalizowanych z opóźnieniem. Na przykład ostateczny tekst dotyczący rejestru informacji – kluczowy dla zarządzania ryzykiem związanym z podmiotami trzecimi – został opublikowany dopiero w grudniu 2024 r.
Branża ubezpieczeniowa nadal zgłasza potrzebę większej jasności prawnej w odniesieniu do niektórych aspektów regulacji, aby zapewnić pełną zgodność z przepisami. Dlatego sektor apeluje do ESA i Komisji Europejskiej o szybkie przyjęcie brakujących regulacji oraz o dostarczenie jednoznacznych interpretacji, które ułatwią firmom wdrożenie wymaganych standardów.
Jedno jest pewne – DORA wprowadza nową jakość w podejściu do cyberbezpieczeństwa w sektorze finansowym. Harmonizacja przepisów, wspólne standardy raportowania i nowe narzędzia zarządzania ryzykiem znacząco podniosą odporność cybernetyczną całego sektora. Jednak sukces tej regulacji będzie zależał od skuteczności jej wdrożenia i dalszej współpracy pomiędzy regulatorami a rynkiem.
Florence Lustman
prezeska France Assureurs
