24 września Komisja Europejska opublikowała projekt rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA). To część planów i strategii dotyczących finansowania cyfrowego. Iwona Szczęsna, szefowa przedstawicielstwa Polskiej Izby Ubezpieczeń (PIU) w Brukseli, oraz Mariusz Kuna z Działu Zarządzania Informacją Ubezpieczeniową PIU tłumaczą na blogu Izby, co nowe przepisy będą oznaczać dla ubezpieczeń, jakie wymogi przed nimi postawią oraz jak do nowych wymagań podejdzie nadzór.
Eksperci wyjaśniają, że DORA jest częścią pakietu strategii finansowania cyfrowego. Akt nakłada na zakłady ubezpieczeń wymóg ustanowienia w nich specjalnej funkcji, której rolą jest monitorowanie relacji z zewnętrznymi dostawcami technologii informacyjno-telekomunikacyjnych, czyli ICT. W nowych przepisach określono szczegółowe jednolite wymogi dla przedsiębiorstw finansowych w zarządzaniu ryzykiem ICT, zgłaszania incydentów z tym związanych, cyfrowych testów odporności operacyjnej oraz zarządzania ryzykiem ICT osób trzecich.
Definicje
Projekt przepisów zawiera zestaw definicji dotyczących osób i usług w zakresie DORA, m.in. definicje cyfrowej odporności operacyjnej, ryzyka ICT, ryzyka strony trzeciej ICT, zewnętrznego dostawcy usług ICT, w tym usług przetwarzania w chmurze, oraz usługodawcy będącego stroną trzecią z siedzibą w państwie trzecim.
Eksperci Izby podkreślają, że wspomniane definicje zobowiązują ubezpieczycieli do bardzo uważnej analizy wszystkich postanowień. Na polskim rynku funkcjonują już bowiem wytyczne Komisji Nadzoru Finansowego, a jakiekolwiek rozbieżności w definicjach mogą w konsekwencji przełożyć się na niepewność prawną powodującą komplikacje w działalności operacyjnej.
Zasada proporcjonalności
W DORA wprowadzono zasadę proporcjonalności poprzez:
- Zwolnienia dla mikroprzedsiębiorstw zatrudniających mniej niż 10 pracowników i/lub z obrotem poniżej 2 mln euro w niektórych obszarach zarządzania ryzykiem ICT. To oznacza brak:
- konieczności oceny ryzyka w przypadku zmian w sieci i infrastrukturze systemu informatycznego oraz brak konieczności corocznej oceny ryzyka ICT we wszystkich dotychczasowych systemach (art. 7 identyfikacja);
- realizacji audytu planu odtwarzania po awarii ICT;
- konieczności scenariuszy testowych cyberataków i przełączeń między podstawową infrastrukturą teleinformatyczną a nadmiarową wydajnością, kopiami zapasowymi i nadmiarowymi obiektami;
- zapewnienia funkcji zarządzania kryzysowego; brak obowiązku zgłaszania właściwym organom wszystkich kosztów i strat spowodowanych zakłóceniami ICT i incydentami związanymi z ICT (art. 10 Reagowanie i odzyskiwanie i art. 11 Zasady tworzenia kopii zapasowych i metody odzyskiwania).
- Indywidualne zasady dla niektórych kategorii podmiotów. Zaawansowane testy warunków skrajnych tylko dla znaczących podmiotów finansowych, które zostaną wyznaczone jako takie na podstawie kryteriów określonych przez Europejskie Organy Nadzoru – ESA.
- Indywidualne zasady dotyczące określonych kategorii incydentów. Tylko poważne incydenty związane z ICT wymagają zgłaszania, które należy określić za pomocą progów istotności opracowanych przez ESA.
System zarządzania ryzykiem ICT
Iwona Szczęsna i Mariusz Kuna wskazują, że choć DORA będzie wymagać od podmiotów finansowych kompleksowego zarządzania i kontroli w zakresie ryzyka ICT, to nie jest to nowością dla zakładów ubezpieczeń. Eksperci przypominają, że w lipcu 2021 r. wejdą w życie wytyczne EIOPA dotyczące posiadania i utrzymywania aktualności używanych systemów teleinformatycznych, protokołów i narzędzi. DORA nakłada obowiązek identyfikacji i dokumentowania tego, co stanowi potencjalne źródło ryzyka teleinformatycznego. W szczególności konfiguracji systemów, które łączą się z wewnętrznymi i zewnętrznymi systemami teleinformatycznymi. Celem jest jak najlepsza ochrona infrastruktury ICT, czyli zapobieganie, wykrywanie, reagowanie i usuwanie zagrożeń teleinformatycznych. Trzeba to udokumentować w polityce ciągłości działania ICT. Zakres obowiązkowych zagadnień, jakie będą musiały się w takiej polityce znaleźć, określi EIOPA w standardzie technicznym.
Eksperci zwracają uwagę, że choć trzeba będzie stale monitorować skuteczność wdrażania strategii odporności cyfrowej, to nie wiadomo, jakie oczekiwania będzie miał nadzór w stosunku do częstotliwości i celów audytów, które mają być współmierne do ryzyk ICT zakładu.
Podmioty objęte regulacją będą musiały zapewnić plan komunikacji umożliwiający „odpowiedzialne ujawnianie incydentów związanych z ICT lub głównych słabych punktów”. DORA wymagać będzie również ustanowienia specjalnej funkcji. Jej rolą będzie monitorowanie relacji z zewnętrznymi dostawcami ICT. Może być wyznaczony członek kadry kierowniczej wyższego szczebla odpowiedzialny za nadzorowanie powiązanej ekspozycji na ryzyko i odpowiedniej dokumentacji.
Iwona Szczęsna i Mariusz Kuna podkreślają, że ubezpieczenia czeka dalsza harmonizacja narzędzi, metod, procesów i polityk zarządzania ryzykiem ICT. Z art. 14 wynika, że ESA, w porozumieniu z ENISA, będą zobowiązane do opracowania projektu standardu technicznego w tym zakresie.
Incydenty związane z ICT
Aby monitorować i rejestrować incydenty związane z ICT, podmioty finansowe muszą wprowadzić odpowiednie procedury zarządzania. Incydenty będą też klasyfikowane w oparciu o kryteria opracowane przez ESA za pomocą wspólnej taksonomii incydentów związanych z ICT, która określi m.in. progi istotności. Zgłaszane będą wszystkie poważne incydenty związane z ICT w wyznaczonym czasie i przy użyciu zharmonizowanych szablonów sprawozdań. ESA, w porozumieniu z ENISA i EBC, ocenią możliwość ustanowienia jednego unijnego centrum zgłaszania poważnych incydentów związanych z ICT. Sprawozdanie przedłożą KE, PE i Radzie nie później niż trzy lata po wejściu w życie DORA.
Eksperci Izby przestrzegają, że i w tym przypadku trzeba będzie zadbać o szczegółowe postanowienia dotyczące wymogów sprawozdawczych wynikających z różnych regulacji. Jako przykład podają incydenty bezpieczeństwa teleinformatycznego wiążące się z naruszeniem danych osobowych. Będą one również wymagały zgłoszenia do organów ochrony danych zgodnie z wymogami RODO.
Cyfrowe testy odporności operacyjnej
Podmioty finansowe ustanawiają, utrzymują i dokonują przeglądu, uwzględniając przy tym swoją wielkość, profil działalności i ryzyka. Rzetelny i kompleksowy program cyfrowego testowania odporności operacyjnej jest integralną częścią zarządzania ryzykiem ICT. Tu znów pojawiają się pytania o wymagania nadzoru w zakresie podejścia opartego na ryzyku.
Zarządzanie ryzykiem ICT osób trzecich
DORA wprowadza szczegółowe wymagania dla podmiotów finansowych w ich relacjach z dostawcami usług. Chodzi przede wszystkim o przedumowne oceny ryzyka, dostępu, praw kontroli i audytów, zakończenia uzgodnień umownych (art. 25) oraz oceny koncentracji ryzyk ICT i dalsze uzgodnienia dotyczące podoutsourcingu (art. 26).
Iwona Szczęsna i Mariusz Kuna zwracają uwagę, że chociaż w proponowanych przepisach jest mowa o zasadzie proporcjonalności, to nakładają one pełną odpowiedzialność na podmioty finansowe za zapewnienie, że ich zewnętrzni dostawcy usług ICT spełniają wymogi określone w DORA. Wyjątkiem są usługodawcy wyznaczeni przez ESA jako krytyczni. Według ekspertów PIU wymogi związane z nadzorem nad wszystkimi niekrytycznymi usługodawcami mogą okazać się bardzo uciążliwe w zależności od oczekiwań w zakresie zastosowania zasady proporcjonalności. Tu ważne będzie również rozróżnienie pomiędzy dostawcami zewnętrznymi a wewnątrzgrupowymi.
Nadzór nad krytycznymi zewnętrznymi dostawcami usług ICT i wymiana informacji
Projekt zawiera oddzielny zestaw przepisów, które będą miały zastosowanie do krytycznych dostawców usług od stron trzecich. Zostaną oni wyznaczeni przez Wspólny Komitet Europejskich Urzędów Nadzoru (Joint Committee) na podstawie listy kryteriów określonych w DORA. Nadzorcy unijni będą wyposażeni w daleko idące uprawnienia, w tym nieograniczone prawo dostępu do wszystkich informacji uznanych za niezbędne, prawo do inspekcji. Za ten nadzór trzeba będzie zapłacić.
Proponowane przepisy pozwolą podmiotom finansowym na wymianę informacji i danych wywiadowczych na temat zagrożeń cybernetycznych. W tym wskaźników naruszenia bezpieczeństwa, taktyk, technik, procedur, alertów bezpieczeństwa cybernetycznego i narzędzi konfiguracyjnych.
Co dalej?
Projekt rozporządzenia trafi do Parlamentu Europejskiego i Rady do przeglądu i przyjęcia. Prawodawcy wprowadzą zmiany. Ostateczna wersja przepisów może więc różnić się od projektu zaproponowanego przez Komisję. Iwona Szczęsna i Mariusz Kuna zaznaczają, że ważnym jest, aby branża ubezpieczeniowa zaangażowała się od wczesnych etapów prac i wskazywała potencjalne rozbieżności w wymogach płynących z wielu stron. Ponadto istotne będą opinie branży dotyczące praktyk w zakresie zarządzania ryzykiem ICT, które funkcjonują już w zakładach ubezpieczeń od dawna. Nowa regulacja stanowi też wyzwanie dla krajowego nadzoru i regulatorów. Wymagać będzie wkomponowania nowych przepisów i obowiązków w już funkcjonujące regulacje.
Cały wpis:
https://piu.org.pl/blogpiu/dora-cyfrowa-…
(AM, źródło: blog PIU)