Rozmowa z Karolem Okońskim, dyrektorem w Zespole Cyberbezpieczeństwa PwC Polska
Aleksandra E. Wysocka: – Na co zwrócić uwagę w pierwszej kolejności, planując wdrożenie DORA w zakładzie ubezpieczeń?
Karol Okoński: – To nie jest tak, że DORA (Digital Operational Resilience Act – Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego) jako pierwsza opisuje wytyczne dla obszaru cyberbezpieczeństwa w sektorze ubezpieczeniowym. Były one już dość szeroko adresowane w komunikatach KNF albo mogły wynikać pośrednio z innych przepisów, jak RODO, natomiast faktycznie DORA jest pierwszą regulacją, która ujmuje wymagania tak kompleksowo, a przede wszystkim ma moc i wagę aktu prawnego w przeciwieństwie do poprzednich bardziej miękkich rekomendacji.
Dlatego pierwszym podstawowym krokiem jest przynajmniej wstępna wysokopoziomowa ocena zgodności z DORA, bo zależnie od dotychczas podejmowanych działań wyniki mogą być bardzo różne dla poszczególnych zakładów. Tym bardziej że DORA dotyka bardzo szerokiego zakresu tematów: zarządzania ryzykiem ICT (Information and Communication Technology), zarządzania incydentami ICT, testowania operacyjnej odporności cyfrowej, zarządzania ryzykiem zewnętrznych dostawców ICT czy wymiany informacji o zagrożeniach.
Wdrożenie niektórych zmian, szczególnie związanych z implementacją nowych narzędzi ICT, jak i zdefiniowanie i uruchomienie niektórych procesów od zera, będzie pracochłonne. To oznacza, że nie należy opóźniać startu prac, pomimo że DORA zaczyna obowiązywać od stycznia 2025 r. i nie wszystkie szczegóły zostały już przesądzone w tzw. RTS, czyli specyfikacji technicznej.
Jednym z największych wyzwań dla wszystkich podmiotów będzie na pewno obszar zarządzania ryzykiem dostawców, bo DORA wprowadza tu bardzo precyzyjne, a jednocześnie szerokie wymagania – a uzgodnienia w tym obszarze należy prowadzić z udziałem wielu departamentów.
Co w największym stopniu wpływa na efektywność strategii wdrożeniowej?
– Aby wdrożenie DORA było efektywne, należy przede wszystkim jak najszybciej zdefiniować zakres prac i przeznaczyć na realizację wystarczająco dużo czasu, by świadomie rozłożyć prace na odpowiednio długi okres, zależnie od pracochłonności bądź budżetu do dyspozycji.
W przypadku, gdy dany obszar, jak np. zarządzanie incydentami, jest dobrze zdefiniowany i sprawnie funkcjonujący, można poczekać ze zmianami do czasu przyjęcia przepisów wykonawczych (najpóźniej do połowy 2024 r.). Według nas jest ważne, aby na samym początku powołać projekt lub program, w który zostaną zaangażowani wszyscy interesariusze, czyli nie tylko cyberbezpieczeństwo i IT, ale też ryzyko operacyjne, prawnicy, zakupy, compliance oraz zarząd. Skuteczna realizacja wymagań DORA jest możliwa tylko w interdyscyplinarnym zespole. Natomiast taki program to nie tylko platforma do realizacji wdrożenia, ale też do monitorowania i komunikowania postępów w przyjmowaniu kompletu przepisów regulacji.
Pamiętajmy, że możemy się spodziewać w sumie może i kilkunastu aktów wykonawczych oraz także polskiej ustawy, która na przykład ureguluje komunikację z regulatorem oraz wysokość kar za brak przestrzegania wymagań DORA. Jednocześnie trzeba pamiętać, że czasami, by realizować wymagania DORA, należy mieć odpowiedni fundament, czyli proces bazowy lub dostęp do odpowiednich danych. Przykładowo nie uda się zrealizować wymagania oceny ryzyka zmian w konfiguracji, jeśli nie ma się bazy zasobów (CMDB) zmapowanej na procesy biznesowe, gdyż z jednej strony będzie trudno zdiagnozować, że w ogóle do zmiany dochodzi, a z drugiej później odpowiednio ocenić krytyczności zmiany.
Dodatkowo, by uruchomić nowy proces, musimy założyć przegląd czy aktualizację dotychczasowych informacji z nim związanych, jak np. przy zarządzaniu ryzykiem dostawców należy przejrzeć wszystkie umowy ICT, gromadząc sporo potencjalnie nowych informacji i przewidzieć też renegocjację umów bądź w skrajnym przypadku zastąpienie aktualnych dostawców.
W jaki sposób realizowanie wymogów DORA przyczyni się do transformacji cyberbezpieczeństwa ubezpieczycieli?
– Wyjątkowo szeroki zakres zmian i ich kompleksowość oraz przenikanie się obszarów cyberbezpieczeństwa z innymi działami daje szansę na to, aby gruntownie przemyśleć dotychczasowy sposób współpracy, podziału obowiązków oraz efektywność zarządzania cyberbezpieczeństwem czy ciągłością działania.
Dobrze zrealizowane wdrożenie DORA może być okazją do skokowego podniesienia poziomu dojrzałości obszaru cyber i ICT w organizacji. A to nie dość, że pozwoli spełnić wymaganie regulacyjne, unikając potencjalnej kary bądź obniżając ryzyko incydentów czy przestojów, to jeszcze może podnieść jakość świadczonych usług, zwiększyć szybkość reakcji na wyzwania biznesowe oraz dać klientom poczucie bezpieczeństwa. Będzie to tym bardziej prawdopodobne, im w większym stopniu wdroży się odpowiednie rozwiązania informatyczne oraz automatyzację.
To oczywiste, że wymaga to zaplanowania odpowiedniego budżetu i horyzontu wykraczającego ponad rok i samo rozporządzenie DORA, ale właśnie podejście transformacyjne daje szansę na to, aby nie był to li tylko koszt compliance, ale wkład w rozwój biznesu w zakładzie.
Dziękuję za rozmowę.
Aleksandra E. Wysocka
