10 maja prezydencja Rady Unii Europejskiej oraz Parlament Europejski osiągnęły wstępne porozumienie w kwestii treści Rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (DORA) – wskazują Bartosz Bigaj, szef biura Polskiej Izby Ubezpieczeń w Brukseli, oraz Mariusz Kuna, ekspert odpowiedzialny w PIU za tematykę związaną z obszarem IT w sektorze ubezpieczeniowym.
Przedstawiciele PIU przypominają, że celem rozporządzenia jest wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych, takich jak np. zakłady ubezpieczeń czy pośrednicy finansowi. Unijna legislatura tłumaczy potrzebę wprowadzenia DORA koniecznością zabezpieczania podmiotów finansowych w przypadku poważnych zakłóceń operacyjnych.
„DORA przewiduje jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych firm sektora finansowego oraz podmiotów trzecich, które świadczą dla nich usługi ICT (ang. Information Communication Technologies), czyli dostawców technologii przetwarzania, gromadzenia i przesyłania informacji w formie elektronicznej. DORA wymaga wdrożenia rozwiązań umożliwiających przeciwdziałanie, reagowanie na zagrożenia związane z ICT i odzyskiwanie operacyjnej ciągłości po wszelkiego rodzaju zakłóceniach w tym obszarze. Wymagania te będą jednolite we wszystkich państwach członkowskich. DORA rozszerzy istniejące wymogi dotyczące zarządzania ryzykiem w zakresie ICT, regulując m.in. obowiązek corocznej oceny ryzyka w zakresie ICT, identyfikacji i zgłaszania incydentów, reagowania i odzyskiwania danych czy testowania przyjętych rozwiązań” – przypominają eksperci.
DORA to także pośrednicy
Bartosz Bigaj i Mariusz Kuna wskazują, że rozporządzenie będzie mieć zastosowanie także do pośredników ubezpieczeniowych i reasekuracyjnych z wyłączeniem tych mikro, małych i średnich oraz oferujących ubezpieczenia uzupełniające. W ocenie ekspertów objęcie nową regulacją tego segmentu wydaje się nieuzasadnione, a co więcej prawdopodobnie powieli dotychczasowe problemy, które można zaobserwować przy okazji chmury obliczeniowej. „Po pierwsze, stworzy to kolejne problemy dotyczące podziału i zakresu obowiązków na linii zakład–pośrednik. Po drugie, działalność pośredników nie generuje innych istotnych ryzyk w obszarze ICT, niż te które występują względem zakładów. Po trzecie, będzie skutkowało niepotrzebnym dublowaniem przyjętych rozwiązań zarówno przez zakład, jak i pośrednika, a co za tym idzie także niepotrzebnymi kosztami, które mógłby zostać lepiej zainwestowane, np. w rozwój nowych produktów czy innowacje” – czytamy.
System zarządzania ryzykiem ICT nie dla zakładów
W myśl rozporządzenia zakłady ubezpieczeń nie będą mogły stosować specjalnego uproszczonego systemu zarządzania ryzkiem ICT, choć przepisy DORA zawierają odniesienie do zasady proporcjonalności w kilku obszarach, takich jak zarządzanie ryzykiem ICT, zgłaszanie incydentów ICT, testowaniu cyfrowej odporności operacyjnej oraz zarządzania ryzykiem podmiotów trzecich związanym z ICT. Eksperci wskazują, że stosując zasadę proporcjonalności, zakłady i pośrednicy będą musiały wziąć pod uwagę rozmiar, charakter, skalę i złożoności usług, działań i operacji oraz ich ogólny profil ryzyka. DORA zapewnia przy tym kompetencje organu do żądania sprowadzań dotyczących stosowania zasady proporcjonalności w celu ustalenia, czy została ona prawidłowo wdrożona.
Szeroki zakres zarządzania ryzykiem ICT
Bartosz Bigaj i Mariusz Kuna krytycznie oceniają bardzo szeroki zakres zarządzania ryzykiem ICT zawarty w porozumieniu. Ich zdaniem lepszym odzwierciedleniem zasady proporcjonalności była propozycja PE ograniczająca zarządzanie ryzykiem ICT tylko do funkcji krytycznych i ważnych. Według przedstawicieli PIU pozytywnie należy oceniać za to ograniczenia zakresu informowania klientów, partnerów i opinii publicznej o incydentach ICT tylko do poważnych incydentów lub słabych punktów systemu informacyjnego. Eksperci uważają, że dobrym kierunkiem zmian jest także wyłączenie dostawców usług wewnątrzgrupowych z ram nadzoru nad krytycznymi dostawcami usług ICT – wymogi te będą miały zastosowanie tylko zewnętrznych dostawców ICT. Oprócz tego wyłączenia, DORA nie przewiduje żadnych łagodniejszych zasad dotyczących outsourcingu wewnątrzgrupowego.
Potrzeba obowiązkowych testów
„DORA wymaga, aby podmioty ustanowiły, utrzymywały i poddawały przeglądom programy testowania cyfrowej odporności w oparciu o analizę ryzyka. Do mikroprzedsiębiorstw będzie stosowany łagodniejszy system testowania. Organy nadzoru będą mogły wskazywać podmioty finansowe, od których wymaga się przeprowadzenia dodatkowych testów penetracyjnych (ang. Threat-Led Penetration Testing – TLPT), czyli kontrolowanych prób naruszenia odporności cybernetycznej poprzez symulowanie taktyk, metod i procedur stosowanych przez rzeczywistych hakerów. Podmioty te będą musiały przeprowadzać testy TLPT co najmniej raz na trzy lata, chociaż organ nadzoru będzie mógł zmniejszyć lub zwiększyć częstotliwości testów. Jeżeli podmioty zdecydują się na do przeprowadzanie testów TLPT przez testerów wewnętrznych, to i tak będą musiały co trzy lata zlecać poprowadzenie TLPT testerowi zewnętrznemu” – piszą eksperci.
Kluczowe kwestie w rękach ESAS
Bartosz Bigaj i Mariusz Kuna podkreślają, że DORA, podobnie jak inne ostatnie unijne regulacje, przewiduje, że wiele istotnych kwestii zostanie uregulowanych dopiero na poziomie drugim w Regulacyjnych Standardach Technicznych (ang. Regulatory Technical Standards – RTS) przez Wspólny Komitet Europejskich Organów Nadzoru obejmujący trzy Europejskie Organy Nadzoru – EIOPA, ESMA i EBA (ang. European Supervisory Authorites – ESAs). W Standardach dopracowane mają być m.in. kryteria rejestrowania incydentów ICT, treść powiadomienia o istotnych cyberzagrożeniach, zakres obowiązkowego raportowania incydentów ICT, terminy zgłaszania incydentów i raportów dla organu nadzoru czy warunki przeprowadzenia testów TLPT. „W treści DORA, co prawda słusznie wskazano, że opracowując standardy techniczne ESAs powinny uwzględniać charakter działalności w różnych sektorach usług finansowych, jednak doświadczenia wielu wcześniejszych horyzontalnych regulacji pokazują, że ESAs często zapominają o sektorze ubezpieczeniowym i skupiają się głównie na bankingu i firmach inwestycyjnych. Miejmy nadzieję, że w tym przypadku będzie inaczej” – wskazują eksperci PIU.
Zanim nowe przepisy DORA zostaną przyjęte, porozumienie musi zostać jeszcze formalnie zatwierdzone przez Radę i Parlament. Zakłady i pośrednicy musieli wdrożyć DORA w ciągu 24 miesięcy od momentu jej wejścia w życie. ESAs mają od 12 do 18 miesięcy na przygotowanie poszczególnych RTSów. Termin na wdrożenie DORA wydaje się odległy, ale Bartosz Bigaj i Mariusz Kuna uważają, że już teraz warto przygotowywać się do nowych wymogów.
Cały wpis można znaleźć na blogu PIU.
AM, news@gu.com.pl
(źródło: PIU)
