17 stycznia trzy europejskie organy nadzoru – EBA, EIOPA i ESMA (ESAS) – opublikowały pierwszy zestaw ostatecznych projektów standardów technicznych w ramach rozporządzenia DORA. Celem aktu jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego UE poprzez wzmocnienie ram w zakresie technologii informacyjno-komunikacyjnych (ICT) podmiotów finansowych oraz ram zarządzania ryzykiem i zgłaszania incydentów przez osoby trzecie. Damian Jagusz, CITSO, Chief Digital Operational Resilience Officer oraz Head of IT Security and Compliance Team ERGO Hestii i przewodniczący Zespołu ds. DORA Polskiej Izby Ubezpieczeń, wyjaśnia znaczenie tego faktu dla polskiego rynku asekuracyjnego.
Wspólny ostateczny projekt standardów technicznych obejmuje:
- regulacyjne standardy techniczne (RTS) dotyczące ram zarządzania ryzykiem związanym z ICT oraz uproszczonych ram zarządzania ryzykiem związanym z ICT;
- RTS dotyczące kryteriów klasyfikacji incydentów związanych z ICT;
- RTS w celu określenia polityki w zakresie usług ICT wspierających kluczowe lub ważne funkcje świadczone przez zewnętrznych dostawców usług ICT (TPP);
- wdrożenie standardów technicznych (ITS) w celu ustanowienia szablonów rejestru informacji.
Unijne propozycje idą dalej niż polskie prawo
Damian Jagusz zwraca uwagę, że dokumentem o najszerszym zakresie przedmiotowym jest standard dotyczący ram zarządzania ryzykiem ICT, w treści którego określono szczegółowe oczekiwania względem partykularnych procesów bezpieczeństwa ICT. W ocenie eksperta pierwsze analizy sugerują, że są to niejednokrotnie bardziej kazuistyczne wymogi, aniżeli te wynikające z obowiązujących wytycznych Komisji Nadzoru Finansowego dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji z dnia 16 grudnia 2014 r.
W standardzie poświęconym klasyfikacji poważnych incydentów oraz znaczących cyberzagrożeń określone zostały kryteria pozwalające na ocenę wpływu incydentów, w tym progi istotności do celów ustalania poważnych incydentów związanych z ICT, a także kryteria oceny znaczących cyberzagrożeń, w tym progi istotności do celów ustalania znaczących cyberzagrożeń.
Kolejny standard określa minimalne wymagania względem polityki dotyczącej usług ICT wspierających krytyczne lub istotne funkcje świadczone przez zewnętrznych dostawców usług ICT. Doprecyzowane zostały cele i podstawowe założenia oceny ryzyka, obowiązki w ramach due diligence oraz wymogi względem postanowień umownych, które skoncentrowano na uprawnieniach audytowo-kontrolnych.
Damian Jagusz uważa, że ilość i charakter wymaganych informacji wchodzących w skład rejestru ustaleń umownych (rejestru umów na usługi ICT) wprowadzonego przez ostatni dokument znacząco przekracza dotychczasowe wymagania ustawy o działalności ubezpieczeniowej i reasekuracyjnej, mówiące o składowych rejestru (ewidencji) umów outsourcingu (art. 77).
PIU trzyma rękę na pulsie
Ekspert wskazuje, że projekty standardów zostały przekazane Komisji Europejskiej, która rozpoczęła proces prowadzący do ich przyjęcia. Po zatwierdzeniu przez KE standardy staną się integralną częścią DORA. Jednocześnie ostateczny kształt projektów pozwala podmiotom finansowym postawić kolejny krok w działaniach zakładających implementację zmian determinowanych przez rozporządzenie. Damian Jagusz podkreślił, że działający w ramach Polskiej Izby Ubezpieczeń Zespół ds. DORA również prowadzi prace nad interpretacją powyższych regulacji. Rezultaty tych prac mają zostać wkrótce upublicznione.
Cały wpis znajduje się na blogu PIU.
(AM, źródło: PIU)
