Trzy europejskie organy nadzoru – EBA, EIOPA i ESMA – opublikowały pierwszy zestaw ostatecznych projektów standardów technicznych w ramach rozporządzenia DORA. Celem aktu jest zwiększenie operacyjnej odporności cyfrowej sektora finansowego UE poprzez wzmocnienie ram w zakresie technologii informacyjno-komunikacyjnych (ICT) podmiotów finansowych oraz ram zarządzania ryzykiem i zgłaszania incydentów przez osoby trzecie.
Wspólny ostateczny projekt standardów technicznych obejmuje:
- regulacyjne standardy techniczne (RTS) dotyczące ram zarządzania ryzykiem związanym z ICT oraz uproszczonych ram zarządzania ryzykiem związanym z ICT;
- RTS dotyczące kryteriów klasyfikacji incydentów związanych z ICT;
- RTS w celu określenia polityki w zakresie usług ICT wspierających kluczowe lub ważne funkcje świadczone przez zewnętrznych dostawców usług ICT (TPP);
- wdrożenie standardów technicznych (ITS) w celu ustanowienia szablonów rejestru informacji.
RTS dotyczące ram zarządzania ryzykiem związanym z ICT
W projekcie dotyczącym tego obszaru określono dalsze elementy związane z zarządzaniem ryzykiem związanym z ICT w celu zharmonizowania narzędzi, metod, procesów i polityk. Elementy te uzupełniają się w stosunku do tych określonych w DORA. W RTS określono kluczowe elementy, które podmioty finansowe podlegające uproszczonemu systemowi oraz niższej skali, ryzyku, wielkości i złożoności musiałyby posiadać, określając uproszczone ramy zarządzania ryzykiem związanym z ICT. Regulacyjne standardy techniczne zapewniają harmonizację wymogów w zakresie zarządzania ryzykiem związanym z ICT w poszczególnych sektorach finansowych.
RTS dotyczące kryteriów klasyfikacji incydentów związanych z ICT
W tych RTS określono:
- kryteria klasyfikacji poważnych incydentów związanych z ICT,
- podejście do klasyfikacji poważnych incydentów,
- progi istotności każdego kryterium klasyfikacji, kryteria i progi istotności służące do określania znaczących cyberzagrożeń,
- kryteria umożliwiające właściwym organom ocenę znaczenia incydentów dla właściwych organów w innych państwach członkowskich
- szczegółowe informacje na temat incydentów, które mają być dzielone w tym zakresie.
Regulacyjne standardy techniczne zapewniają zharmonizowany i prosty proces klasyfikacji zgłoszeń incydentów w całym sektorze finansowym.
RTS dotyczące polityki TPP w zakresie ICT
W tych RTS określono części zasad zarządzania, zarządzania ryzykiem i ram kontroli wewnętrznej, które podmioty finansowe powinny posiadać w odniesieniu do korzystania z usług zewnętrznych dostawców usług ICT. Ich celem jest zapewnienie podmiotom finansowym kontroli nad ryzykiem operacyjnym, bezpieczeństwem informacji i ciągłością działania przez cały cykl życia ustaleń umownych z takimi zewnętrznymi dostawcami usług ICT.
Wpisanie do rejestru informacji
Ponadto w ITS określono wzory, które podmioty finansowe mają utrzymywać i aktualizować w związku z ich ustaleniami umownymi z zewnętrznymi dostawcami usług ICT. Rejestr informacji będzie odgrywał kluczową rolę w zewnętrznych ramach zarządzania ryzykiem podmiotów finansowych przez strony trzecie ICT i będzie wykorzystywany przez właściwe organy i Europejskie Urzędy Nadzoru w kontekście nadzoru nad przestrzeganiem DORA przez podmioty finansowe oraz do wyznaczenia kluczowych zewnętrznych dostawców usług ICT, podlegających systemowi nadzoru DORA.
Kolejne kroki
Ostateczny projekt standardów technicznych został przedłożony Komisji Europejskiej, która rozpocznie prace nad ich przeglądem w celu przyjęcia tych pierwszych norm w nadchodzących miesiącach.
AM, news@gu.com.pl
(źródło: EIOPA)
