17 stycznia wchodzi w życie rozporządzenie z 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego, znane jako DORA. Akt obejmuje wiele podmiotów i znacząco oddziałuje na rynek ubezpieczeń.
DORA (Digital Operational Resilience Act) to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 roku w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/2011. Jego celem jest zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych oraz uregulowanie świadczenia usług ICT na rynku finansowym.
W związku z wejściem w życie DORA 10 stycznia Komisja Nadzoru Finansowego podjęła uchwałę uchylającą wydanie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji. Uchwała weszła w życie 17 stycznia. Jednocześnie Urząd KNF odwołał komunikat z 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Decyzja KNF wynika ze zbieżności ich zakresu przedmiotowego z obowiązkami wynikającymi z rozporządzenia DORA oraz powiązanych z nim aktów wykonawczych. Damian Jagusz, CITSO, Chief Digital Operational Resilience Officer oraz Head of IT Security and Compliance Team ERGO Hestii i przewodniczący Zespołu ds. DORA Polskiej Izby Ubezpieczeń, wskazuje, że podobnie postąpił Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), który 19 grudnia ubiegłego roku zapowiedział uchylenie z dniem 17 stycznia dwóch wydanych wcześniej aktów nadzorczych: wytycznych dotyczących bezpieczeństwa oraz zarządzania technologiami informacyjno-komunikacyjnymi (EIOPA-BoS-20/600), a także wytycznych dotyczących outsourcingu do dostawców usług chmury obliczeniowej (EIOPA-BoS-20-002).
– Regulacja dotyka bardzo różnych podmiotów – od największych działających na rynku finansowym po przedsiębiorców świadczących usługi w znacznie mniejszej skali. Wpływ na poszczególne instytucje zależy niewątpliwie od skali, w jakiej prowadzą działalność oraz zdobytej przez nie wcześniej dojrzałości – komentuje Damian Jagusz.
Największe wyzwania DORA
Ekspert wskazuje, że począwszy od 17 stycznia, zakłady ubezpieczeń oraz pozostałe instytucje objęte zakresem podmiotowym DORA zobowiązane są m.in. do realizacji określonych obowiązków sprawozdawczych. To jedne z większych wyzwań organizacyjnych dla zakładów ubezpieczeń. Dotyczą one w szczególności powiadamiania o poważnych incydentach ICT, a następnie przekazywania sprawozdań śródokresowych oraz końcowych, a także zgłaszania planowanych ustaleń umownych obejmujących korzystanie z usług ICT wspierających krytyczne lub istotne funkcje.
W ocenie Damiana Jagusza sporo wyzwań może wiązać się z koniecznością sporządzenia kompletnego rejestru informacji, o którym mowa w art. 28 ust. 3 DORA. Szczególne uwarunkowania i wymogi względem tego rejestru określa rozporządzenie wykonawcze Komisji (UE) 2024/2956 z dnia 29 listopada 2024 r. ustanawiającego wykonawcze standardy techniczne do celów stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do standardowych wzorów na potrzeby rejestru informacji.
Relacje z zewnętrznymi dostawcami usług ICT
Damian Jagusz wskazuje, że wyzwaniem będzie również współpraca zakładów z zewnętrznymi dostawcami usług ICT, gdyż w odróżnieniu od m.in. poprzednich aktów soft law, DORA o wiele bardziej szczegółowo określa działania związane z podwykonawstwem, oceną ryzyka, w tym ryzyka koncentracji w obszarze ICT czy zapewnieniem właściwych postanowień umownych. Na ten obszar nakłada się też niepewność regulacyjna wynikająca z opóźnionych prac nad częścią standardów technicznych.
Ryzyko strony trzeciej
„Kolejne istotne zagadnienie, które obejmuje i zmienia DORA, to ryzyko strony trzeciej w obszarze ICT. Dotyczą tego przepisy zakładające budowanie i utrzymywanie ram zarządzania ryzykiem ICT. (…) DORA uwzględnia tu również wiele kazuistycznych obowiązków wynikających z tzw. lessons learnt, wśród których na szczególne miejsce zasługują cykliczne przeglądy ram zarządzania ryzykiem czy przeglądy incydentów, o których mowa w art. 13 DORA” – wskazuje ekspert.
Damian Jagusz zwraca uwagę, że w perspektywie najbliższych miesięcy zakończą się prace legislacyjne nad polską ustawą horyzontalną – Ustawą o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emisji europejskich zielonych obligacji, która dostosuje nasz porządek prawny do nowego rozporządzenia. Na zarządzanie ryzykiem ICT wpływać też będą przyjęte w ślad za DORA inne regulacje unijne. Zdaniem przedstawiciela PIU pełna ocena ich skutków i działania rynku pod nowym reżimem będzie również możliwa dopiero za jakiś czas.
Komentarz ekspercki
Mikołaj Otmianowski, wiceprezes DAPR, firmy oferującej rozwiązania LegalTech:
Jeśli porównamy wymagania DORA i GDPR, najbardziej odczuwalną różnicą będzie systematyczne raportowanie do KNF. Wszyscy wiedzą, że nadzór chce raportów ciągłych, a jednocześnie nikt do końca nie wie, jak to w praktyce zorganizować – podobnie jak przy GDPR, którą wciąż na nowo interpretujemy.
Największe wyzwanie to zbudowanie odpowiednich relacji z dostawcami ICT, a także konieczność zbudowania i utrzymywania aktualności rejestru dostawców ICT. Excel bywa dobry na początek, lecz przy kilkudziesięciu, a nawet kilkunastu dostawcach łatwo o chaos – wystarczy choćby jedna zmiana warunków umowy czy regulaminu, aby wszystko się rozjechało. Tymczasem DORA wymaga natychmiastowej rozliczalności: od KRI i raportów cyklicznych, po wykazy incydentów i aktualizacje umów, które muszą być gotowe na wezwanie nadzoru.
Rozporządzenie wymaga od wszystkich instytucji finansowych również systematycznego monitorowania swojej infrastruktury, oceniania incydentów i raportowania tych ocenionych na poważne – każde zdarzenie mogące narazić działalność firmy na przestój powinno być odnotowywane i analizowane. Raportowanie odbywa się w systemie świeżo udostępnionym przez KNF. W wielu instytucjach nadal brakuje spójnych procedur zarządzania dostawcami ICT, co może prowadzić do chaosu i opóźnień w przygotowaniu raportów. Eksperci ostrzegają, że nawet niewielkie uchybienia mogą skutkować dotkliwymi sankcjami.
Przy tak obszernych wymogach kluczowe jest zautomatyzowanie powtarzalnych czynności oraz właściwa integracja danych z różnych działów. Praktyka pokazuje, że zespoły najpierw zaczynają w Excelu, a potem okazuje się, że przy setkach rekordów to zwyczajnie nie działa. Dlatego warto inwestować w profesjonalne systemy GRC (Governance, Risk & Compliance), które pozwalają automatycznie wersjonować dane i zachować porządek. Inaczej jedynym sposobem byłoby wydłużenie doby o kolejne 24 godziny, co raczej nie wchodzi w grę. Duże przedsiębiorstwa szczególnie odczuwają ciężar obowiązków – bez odpowiedniego oprogramowania stworzenie kompletnego rejestru jednej umowy zgodnie z DORA może zająć nawet 8 godzin. W skali dużej organizacji mówimy o setkach, a nawet tysiącach godzin pracy specjalistów wysokiej klasy.
(AM, źródło: PIU, KNF)
