Ostateczny tekst Rekomendacji D został przyjęty podczas 172. posiedzenia Komisji Nadzoru Finansowego 8 stycznia 2013 r. Wcześniej projekt dokumentu, ogłoszony na początku października, był konsultowany ze środowiskiem bankowym i branżą IT. Konsultacje zakończono pod koniec października 2012.

Jak głosi komunikat KNF, nowelizacja przyczyni się do poprawy jakości zarządzania i poziomu bezpieczeństwa IT w bankach, jak również pozwoli na usprawnienie nadzoru nad tymi obszarami. Zmiana jest uzasadniona za względu na znaczny postęp rozwoju technologii informatycznych, ciągły wzrost zależności banków od wykorzystywanych rozwiązań teleinformatycznych oraz ponad dziesięcioletni okres, który upłynął od publikacji dotychczas obowiązującej Rekomendacji D.

We wstępie dokumentu KNF pisze, że Rekomendacja D ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Ryzyko to można określić jako niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne. Wiąże się ono przede wszystkim z ryzykiem operacyjnym (dlatego Rekomendacja D powinna być traktowana jako uzupełnienie "Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach" w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, ale również m.in. z ryzykiem utraty reputacji i ryzykiem strategicznym. Rekomendacja D dotyczy także oddziałów instytucji kredytowych.

KNF podkreśla, że w stosunku do poprzedniej wersji Rekomendacji D wprowadzono zapisy dotyczące m.in. zarządzania danymi (w tym ich jakością), zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, systemu informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. "przetwarzania w chmurze" (ang. cloud computing). Zaktualizowano i doprecyzowano również oczekiwania nadzorcze dotyczące m.in. planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych, współpracy z zewnętrznymi dostawcami usług oraz zarządzania ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego. W zaleceniach znaczny nacisk położony został na zasadę proporcjonalności.

Dokument zawiera 22 rekomendacje, które podzielone zostały na następujące obszary:

- strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego

- rozwój środowiska teleinformatycznego

- utrzymanie i eksploatacja środowiska teleinformatycznego

- zarządzanie bezpieczeństwem środowiska teleinformatycznego.

KNF oczekuje, że zalecenia zostaną wprowadzone nie później niż do dnia 31 grudnia 2014 r. W projekcie dokumentu termin ten został wyznaczony na 31 grudnia 2013. "Zależy nam na tym, żeby banki rzetelnie wdrożyły rekomendację. Stąd adekwatny okres przejściowy, z tym że w najbliższym czasie będziemy zwracać się do banków o przekazanie harmonogramów wdrożenia zaleceń KNF" - poinformował nas Łukasz Dajnowicz z Departamentu Komunikacji Społecznej KNF.

Rekomendacja D na stronie Komisji Nadzoru Finansowego

Więcej o projekcie Rekomendacji D