Unia Europejska wzmacnia sektor finansów cyfrowych

Być może już w marcu tego roku, a wg UE najpóźniej w 2023 roku ma wejść w życie Digital Operational Resilience Act, projekt ujednolicający legislację w UE w zakresie cyberbezpieczeństwa sektora finansowego. DORA wpłynie na wszystkie podmioty finansowe regulowane na poziomie unijnym. Ma położyć podwaliny pod spójny, przejrzysty, bezpieczny i odporny na turbulencje cyfrowy sektor finansowy w UE. Koszty wprowadzenia DORA oszacowano na około 30,19 milionów euro w latach 2022–2027.

Unia Europejska wzmacnia sektor finansów cyfrowych

Źródło: dora.media

We wrześniu 2020 r. Unia Europejska opublikowała pięcioletnią strategię finansów cyfrowych. W jej skład wchodzi Digital Operational Resilience Act (DORA), którego draft opublikowano 24 września 2020 r. To zwieńczenie reform podjętych po wielkim kryzysie 2008 r. Wszystko po to, by zwiększyć innowacyjność unijnej gospodarki i stworzyć jednolity rynek cyfrowy. Podczas pandemii sektor finansowy stał się najczęstszym celem cyberataków, co uświadomiło potrzebę pilnych regulacji.

Z technologiami cyfrowymi oraz ICT wiążą się zarówno szanse, jak i zagrożenia. UE uznaje bezpieczeństwo cyfrowe za należące do praw podstawowych. Jak stwierdziła Ursula von der Leyen, przewodnicząca Komisji Europejskiej, w swoich wytycznych politycznych i jak napisano w komunikacie „Kształtowanie cyfrowej przyszłości Europy” [Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów, „Kształtowanie cyfrowej przyszłości Europy”, COM(2020) 67 final] , „Europa musi wykorzystać wszystkie możliwości, jakie daje era cyfrowa, a także wzmocnić swoje zdolności przemysłowe i innowacyjne, w granicach bezpieczeństwa i norm etycznych”.

Zobacz również:

  • Cyberprzestępcy nie biorą urlopu - badanie Deloitte

Brak szczegółowych i kompleksowych przepisów dotyczących operacyjnej odporności cyfrowej na poziomie UE skutkował powstaniem licznych krajowych inicjatyw regulacyjnych (chociażby w sprawie badania operacyjnej odporności cyfrowej i podejść nadzorczych, np. dotyczących zależności od zewnętrznych dostawców usług ICT). Działania na poziomie państwa członkowskiego nie są wystarczająco skuteczne ze względu na transgraniczny charakter ryzyka związanego z ICT. Niezależne od siebie, a więc nieskoordynowane na poziomie UE inicjatywy krajowe doprowadziły do pokrywania się działań, niespójności, powielających się wymogów, wysokich kosztów administracyjnych i przestrzegania przepisów (compliance). Wszystko to utrudnia europejskim firmom konkurencję, swobodę przedsiębiorczości i świadczenia usług. Szczególnie utrudnione jest działanie podmiotów transgranicznych i wykrywanie ryzyk związanych z ICT. Rezultat? Niższa innowacyjność rynku UE oraz słabsza ochrona europejskich firm i konsumentów. Do ryzyk należy zaliczyć również możliwość uzależnienia od dostawców ICT.

„Propozycja implementacji DORY jest interesującym i ważnym krokiem oraz wpisuje się w szerszy pejzaż międzynarodowych działań na rzecz wzmocnienia odporności sektora finansowego. DORA stanowi odpowiedź na toczącą się polityczną debatę nad zabezpieczeniem konkurencyjności banków i fintechów w Europie, co stanowi ważny element działań na rzecz budowy europejskiej cyfrowej suwerenności. Celem jest pozycjonowanie Europy jako centrum finansowego oraz ekonomicznego. Droga do tego celu jest jednak bardzo długa i trudna, wszyscy zdajemy sobie sprawę z przewag Stanów Zjednoczonych w sektorze technologicznym” – komentuje Michał Krawczyk, analityk Instytutu Kościuszki z Krakowa.

Pakiet dotyczący finansów cyfrowych obejmuje nową strategię w zakresie finansów cyfrowych dla sektora finansowego UE, która ma przygotować Europę na rewolucję cyfrową. Oprócz rozporządzenia DORA pakiet zawiera także wnioski dotyczące: rozporządzenia w sprawie rynków kryptoaktywów, rozporządzenia w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywy w sprawie wyjaśnienia lub zmiany niektórych powiązanych unijnych przepisów w zakresie usług finansowych.

DORA definiuje też operacyjną odporność cyfrową (digital operational resilience), czyli zdolność firm do budowania, zabezpieczenia oraz weryfikacji ich integralności operacyjnej z technologicznego punktu widzenia, tak aby były odporne na wszelkiego rodzaju zagrożenia oraz zakłócenia w odniesieniu do technologii informacyjno-komunikacyjnych. Operacyjna odporność cyfrowa jest kluczowa dla zapewnienia stabilności finansowej i integralności rynku.

W przeciwieństwie do innych aktów prawnych UE w dziedzinie cyberbezpieczeństwa (zwłaszcza RODO i NIS) DORA nie opiera się na zasadach, ale zawiera szczegółowe wykazy wymogów mających na celu zwiększenie zdolności operacyjnych i bezpieczeństwa podmiotów finansowych. Koszty wprowadzenia DORA oszacowano na ok. 30,19 mln euro w latach 2022–2027.

Co zmieni DORA?

Warto nadmienić, że projekt DORA uzyskał szerokie poparcie już na etapie konsultacji społecznych. Przede wszystkim rozporządzenie to usuwa przeszkody dla ustanowienia i funkcjonowania rynku wewnętrznego usług finansowych oraz usprawnia ten proces dzięki harmonizacji przepisów obowiązujących w obszarze zarządzania ryzykiem związanym z ICT, udostępniania informacji, testowania i ryzyka ze strony zewnętrznych dostawców usług ICT. DORA objęła jedynie te aspekty, których państwa członkowskie nie mogą osiągnąć samodzielnie. Nowy poziom nadzoru zostanie oparty na już istniejących ramach organizacyjnych. Sektor finansowy nadal ma być ściśle związany z organem ds. współpracy w zakresie bezpieczeństwa sieci i informacji, a organy nadzoru finansowego będą mogły wymieniać istotne informacje w ramach istniejącego ekosystemu bezpieczeństwa sieci i informacji. Jest to spójne z dyrektywą w sprawie europejskiej infrastruktury krytycznej. Rozporządzenie będzie miało zastosowanie do takich podmiotów, jak: fundusze inwestycyjne, instytucje płatnicze oraz kredytowe, zarządzający ASI, firmy ubezpieczeniowe, firmy audytowe, dostawcy usług ICT, dostawcy usług w zakresie kryptoaktywów, depozytariusze papierów wartościowych, dostawcy usług w zakresie udostępniania informacji czy platformy crowdfundingowe. DORA zmusza zewnętrznych dostawców usług teleinformatycznych o krytycznym znaczeniu (CTPP) do przestrzegania standardów regulacyjnych. Wymóg ten będzie nadzorowany przez jeden z trzech Europejskich Urzędów Nadzoru (ESA): Europejski Urząd Nadzoru Bankowego (EBA), Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), jak również Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA).

Cele DORA to:

• usprawnienie zarządzania ryzykiem wynikającym z ICT przez firmy z sektora finansowego

• wprowadzenie obowiązku testowania systemów ICT przez firmy z sektora finansowego

• podniesienie świadomości organów nadzorujących rynki finansowe w zakresie możliwych zagrożeń oraz zakłóceń ICT

• identyfikacja ryzyka pochodzącego od firm z sektora finansowego w związku z ich zależnością od zewnętrznych dostawców usług ICT

• przekazywanie sobie wzajemnie informacji dotyczących cyberataków przez firmy, jak również wypracowanych technik ochronnych, alertów czy stosowanych narzędzi.

Co DORA oznacza dla biznesu

DORA ma wejść w życie w 2023 r., od września 2021 r. kwalifikujące się firmy mają 12–18 miesięcy na spełnienie jej wymagań. Organizacje będą miały trochę więcej czasu na dostosowanie się do przepisów wykonawczych i standardów technicznych.

Po wejściu w życie DORA będzie miała zastosowanie do wszystkich dużych i małych podmiotów finansowych regulowanych na poziomie UE. Głównie skupi się na 20 rodzajach regulowanych podmiotów finansowych, w tym: bankach, instytucjach płatniczych i kredytowych, firmach inwestycyjnych i zarządzających alternatywnymi funduszami inwestycyjnymi, agencjach ratingowychi, audytorach, ubezpieczycielach i pośrednikach, dostawcach usług powiązanych z kryptoaktywami, repozytoriach papierów wartościowych, handlu i sekurytyzacji.

Zasady wprowadzone przez DORA będą miały również zastosowanie m.in. do: centralnych kontrpartnerów, systemów obrotu, dostawców usług finansowania społecznościowego oraz emerytur, dostawców usług ICT (w tym dostawców centrów danych, firm programistycznych i analizujących dane). Oprócz wdrożenia strategii zarządzania ryzykiem cybernetycznym, zarządzania ryzykiem stron trzecich i odporności łańcucha dostaw dostawcy ICT będą musieli również zapewnić, że posiadają solidne ramy zarządzania i ryzyka w celu ochrony swoich aktywów i danych.

Można wyróżnić pięć filarów, na których opiera się rozporządzenie DORA:

1) Zarządzanie ryzykiem ICT

Firmy finansowe zostają zobligowane do stworzenia, utrzymania i dokumentowania ram zarządzania ryzykiem ICT, obejmujących politykę ciągłości działania i komunikacji oraz plany odzyskiwania po awarii. DORA określa również wymagania wobec systemów teleinformatycznych.

2) Zgłaszanie incydentów teleinformatycznych

DORA ujednolica zgłaszanie incydentów związanych z ICT w całym sektorze finansowym UE (firmy będą musiały klasyfikować incydenty bezpieczeństwa i zgłaszać je do centralnego węzła UE).

3) Cyfrowe testy odporności operacyjnej będą obowiązkowe i regularne, przeprowadzane przez niezależne podmioty. Program testowy powinien umożliwiać organizacji priorytetyzację, klasyfikację i naprawę wykrytych defektów.

4) Udostępnianie przez podmioty finansowe oraz strony trzecie (TPP) informacji i danych wywiadowczych na temat: alertów bezpieczeństwa, zagrożeń i metod ich wykrywania, taktyk i procedur.

Zarządzanie ryzykiem stron trzecich (TPP) w zakresie ICT

Zewnętrzni (zwłaszcza spoza UE) usługodawcy i firmy outsourcingowe mogą wykreować szereg zagrożeń systemowych dla sektora finansowego. DORA ma umożliwić podmiotom finansowym lepsze zarządzanie ryzykiem i relacjami ze stronami trzecimi m.in. poprzez określenie szczegółowych wymagań wobec umów między podmiotami finansowymi a zewnętrznymi dostawcami ICT oraz okoliczności nakazujących rozwiązanie tychże umów, obowiązku raportowania ICT, praw dostępu, lokalizacji przetwarzania danych finansowych, opisów poziomu usług. Chociaż DORA reguluje kluczowe elementy relacji z dostawcami usług ICT na wszystkich etapach ustaleń umownych, to podmioty finansowe pozostają odpowiedzialne za wypełnianie obowiązków wynikających z Rozporządzenia oraz przepisów dotyczących usług finansowych.

Przykłady dokumentów, które należy uwzględnić w ramach zarządzania ryzykiem ICT

• Strategia odporności cyfrowej

• Polityka bezpieczeństwa informacji

• Polityka ciągłości działania ICT

• Plan odzyskiwania po awarii ICT

• Zasady tworzenia kopii zapasowych

• Plany komunikacji umożliwiające odpowiedzialne ujawnianie incydentów związanych z ICT lub głównych luk w zabezpieczeniach

• Rejestr Informacji w odniesieniu do wszelkich ustaleń umownych dotyczących korzystania z usług teleinformatycznych świadczonych przez zewnętrznych dostawców usług teleinformatycznych.

• Zasady dotyczące zarządzania dostępem

• Polityki dotyczące zarządzania zmianą ICT

• Zasady dotyczące „łat i aktualizacji”

• Strategia ICT dla wielu dostawców

• Strategia dotycząca ryzyka stron trzecich w zakresie ICT

Co dalej?

DORA to ważny i potrzebny krok na drodze budowania operacyjnej odporności sektora finansowego, jednak to nie koniec samego procesu.

Wśród potencjalnych ryzyk Michał Krawczyk z IK wymienia niejasne jeszcze do końca relacje pomiędzy DORĄ a innymi działaniami UE, m.in. dyrektywą NIS 2, które mogą prowadzić do konfliktów kompetencji, np. w kontekście działań krajowych zespołów CSIRT. „Niektórzy eksperci obawiają się również, że wprowadzane regulacje nie będą dostosowane do charakteru działań małych i mikroprzedsiębiorstw, prowadząc finalnie do ich odpływu z rynku. Należy dołożyć dużych starań, aby znaleźć balans pomiędzy regulacjami oraz innowacjami. Pomimo że bezpośrednio DORA odnosi się do nadzorowanych podmiotów sektora finansowego, to proponowany bezpośredni nadzór nad kluczowymi zewnętrznymi dostawcami usług ICT może mieć spore konsekwencje dla firm technologicznych i sektora fintechu. Europejska cyfrowa suwerenność jest bardzo odległym celem, powinna być jednak traktowana jako proces, w którym każdy nowy element stanowi wielką wartość dodaną”.

Zaproponowano już unijną inicjatywę mającą na celu poprawę wymiany informacji w cyberprzestrzeni i współpracy między instytucjami UE. To pomysł stworzenia Wspólnej Jednostki Cybernetycznej (JCU), która ma zostać wdrożona do czerwca 2023 r. i wpisuje się w filar wymiany informacji DORA.

Kompletny projekt rozporządzenia DORA dostępny jest pod adresem

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020PC0595

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200