Do możliwości udziału w konsultacjach w zakresie pierwszego zestawu Regulacyjnych standardów technicznych (RTS) i wykonawczych standardów technicznych (ITS) uchwalonych do DORA pozostał już tylko trochę ponad miesiąc. Konsultacje są otwarte do 11 września 2023 roku. Całość jest planowana do przedstawienia Komisji Europejskiej do 14 stycznia 2024.

ESAs consult on the first batch of DORA policy products (europa.eu)

Rozporządzenie DORA – czym jest?

Rozporządzenie Unii Europejskiej DORA zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 r. i ma obowiązywać od 17 stycznia 2025 r. Rozporządzenie tworzy ramy regulacyjne w zakresie cyfrowej odporności operacyjnej w sektorze finansowym w celu zapewnienia bezpieczeństwa sieci oraz systemów informatycznych wspierających procesy biznesowe regulowanych podmiotów finansowych. Rozporządzenie ma zastosowanie zarówno do samych podmiotów z sektora finansowego, jak również do zewnętrznych dostawców usług IT.

Samo rozporządzenie przewiduje ramowe wytyczne, a szczegółowy zakres wymogów określony ma zostać właśnie w Regulacyjnych i Wykonawczych Standardach technicznych. Pierwszy zestaw projektów został opublikowany 19 czerwca 2023 r i obejmuje:

  1. RTS w sprawie ram zarządzania ryzykiem ICT i uproszczonego zarządzania ryzykiem (zgodnie z art. 15 i 16 ust. 3 DORA);
  2. RTS w sprawie kryteriów klasyfikacji incydentów związanych z ICT (zgodnie z art. 18 DORA);
  3. ITS w celu ustalenia wzorów rejestru informacji (zgodnie z art. 25 ust. 10 DORA);
  4. RTS w celu określenia zasad dotyczących usług ICT świadczonych przez zewnętrznych dostawców ICT (zgodnie z art. 25 ust. 11 DORA).

 

RTS – rozwinięcie

Ad. 1) Celem dokumentu jest przedstawienie minimalnych wymagań w zakresie opracowywania i dokumentowania polityk i procedur zarządzania ryzykiem ICT, w tym zasobów ICT, ryzykiem operacyjnym, bezpieczeństwem dostępów czy też bezpieczeństwem zasobów ludzkich. 

Ad. 2)

Standardy wprowadzają m.in. instrukcje, w jaki sposób dokonać klasyfikacji incydentów istotnych (wymagających raportowania przez instytucje finansowe) wg:

  1. a) kryteriów podstawowych: ,,Klienci, kontrahenci finansowi i transakcje”, „Utrata danych” i „Usługi krytyczne, których to dotyczy”.
  • wpływ na klientów (różne względne progi od 5% do 25% w zależności od konkretnego sektora, uśrednione 10%, przy czym każdorazowo przy przekroczeniu 50 000 osób)
  •  kontrahenci (uśrednione 10% lub uzależnienie od konkretnych kontrahentów)
  •  transakcje (wartości 10% wolumenu transakcji i 15 000 000 EUR)
  • utrata danych – opierając się na terminach stosowanych przez ENISA oraz dostępnych standardach międzynarodowych, odpowiedzi, czy doszło do naruszenia dostępności, autentyczności, integralności lub poufności krytycznych/istotnych systemów,
  • usługi krytyczne – niezdefiniowane, kryteria brane pod uwagę to, czy incydent został zaraportowany do starszego kierownictwa lub zarządu zgodnie z wewnętrznymi politykami
  • powtarzalność – gdy incydenty spełniają kryteria klasyfikacji i progi istotności w ciągu ostatnich 3 miesięcy
  1. b) kryteriów drugorzędnych: „Wpływ na reputację”, „Czas trwania i przestoje w świadczeniu usług”, „Rozmieszczenie geograficzne” i „Wpływ ekonomiczny”
  • reputacja (poziom zauważalności samego incydentu i/lub jego skutków jako wskaźnika potencjalnego wpływu na reputację – np. przyciągnięcie uwagi mediów, skargi otrzymane od różnych klientów lub kontrahentów finansowych)
  • czas trwania i przestój (Przestój usługi miałby być mierzony od momentu, gdy usługa jest całkowicie lub częściowo niedostępna dla klientów i/lub kontrahentów finansowych, lub od momentu, gdy funkcja krytyczna nie jest dostępna dla samego podmiotu finansowego lub gdy powyższe zostało wykryte, do momentu po przywróceniu normalnej działalności/operacji do poziomu usług świadczonych przed incydentem (nie jest konieczne usuniecie błędu, istotne jest przywrócenie działania usługi). Czas trwania wciąż nieustalony, rozważany zakres 2-24 godziny.
  1. rozmieszczenie ekonomiczne – sugerowane co najmniej 2 kraje członkowskie.
  2. wpływ ekonomiczny – 100 000 EUR lub więcej dla bezpośrednich i pośrednich kosztów i strat brutto poniesionych w wyniku incydentu

Ad. 3)

Standardy wprowadzają wzory rejestrów informacji oraz wskazują, w jaki sposób je wypełnić w zależności od podmiotu rejestrującego.

Ad. 4)

Standardy wprowadzają wymóg posiadania pisemnego dokumentu opisującego zasady korzystania z zewnętrznych usług ICT czy też wyznaczenia starszego kierownictwa do sprawowania nadzoru nad umownymi relacjami z zewnętrznymi Dostawcami ICT oraz system raportowania wewnątrz spółki i współpracy z podmiotami kontrolującymi zgodność. Standardy opisują również, jakie minimalne wymagania powinny być ujęte w przedmiotowym dokumencie oraz wymogi stawiane wobec zewnętrznych Dostawców ICT.