Przepisy Rozporządzenia DORA¹² wskazują jednocześnie, że organy zarządzające przydzielają odpowiedni budżet na potrzeby związane z obszarem operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów. Dotyczy to przede wszystkim:

• programów zwiększania świadomości w zakresie bezpieczeństwa ICT, 
• szkoleń w zakresie operacyjnej odporności cyfrowej,  
• umiejętności ICT dla wszystkich pracowników i dokonywanie jego okresowego przeglądu.

Obowiązkiem zarządów wynikającym z Rozporządzenia DORA¹³ jest także wprowadzenie kanałów dokonywania zgłoszeń w zakresie:

• umów zawartych z zewnętrznymi dostawcami usług ICT, 
• wszelkich planowanych istotnych zmian dotyczących zewnętrznych dostawców usług ICT oraz 
• potencjalnego wpływu takich zmian na krytyczne lub istotne funkcje objęte umowami.

Obowiązki organów zarządzających podmiotów finansowych w obszarze zarządzania incydentami ICT i testowania operacyjnej odporności cyfrowej

Rozporządzenie DORA nakłada na organy zarządzające podmiotów finansowych określone obowiązki w obszarze zarządzania incydentami ICT, a także w obszarze testowania operacyjnej odporności cyfrowej. Omawiane obszary powinny mieć także istotne znaczenie dla zarządów w kontekście ram zarządzania ryzykiem ICT ze względu na ich kompetencje w zakresie określania, zatwierdzania i nadzorowania wdrażania wszystkich ustaleń dotyczących takich ram.

Jednym z obowiązków w procesie zarządzania incydentami ICT, o którym mowa w  art. 17 ust. 3 lit. c) DORA, jest konieczność przydzielenia ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów ICT i ich scenariuszy. Może to uzasadniać niezwłoczne informowanie organu zarządzającego o poważnych incydentach ICT o krytycznym wpływie na podmiot finansowy i jego udział w decyzjach podejmowanych w ramach procesu obsługi takiego incydentu. 

Prawodawca unijny w art. 17 ust. 3 lit. e) DORA wskazuje, że w „procesie zarządzania incydentami związanymi z ICT należy zapewnić zgłaszanie co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i instrumenty kontrolne, które należy ustanowić w wyniku takich incydentów związanych z ICT”.

Przepisy Rozporządzenia DORA określają ramy zarządzania ryzykiem związanym z ICT, zgodnie z którymi podmioty finansowe inne niż mikroprzedsiębiorstwa zobowiązane są ustanowić i utrzymywać prawidłowy i kompleksowy program testowania operacyjnej odporności cyfrowej oraz dokonywać jego przeglądu. Plan ten stanowi integralną część ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 DORA. Istotne jest, że to zarząd określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1 DORA, oraz ponosi odpowiedzialność za ich wdrażanie (zgodnie z art. 5 ust. 2 DORA).

Rola organu zarządzającego w ustanawianiu komunikacji

Prawodawca unijny duży nacisk kładzie na uczenie się i rozwój podmiotów finansowych. Art. 13 ust. 5 DORA wskazuje, że kadra kierownicza ds. ICT składa organowi zarządzającemu co najmniej raz w roku sprawozdanie i przedstawia zalecenia. Sprawozdanie obejmuje wnioski z testów operacyjnej odporności cyfrowej przeprowadzonych zgodnie z art. 26 i 27 DORA oraz z rzeczywistych incydentów związanych z ICT. Obejmują one w szczególności cyberataki wraz z wyzwaniami związanymi z uruchomieniem planów ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, a także z odpowiednimi informacjami wymienianymi z kontrahentami i ocenianymi podczas przeglądów nadzorczych. 

W ramach określania, zatwierdzania i nadzorowania wdrażania wszystkich ustaleń dotyczących ram zarządzania ryzykiem ICT organ zarządzający w szczególności¹⁴:

• wprowadza kanały zgłoszeń umożliwiające uzyskiwanie odpowiednich informacji m.in. na temat potencjalnego wpływu planowanych istotnych zmian dotyczących zewnętrznych dostawców usług ICT na krytyczne lub istotne funkcje, które są objęte umowami, w tym w zakresie analizy ryzyka, poważnych incydentów związanych z ICT i ich wpływu, jak również środków reagowania, przywracania sprawności i środków naprawczych;
• zatwierdza i nadzoruje wdrażanie strategii na rzecz ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, o których mowa w art. 11 ust. 1 i 3 DORA, oraz okresowo dokonuje przeglądu wdrażania strategii i planów. 

W kontekście opisanych planów reagowania i przywracania sprawności ICT, istotne znaczenie ma obszar związany z incydentami ICT. Zgodnie z art. 11 ust. 2 DORA podmioty finansowe realizują strategię na rzecz ciągłości działania w zakresie ICT poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy. 

Cele strategii na rzecz ciągłości działania w zakresie ICT

Zgodnie z art. 12 Rozporządzenia DORA w celu zapewnienia przywrócenia systemów ICT i danych przy minimalnej przerwie, ograniczonych zakłóceniach i stratach, w kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe opracowują i dokumentują:

• polityki i procedury tworzenia kopii zapasowych, w których określono zakres danych, które obejmuje kopia zapasowa, oraz minimalną częstotliwość tworzenia kopii zapasowej, w oparciu o krytyczność informacji lub poziom poufności danych;
• procedury i metody przywracania i odzyskiwania danych.

Art. 14 Rozporządzenia DORA wskazuje na konieczność posiadania przez podmioty finansowe planów działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej, które umożliwiają odpowiedzialne ujawnianie co najmniej poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a w stosownych przypadkach - opinii publicznej. 

W kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe realizują politykę komunikacyjną dla pracowników wewnętrznych i interesariuszy zewnętrznych. W polityce komunikacyjnej skierowanej do pracowników uwzględnia się potrzebę rozróżnienia między pracownikami zaangażowanymi w zarządzanie ryzykiem związanym z ICT, w szczególności pracownikami odpowiedzialnymi za reagowanie i przywracanie sprawności, a pracownikami, których należy informować. Jak wskazują przepisy Rozporządzenia DORA co najmniej jednej osobie w podmiocie finansowym powierza się zadanie wdrożenia strategii komunikacyjnej w zakresie incydentów związanych z ICT. W tym celu pełni ona funkcję osoby ds. kontaktów z opinią publiczną i mediami.

Odnosząc się do przepisów zawartych w art. 19 Rozporządzenia DORA, podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi. Podmioty finansowe mogą dobrowolnie powiadomić odpowiedni właściwy organ o znaczących cyberzagrożeniach, jeżeli uznają dane zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. Odpowiedni właściwy organ może przekazać takie informacje innym odpowiednim organom, o których mowa w art. 19 ust. 6 DORA. 

Jak wskazują przepisy Rozporządzenia DORA, w kontekście odpowiedzialności organu zarządzającego za określanie, zatwierdzanie i nadzorowanie wdrażania wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT istotne jest również, że:

• zgodnie z art. 6 ust. 5 DORA – ramy zarządzania ryzykiem związanym z ICT poddawane są przeglądowi m.in. w przypadku wystąpienia poważnych incydentów związanych z ICT lub zgodnie z wnioskami wynikającymi z odpowiednich testów lub procesów audytu operacyjnej odporności cyfrowej
• zgodnie z art. 6 ust. 8 DORA – ramy zarządzania ryzykiem związanym z ICT obejmują strategię operacyjnej odporności cyfrowej, w której określa się sposób wdrażania tych ram. W tym celu strategia operacyjnej odporności cyfrowej zawiera metody przeciwdziałania ryzyku związanemu z ICT i osiągania szczególnych celów w dziedzinie ICT.

Wybrane metody przeciwdziałania ryzyku związanemu z ICT powiązane z obszarem zarządzania incydentami ICT i testowaniem operacyjnej odporności cyfrowej

Odnosząc się do roli zarządu w zakresie ram zarządzania ryzykiem związanym z ICT, w kontekście zarządzania incydentami warto również wskazać na art. 10 Rozporządzenia DORA dotyczący mechanizmów wykrywania incydentów ICT. Przepisy omawianego unijnego aktu wskazują, że podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, w tym problemów związanych z wydajnością sieci ICT i incydentów ICT oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii. Mechanizmy wykrywania, o których mowa w Rozporządzeniu DORA, pozwalają na wielopoziomową kontrolę, określają progi alarmowe i kryteria uruchamiania oraz inicjowania procesów reagowania na incydenty związane z ICT. 

Podsumowanie

W artykule tym dokonaliśmy przeglądu najważniejszych obowiązków organów zarządzających, określonych w Rozporządzeniu DORA, w obszarze zarządzania ryzykiem związanym z ICT oraz w obszarze zarządzania incydentami ICT. Przepisy Rozporządzenia DORA mają na celu stworzenie jednolitego rynku cyfrowego usług finansowych, a także zwiększenie bezpieczeństwa oraz odporności na zagrożenia związane z ICT. Należy tutaj podkreślić nieodległy termin stosowania przepisów Rozporządzenia DORA przez podmioty finansowe. Powinny one zapewnić zgodność i stosowanie Rozporządzenia DORA od 17.01.2025 roku.

Ważnym jest także podkreślenie, że brak zgodności z zasadami określonymi w Rozporządzeniu DORA wiąże się z nałożeniem kar administracyjnych i środków naprawczych na podmiot finansowy. Prawodawca unijny przewiduje szereg narzędzi prawnych, które organ nadzoru będzie mógł użyć wobec podmiotów finansowych w celu zapewnienia zgodności działania tych podmiotów z Rozporządzeniem DORA. 

Przepisy Rozporządzenia DORA przewidują szereg kar, które mają obejmować osoby fizyczne. W ramach kar administracyjnych i środków naprawczych Rozporządzenie DORA w art. 50 ust. 4 wskazuje, że „państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych lub środków naprawczych w przypadku naruszeń niniejszego rozporządzenia”.

Wskazane kary obejmować mogą m.in:

• wydanie nakazu zobowiązującego osobę fizyczną lub prawną do zaprzestania postępowania naruszającego to rozporządzenie oraz do powstrzymania się od ponownego podejmowania tego postępowania¹⁵;
• podejmowanie wszelkiego rodzaju środków, w tym o charakterze pieniężnym, mających zapewnić dalsze przestrzeganie wymogów prawnych przez podmioty finansowe¹⁶;
• wydanie publicznych ogłoszeń, w tym podanie do wiadomości publicznej informacji wskazującej tożsamość osoby fizycznej lub prawnej oraz charakter naruszenia¹⁷.

W przypadku gdy omówione przepisy mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych z zastrzeżeniem warunków przewidzianych w prawie krajowym wobec członków organu zarządzającego oraz innych osób fizycznych. 

Rozporządzenie DORA przewiduje możliwość bezpośredniej odpowiedzialności członków organów zarządzających za naruszenia ich obowiązków.