Rozporządzenie DORA
Czy obok raportowania poważnych incydentów związanych z ICT podmioty finansowe będą obowiązane nadal odrębnie raportować poważne incydenty operacyjne lub poważne incydenty bezpieczeństwa związane z płatnościami na podstawie przepisów dyrektywy PSD2?
Przepisy Rozporządzenia DORA przewidują wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 (dyrektywa PSD2) w stosunku do dostawców usług płatniczych objętych zakresem stosowania Rozporządzenia DORA. Wskazuje na to art. 23 Rozporządzenia DORA, zgodnie z którym wymogi określone w rozdziale III tego Rozporządzenia mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego.
Tego rodzaju założenie potwierdza także motyw 23 Rozporządzenia DORA, w świetle którego instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy świadczący usługę dostępu do informacji o rachunku objęci wymogiem raportowania incydentów na gruncie dyrektywy PSD2, wszelkie incydenty operacyjne lub incydenty w zakresie bezpieczeństwa związane z płatnościami, które wcześniej były przez nich zgłaszane zgodnie z dyrektywą PSD2, powinni zgłaszać zgodnie z Rozporządzeniem DORA od daty rozpoczęcia jego stosowania. Rozwiązanie takie ma na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie potencjalnie powielających się obowiązków w zakresie zgłaszania incydentów w przypadku niektórych podmiotów finansowych (prowadzących działalność w zakresie usług płatniczych).
Na podstawie jakich kryteriów podmiot finansowy będzie klasyfikował incydenty związane z ICT?
Zgodnie z art. 3 pkt 10 Rozporządzenia DORA przez poważny incydent związany z ICT należy rozumieć incydent związany z ICT o dużym, negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. W definicji tej pojawia się odniesienie do terminu „incydent związany z ICT”, który w art. 3 pkt 8 Rozporządzenia DORA definiowany jest jako pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.
W art. 18 ust. 3 lit a Rozporządzenia DORA przewidziano, że doprecyzowanie wymienionych kryteriów, w tym określenie progów istotności do celów ustalania poważnych incydentów związanych z ICT, następuje w drodze wydania regulacyjnych standardów technicznych, jako aktu wykonawczego do Rozporządzenia DORA. Przepis ten stanowi, że omawiane regulacyjne standardy techniczne będą stosownie do przypadku odnosić się także do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami. Z tego względu ich treść będzie istotna również w zakresie klasyfikowania tego rodzaju incydentów przez podmioty finansowe raportujące omawiane incydenty z zastosowaniem przepisów Rozporządzenia DORA (zgodnie z art. 23).
Jakie wymogi przewiduje Rozporządzenie DORA w zakresie rejestrowania znaczących cyberzagrożeń? Czy obejmują one również przyszłe cyberzagrożenia, które nie wystąpiły dotychczas jako incydent związany z ICT?
Część wymogów przewidzianych w rozdziale III Rozporządzenia DORA dotyczy znaczących cyberzagrożeń.
Wymóg rejestrowania przez podmioty finansowe znaczących cyberzagrożeń wynika z art. 17 ust. 2 Rozporządzenia DORA. Przepis ten wskazuje, że „Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia (…)”.
zasięg geograficzny zagrożonych obszarów.
W art. 18 ust. 3 Rozporządzenia DORA przewidziano, że doprecyzowanie tych kryteriów, w tym określenie wysokich progów istotności do celów ustalania znaczących cyberzagrożeń, następuje w ramach regulacyjnych standardów technicznych, jako aktu wykonawczego do Rozporządzenia DORA.
Jednocześnie, w świetle art. 19 ust. 2 Rozporządzenia DORA, podmioty finansowe mogą przekazywać informacje o znaczących cyberzagrożeniach do właściwego organu (w Polsce do KNF), jeżeli uznają dane zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów.
W odróżnieniu od poważnych incydentów związanych z ICT, wymogi Rozporządzenia DORA dotyczące znaczących cyberzagrożeń będą dotyczyły okoliczności, zdarzeń lub działań, które mają charakter potencjalny, o ile spełniają one kryteria znaczącego cyberzagrożenia. Na taki potencjalny charakter znaczących cyberzagrożeń wskazuje sama definicja znaczącego cyberzagrożenia zawarta w art. 3 pkt 13 Rozporządzenia DORA. Zgodnie z jej treścią „znaczące cyberzagrożenie” oznacza więc cyberzagrożenie, którego charakterystyka techniczna wskazuje, że potencjalnie może spowodować poważny incydent związany z ICT lub poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami.
Aby ułatwić korzystanie z serwisu, mechanizm nim zarządzający wykorzystuje technologię cookies – informacje zapisywane są przez serwer Urzędu na komputerze użytkownika. Nie jest ona wykorzystywana do pozyskiwania jakichkolwiek danych o osobach odwiedzających serwis. Użytkownik może w każdej chwili wyłączyć w swojej przeglądarce internetowej opcję przyjmowania cookies. Może to spowodować pewne utrudnienia w korzystaniu z serwisu. Więcej informacji w zakładce Polityka prywatności. Polityka Prywatności
Szczegółowe informacje dostępne są w zakładce Polityka prywatności.
Podstawowe pliki cookies są wykorzystywane do prawidłowego funkcjonowania strony internetowej.
Cookie | Czas przechowywania | Opis |
---|---|---|
JSESSIONID | sesja | Session cookie |
cookiesession1 | 24h | Session cookie. |
contrastMode | 365d | WCAG contrast mode |
fontSize | 365d | WCAG font size |
Analityczne pliki cookies wykorzystywane są do zbierania informacji o sposobie korzystania ze strony internetowej przez użytkowników w sposób anonimowy.
Cookie | Czas przechowywania | Opis |
---|---|---|
_utma, _utmb, _utmc, _utmt, _utmz, _ga* | 6m | Google Analytics |
_ga* | 12m | Google Analytics |