Artykuł ten jest kontynuacją opracowania, w którym omówiliśmy definicje i obowiązki z obszaru zarządzania incydentami związanymi z ICT na poziomie ogólnym. Teraz w sposób bardziej szczegółowy omawiamy kwestie związane z klasyfikacją oraz zgłaszaniem poważnych incydentów związanych z ICT. Są one kluczowym elementem obowiązków z obszaru zarządzania incydentami związanymi z ICT, a ich wdrożenie i realizacja przez podmioty finansowe będzie istotnym krokiem w stronę zapewnienia zgodności działalności tych podmiotów z wymogami Rozporządzenia DORA. 

Klasyfikacja incydentów związanych z ICT 

Do obowiązków, jakie przewiduje Rozporządzenie DORA w obszarze incydentów związanych z ICT, należy klasyfikowanie incydentów. W art. 18 ust. 1 Rozporządzenia DORA przewidziano kryteria służące klasyfikacji incydentów związanych z ICT i określania ich wpływu przez podmioty finansowe. Kryteriami tymi są:

1. liczba lub znaczenie klientów lub kontrahentów finansowych oraz, w stosownych przypadkach, kwota lub liczba transakcji, których dotyczy incydent związany z ICT, oraz to, czy taki incydent spowodował skutki reputacyjne;
2. czas trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług;
3. zasięg geograficzny incydentu związanego z ICT, w szczególności jeżeli dotyczy on więcej niż dwóch państw członkowskich;
4. utrata danych w wyniku incydentu związanego z ICT w kontekście dostępności, autentyczności, integralności lub poufności danych;
5. krytyczność usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego;

6. skutki gospodarcze incydentu związanego z ICT, w szczególności bezpośrednie i pośrednie koszty i straty, zarówno w kategoriach bezwzględnych, jak i względnych.

W Rozporządzeniu DORA kryteria klasyfikacji incydentów związanych z ICT zostały opisane ogólnie, bez wyznaczania progów lub wartości. Rolę tę mają pełnić regulacyjne standardy techniczne. Zatem kryteria te będą w nich doprecyzowane. Określone zostaną też progi istotności do celów ustalania poważnych incydentów związanych z ICT. Za opracowanie ich projektu odpowiedzialne będą  Europejskie Urzędy Nadzoru, a do ich opracowywania powinny one brać pod uwagę m.in. art. 4 Rozporządzenia DORA oraz standardy międzynarodowe, wytyczne i specyfikacje opracowane i opublikowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa – w szczególnych przypadkach również specyfikacje dotyczące innych sektorów gospodarki¹. 

Prawidłowy przebieg procesu klasyfikowania incydentów związanych z ICT ma istotne znaczenie dla realizacji obowiązków podmiotu finansowego w obszarze zarządzania incydentami związanymi z ICT. Od jego wyniku zależeć będzie zgłoszenie właściwemu organowi incydentu związanego z ICT sklasyfikowanego jako poważny, a więc wypełnienie obowiązku ciążącego na podmiotach finansowych na mocy art. 19 ust. 1 Rozporządzenia DORA. Dodatkowo, wystąpienie poważnego incydentu związanego z ICT jest przesłanką do realizacji innych obowiązków przewidzianych w Rozporządzeniu DORA. Można tu wskazać na: 

a) art. 6 ust. 5 i art. 16 ust. 2 Rozporządzenia DORA – przeprowadzanie przeglądu ram zarządzania ryzykiem związanym z ICT;

b) art. 11 ust. 10 Rozporządzenia DORA – zgłaszanie właściwym organom, na ich żądanie, szacunkowych łącznych rocznych kosztów i strat spowodowanych poważnymi incydentami związanymi z ICT;

c) art. 13 ust. 2 Rozporządzenia DORA – przeprowadzanie przeglądu po incydencie, analizując przyczyny zakłócenia i identyfikując wymagane ulepszenia operacji ICT lub strategii na rzecz ciągłości działania w zakresie ICT, gdy poważny incydent związany z ICT spowoduje zakłócenia w głównej działalności podmiotu finansowego.

Zgłaszanie poważnych incydentów związanych z ICT

Rozporządzenie DORA nakłada na podmioty finansowe również obowiązek zgłaszania poważnych incydentów związanych z ICT². Podmiot finansowy przedkłada właściwemu organowi następujące dokumenty:

1. wstępne powiadomienie,
2. sprawozdanie śródokresowe,
3. sprawozdanie końcowe. 

Pierwszym dokumentem jest wstępne powiadomienie, a szczegółowe informacje, uzyskane na dalszym etapie obsługi incydentu, przekazywane powinny być w sprawozdaniu śródokresowym oraz sprawozdaniu końcowym. 

W kontekście sprawozdania śródokresowego warto podkreślić, że Rozporządzenie DORA przewiduje obowiązek przedłożenia go, jak tylko status pierwotnego incydentu ulegnie istotnej zmianie lub gdy w oparciu o nowe informacje zmienia się obsługa danego poważnego incydentu związanego z ICT.

Następnie, po sprawozdaniu śródokresowym, podmiot finansowy powinien, w stosownych przypadkach, składać uaktualnione powiadomienia na temat incydentu za każdym razem, gdy dostępna jest odpowiednia aktualizacja statusu oraz gdy z wnioskiem o przekazanie takiej aktualizacji wystąpi właściwy organ. 

W kontekście sprawozdania końcowego przewidziano zaś, że powinno ono być złożone po zakończeniu analizy podstawowych przyczyn – niezależnie od tego, czy wdrożono już środki łagodzące skutki incydentu, oraz po udostępnieniu danych dotyczących rzeczywistego wpływu zastępujących dane szacunkowe. 

Jednocześnie Rozporządzenie DORA przewiduje, że terminy przekazywania powiadomienia i sprawozdań zostaną określone w regulacyjnych standardach technicznych³.

W art. 19 ust. 1 Rozporządzenia DORA podkreślono również, że podmiot finansowy, przedkładając opisane zgłoszenia, powinien opierać się na wszystkich istotnych informacjach, które zostały uprzednio zebrane i poddane analizie. W przepisie tym wskazano także, że wstępne powiadomienie i sprawozdania powinny zawierać wszystkie informacje niezbędne właściwemu organowi do określenia znaczenia poważnego incydentu związanego z ICT oraz do oceny ewentualnych skutków transgranicznych. 

Szczegółowa treść zgłoszeń dotyczących poważnych incydentów związanych z ICT zostanie określona w ramach regulacyjnych standardów technicznych⁴. W akcie wykonawczym do Rozporządzenia DORA ujednolicona zostanie także forma zgłaszania poważnych incydentów związanych z ICT – wzory i formularze zostaną określone w wykonawczych standardach technicznych⁵.

W ramach obowiązku zgłaszania poważnych incydentów związanych z ICT warto wskazać także na inne kategorie odbiorców informacji o tego rodzaju incydentach. Przede wszystkim państwa członkowskie mogą postanowić, że niektóre lub wszystkie podmioty finansowe mają przekazywać wstępne powiadomienie i poszczególne sprawozdania również właściwym organom lub zespołom reagowania na incydenty bezpieczeństwa komputerowego (CSIRT)⁶. 

Nałożenie na podmioty finansowe tego obowiązku wymagałoby wprowadzenia odpowiedniej normy do przepisów prawa krajowego. W przypadku takiej decyzji ustawodawcy, obowiązek ten byłby wykonywany niezależnie od ciążącego na podmiotach finansowych obowiązku zgłaszania poważnych incydentów związanych z ICT właściwym organom, o których mowa w art. 46 Rozporządzenia DORA. Jego wykonanie następowałoby jednak z wykorzystaniem wzorów wstępnego powiadomienia i sprawozdań, określonych we wspomnianych wykonawczych standardach technicznych.

Dodatkowo w art. 19 ust. 6 Rozporządzenia DORA przewidziano również, że właściwy organ, po otrzymaniu wstępnego powiadomienia i poszczególnych sprawozdań, przekazuje informacje na temat takiego dokumentu określonym w tym przepisie odbiorcom, z uwzględnieniem, odpowiednio do przypadku, ich kompetencji. Dotyczy to przykładowo przekazywania informacji na temat poważnych incydentów związanych z ICT Europejskim Urzędom Nadzoru. W Rozporządzeniu DORA przewidziano przy tym, że Europejskie Urzędy Nadzoru odpowiedzialne są za:

a) ocenę, czy dany poważny incydent związany z ICT jest istotny dla właściwych organów w innych państwach członkowskich;

b) powiadomienie o wynikach takiej oceny odpowiednich właściwych organów w innych państwach członkowskich.

Wymiana informacji pomiędzy właściwymi organami, a Europejskimi Urzędami Nadzoru ma służyć m.in. skuteczniejszej reakcji na poważne incydenty związane z ICT, wywołujące skutki transgraniczne. W oparciu o omawiane powiadomienie właściwe organy podejmują bowiem w stosownych przypadkach niezbędne środki dla ochrony bieżącej stabilności systemu finansowego⁷.

Do działań podejmowanych przez właściwy organ, po otrzymaniu zgłoszenia dotyczącego poważnego incydentu związanego z ICT, odnosi się art. 22 ust. 1 Rozporządzenia DORA. Podkreślono w nim, że właściwy organ – po otrzymaniu wstępnego powiadomienia i poszczególnych sprawozdań potwierdza ich otrzymanie, a gdy jest to wykonalne może również w odpowiednim czasie: 

1. przekazać podmiotowi finansowemu odpowiednie i proporcjonalne informacje zwrotne lub wskazówki wysokiego poziomu w szczególności poprzez udostępnienie wszelkich istotnych zanonimizowanych informacji i analiz na temat podobnych zagrożeń;

2. omówić środki zaradcze zastosowane na poziomie danego podmiotu finansowego oraz sposoby zminimalizowania i złagodzenia negatywnego wpływu we wszystkich sektorach finansowych. 

Przepis ten wskazuje także na możliwe wsparcie w obsłudze incydentu udzielane podmiotowi finansowemu przez zespoły CSIRT, o których mowa w dyrektywie NIS2. Rozporządzenie DORA odnosi się w tym zakresie do szerokiego katalogu środków poprzez wskazanie na informacje techniczne, porady lub środki zaradcze oraz działania następcze, które mogą być w stosownych przypadkach udzielone podmiotowi finansowemu przez zespół CSIRT zgodnie z prawem krajowym.

W omawianym art. 22 ust. 1 Rozporządzenia DORA podkreślono również, że podmioty finansowe są w pełni odpowiedzialne za obsługę incydentów związanych z ICT zgłoszonych zgodnie z art. 19 ust. 1 Rozporządzenia DORA i za konsekwencje tych incydentów.

Poza obowiązkiem zgłaszania poważnych incydentów związanych z ICT właściwemu organowi, podmiot finansowy ma także obowiązek informowania swoich klientów o takich incydentach. Dotyczy to poważnych incydentów związanych z ICT, które mają istotny wpływ na interesy finansowe klientów. W takim przypadku podmioty finansowe powinny przekazywać swoim klientom informacje o incydentach niezwłocznie po tym, gdy dowiedzą się o ich wystąpieniu. W informacji tej powinny znaleźć się środki, które podjęto, aby złagodzić negatywne skutki incydentu⁸.

Rozporządzenie DORA, w obszarze zgłaszania poważnych incydentów związanych z ICT, odnosi się także do outsourcingu. Artykuł 19 ust. 5 Rozporządzenia DORA stanowi, że dopuszczalne jest zlecenie przez podmiot finansowy zewnętrznemu dostawcy usług zadań obejmujących zgłaszanie poważnych incydentów związanych z ICT. Powinno to nastąpić w drodze outsourcingu, zgodnie z unijnym i krajowym prawem sektorowym. Podmiot finansowy, który korzysta z tej możliwości, pozostaje jednak w pełni odpowiedzialny za spełnienie wymogów dotyczących zgłaszania incydentów.

⁵Art. 20 akapit pierwszy lit. b) Rozporządzenia DORA; Projekty aktów wykonawczych, które mają określać treść zgłoszeń dotyczących poważnych incydentów związanych z ICT oraz wzory i formularze do celów zgłaszania takich incydentów, są na etapie konsultacji publicznych
⁶Wyznaczonym lub ustanowionym zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającą rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 („dyrektywa NIS2”)
⁷Art. 19 ust. 7 Rozporządzenia DORA
⁸Art. 19 ust. 3 Rozporządzenia DORA