Rozporządzenie DORA nakłada na podmioty finansowe wymogi w obszarze zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. Część z nich została już omówiona w poprzednich opracowaniach dotyczących wymagań Rozporządzenia DORA.

W tym artykule podsumujemy obowiązki wynikające z Rozporządzenia DORA w zakresie zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. W artykule poruszamy kwestie związane ze zgłaszaniem poważnych incydentów związanych z ICT w kontekście poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami. Dodatkowo przyjrzymy się przepisom rozdziału III Rozporządzenia DORA w aspekcie cyberzagrożeń i znaczących cyberzagrożeń.

Zgłaszanie poważnych incydentów związanych z ICT a poważne incydenty operacyjne lub poważne incydenty bezpieczeństwa związane z płatnościami

Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA odnoszą się również do incydentów operacyjnych oraz incydentów bezpieczeństwa związanych z płatnościami. Dotyczą też poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami. Pojęcia te zostały zdefiniowane w Rozporządzeniu DORA w następujący sposób: 

• incydent operacyjny lub incydent w zakresie bezpieczeństwa związany z płatnościami – zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez podmioty finansowe, o których mowa w art. 2 ust. 1 lit. a)–d) Rozporządzenia DORA, związanych z ICT lub nie, które mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych związanych z płatnościami lub świadczonych usług związanych z płatnościami realizowanymi przez dany podmiot finansowy
• poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany płatnościami – incydent operacyjny lub incydent w zakresie bezpieczeństwa związany z płatnościami o dużym negatywnym wpływie na świadczone usługi związane z płatnościami

Aby uniknąć nadmiernych obciążeń regulacyjnych, Rozporządzenie DORA przewiduje wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą PSD2¹ w stosunku do dostawców usług płatniczych objętych Rozporządzeniem DORA. Wskazuje na to art. 23 Rozporządzenia DORA, zgodnie z którym wymogi określone w rozdziale III tego rozporządzenia mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego. Odwołanie do omawianych kategorii podmiotów finansowych znajduje się również w definicji incydentu operacyjnego lub incydentu w zakresie bezpieczeństwa związanego z płatnościami. 

Wniosek ten potwierdza treść motywu 23 Rozporządzenia DORA. Wskazano w nim wprost, że instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy świadczący usługę dostępu do informacji o rachunku, objęci wymogiem raportowania incydentów na gruncie dyrektywy PSD2, wszelkie incydenty operacyjne lub incydenty w zakresie bezpieczeństwa związane z płatnościami, które wcześniej były przez nich zgłaszane zgodnie z dyrektywą PSD2, powinni zgłaszać, zgodnie z Rozporządzeniem DORA, od daty rozpoczęcia jego stosowania. Rozwiązanie takie ma na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie potencjalnie powielających się obowiązków w zakresie zgłaszania incydentów w przypadku niektórych podmiotów finansowych, prowadzących działalność w zakresie usług płatniczych. 

Z omawianym rozwiązaniem skorelowane są także zmiany dyrektywy PSD2 wprowadzone dyrektywą 2022/2556² w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego. W uzasadnieniu tych zmian wskazano, że aby zmniejszyć obciążenia administracyjne oraz uniknąć złożoności i powielania wymogów w zakresie sprawozdawczości, zawarte w dyrektywie PSD2 przepisy dotyczące zgłaszania incydentów powinny przestać obowiązywać w stosunku do dostawców usług płatniczych, których sytuacja jest uregulowana w tej dyrektywie, i którzy także podlegają Rozporządzeniu DORA. Tym samym, ma to umożliwić takim dostawcom korzystanie z jednolitego, zharmonizowanego mechanizmu zgłaszania incydentów w odniesieniu do wszystkich incydentów operacyjnych lub incydentów w zakresie bezpieczeństwa związanych z płatnościami, niezależnie od tego, czy takie incydenty są związane z ICT.

Rozporządzenie DORA przewiduje również uwzględnienie poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami w aktach wykonawczych wydanych na jego podstawie. Obejmuje to:

a) regulacyjne standardy techniczne w zakresie klasyfikacji poważnych incydentów, które powinny stosownie do przypadku odnosić się także do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami (art. 18 ust. 3 lit. a) Rozporządzenia DORA);

b) regulacyjne standardy techniczne w zakresie treści zgłoszeń poważnych incydentów, które powinny w ramach szczegółowych informacji na temat incydentu uwzględniać wskazanie, czy stanowi on poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami (art. 20 akapit pierwszy lit. a) ppkt (i) Rozporządzenia DORA).

Zasada z art. 23 Rozporządzenia DORA nie odnosi się wyłącznie do samego zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami zgodnie z Rozporządzaniem DORA. Jej zastosowanie jest szersze, gdyż przepis ten wskazuje ogólnie na zastosowanie wymogów z rozdziału III Rozporządzenia DORA do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego. Do wymogów tych można przykładowo zaliczyć chociażby obowiązki związane z rejestrowaniem tego rodzaju incydentów czy też ich klasyfikacją.

Przepisy rozdziału III Rozporządzenia DORA a cyberzagrożenia i znaczące cyberzagrożenia

Rozporządzenie DORA zawiera także przepisy odnoszące się do cyberzagrożeń oraz znaczących cyberzagrożeń. Ich celem jest wzmocnienie operacyjnej odporności cyfrowej podmiotów finansowych.

• Cyberzagrożenie zdefiniowano w art. 3 pkt 12 Rozporządzenia DORA jako „cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881”, co obejmuje, uwzględniając odesłanie do rozporządzenia 2019/88, „wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób”³.
• Znaczące cyberzagrożenie zdefiniowano w art. 3 pkt 13 Rozporządzenia DORA jako „cyberzagrożenie, którego charakterystyka techniczna wskazuje, że potencjalnie może spowodować poważny incydent związany z ICT lub poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami”.

Pierwszy z wymogów Rozporządzenia DORA w omawianym zakresie dotyczy obowiązku rejestrowania przez podmioty finansowe wszystkich znaczących cyberzagrożeń. Wynika on z art. 17 ust. 2 Rozporządzenia DORA, w którym wprost wskazano, że „Podmioty finansowe rejestrują wszystkie (…) znaczące cyberzagrożenia (…)”. 

Z wymogiem rejestrowania znaczących cyberzagrożeń powiązany jest obowiązek klasyfikowania cyberzagrożeń jako znaczących. Wynika on z art. 18 ust. 2 Rozporządzenia DORA. Wskazano w nim, że „Podmioty finansowe klasyfikują cyberzagrożenia jako znaczące (…)”. W przepisie tym wymienione są również kryteria, jakie należy uwzględniać przy takiej klasyfikacji. Podmiot finansowy powinien brać pod uwagę w tym zakresie:

a) krytyczność usług zagrożonych, w tym narażonych transakcji i operacji podmiotu finansowego,

b) liczbę lub znaczenie klientów lub kontrahentów finansowych, oraz 

c) zasięg geograficzny zagrożonych obszarów.

W art. 18 ust. 3 Rozporządzenia DORA przewidziano zaś, że doprecyzowanie wymienionych kryteriów, w tym określenie wysokich progów istotności do celów ustalania znaczących cyberzagrożeń, następuje w regulacyjnych standardach technicznych, jako akcie wykonawczym do Rozporządzenia DORA.

Rozporządzenie DORA przewiduje również możliwość dobrowolnego powiadamiania właściwych organów o znaczących cyberzagrożeniach przez podmioty finansowe (art. 19 ust. 2 Rozporządzenia DORA). Może to nastąpić w przypadku, gdy podmiot finansowy uzna zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. Właściwy organ uprawniony jest z kolei do przekazania tych informacji do podmiotów wskazanych w art. 19 ust. 6 Rozporządzenia DORA, tj. m.in. do właściwych organów, pojedynczych punktów kontaktowych lub zespołów CSIRT, wyznaczonych lub ustanowionych zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/2555⁴. W art. 20 akapicie pierwszym lit. a) ppkt (iii) Rozporządzenia DORA przewidziano przy tym, że treść powiadomień o znaczących cyberzagrożeniach zostanie ustalona w regulacyjnych standardach technicznych. Wydanie wykonawczych standardów technicznych przewidziano zaś w art. 20 lit. b) Rozporządzenia DORA w odniesieniu do ustanowienia standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów powiadamiania o znaczących cyberzagrożeniach. 

Dodatkowo, w Rozporządzeniu DORA przewidziano obowiązek informowania przez podmioty finansowe o znaczących cyberzagrożeniach, w stosownych przypadkach, klientów, których takie zagrożenia mogą dotyczyć (art. 19 ust. 3 Rozporządzenia DORA). Informacja taka powinna wskazywać na wszelkie odpowiednie środki ochrony, których podjęcie klienci mogą rozważyć. 

W kontekście omówionych wymogów dotyczących cyberzagrożeń (w tym rejestrowania wszystkich znaczących cyberzagrożeń) można również dodać, że przepisy spoza rozdziału III Rozporządzenia DORA odnoszą się do możliwej wymiany informacji o cyberzagrożeniach pomiędzy podmiotami finansowymi. Dotyczy to art. 45 Rozporządzenia DORA (ustalenia dotyczące wymiany informacji).  

Podsumowanie 

Przegląd przepisów rozdziału III Rozporządzenia DORA potwierdza kluczowy charakter wymogów w obszarze zarządzania incydentami związanymi z ICT, w tym zgłaszania poważnych incydentów związanych z ICT właściwym organom, dla osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej podmiotów finansowych. Odnosi się to także do wymogów w obszarze dobrowolnego informowania właściwych organów o znaczących cyberzagrożeniach.

Jest to kompleksowe podejście prawodawcy unijnego do wspomnianych zagadnień. Omówione wymogi nie są bowiem ograniczone, np. tylko do raportowania określonych informacji właściwym organom. Obejmują one też inne procesy o charakterze ciągłym, jakie podmiot finansowy zobowiązany jest realizować, aby zapewnić zgodność prowadzonej działalności z wymogami Rozporządzenia DORA. Jednocześnie, dla dochowania części przedstawionych wymogów konieczne są działania w stosunku do klientów, co dotyczy choćby informowania ich o poważnych incydentach związanych z ICT, które mają istotny wpływ na ich interesy finansowe. 

Przykład ten pokazuje, jak istotna dla prawidłowego wdrażania i realizacji wymogów Rozporządzenia DORA jest koordynacja działań i współpraca między wewnętrznymi komórkami podmiotu finansowego, które są odpowiedzialne za różne obszary jego działalności, nie ograniczając się wyłącznie do cyberbezpieczeństwa.

Przeprowadzony przegląd przepisów rozdziału III Rozporządzenia DORA pozwala sformułować tezę o kluczowym znaczeniu aktów wykonawczych do Rozporządzenia DORA (regulacyjnych standardów technicznych i wykonawczych standardów technicznych). Są one istotne dla ostatecznego kształtu wymogów dotyczących zarządzania incydentami związanymi z ICT oraz dotyczących cyberzagrożeń, a w szczególności znaczących cyberzagrożeń. Ważne pozostaje więc śledzenie przez podmioty finansowe procesu legislacyjnego dotyczącego omawianych aktów wykonawczych, aby uwzględnić je w działaniach dostosowawczych.