„Incydent” a "poważny incydent"

Zgodnie z Rozporządzeniem DORA (Digital Operational Resilience Act), "incydent związany z ICT"¹ definiuje się jako:

„pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.”

Natomiast „poważny incydent związany z ICT”² to: „incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego.”

W tych dwóch definicjach użyto także innych pojęć (sieci i systemy informatyczne, bezpieczeństwo sieci i systemów informatycznych czy krytyczna lub istotna funkcja), które także są zdefiniowane w Rozporządzeniu DORA, a więcej o nich można przeczytać w artykule „Definicje i przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT”. Na potrzeby tego artykułu warto wiedzieć, że definicje incydentu związanego z ICT i poważnego incydentu związanego z ICT zgodne z 

Rozporządzeniem DORA uwzględniają zarówno zdarzenia obejmujące cyberataki, jak i incydenty o charakterze operacyjnym, przez co zdarzenia takie mogą obejmować również awarie systemów oraz inne zakłócenia technologiczne.

Kiedy zdarzenie jest poważnym incydentem zw. z ICT?

Rozporządzenie DORA przewiduje szereg kryteriów w zakresie klasyfikacji poważnych incydentów związanych z ICT, a obejmują one:

• liczbę lub znaczenie klientów lub kontrahentów finansowych oraz (w stosownych przypadkach) kwotę lub liczbę transakcji, których dotyczy incydent związany z ICT, oraz to czy taki incydent spowodował skutki reputacyjne,
• krytyczność usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego,
• czas trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług, 
• utratę danych w wyniku incydentu związanego z ICT w kontekście dostępności, autentyczności, integralności lub poufności danych,
• skutki gospodarcze incydentu związanego z ICT, w szczególności bezpośrednie oraz pośrednie koszty i straty, 
• zasięg geograficzny incydentu związanego z ICT, w szczególności, jeżeli dotyczy on więcej niż dwóch państw członkowskich.

Dodatkowo w art. 18 ust. 3 lit. a Rozporządzenia DORA przewidziano, że doprecyzowanie wymienionych kryteriów, w tym określenie progów istotności w celu ustalania poważnych incydentów związanych z ICT, następuje w drodze wydania regulacyjnych standardów technicznych, jako aktu wykonawczego do Rozporządzenia DORA³.

Zatem klasyfikacja incydentów związanych z ICT, a w szczególności ocena wystąpienia poważnego incydentu związanego z ICT, powinna następować w oparciu o treść definicji „poważnego incydentu związanego z ICT" oraz zastosowanie kryteriów klasyfikacji i progów istotności, sprecyzowanych w ramach regulacyjnych standardów technicznych. 

Raportowanie – Rozporządzenie DORA czy PSD2?

Rozporządzenie DORA przewiduje wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2015/2366 (dyrektywa PSD2) w stosunku do dostawców usług płatniczych objętych zakresem stosowania Rozporządzenia DORA. 

Oznacza to, że podmioty nadzorowane objęte do tej pory wymogiem raportowania incydentów na podstawie dyrektywy PSD2, będą zobowiązane do zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami zgodnie z Rozporządzeniem DORA. Ma to na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie powielających się obowiązków w zakresie zgłaszania incydentów w przypadku niektórych podmiotów finansowych (prowadzących działalność w zakresie usług płatniczych).

Z tym rozwiązaniem skorelowane są także zmiany dyrektywy PSD2 dokonane w ramach dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2556 z dnia 14 grudnia 2022 roku w sprawie zmiany dyrektyw 2009/65/WE, 2009/138/WE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 oraz (UE) 2016/2341 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego.

Raportowanie incydentów jest kluczowe dla długofalowego procesu budowania bezpieczeństwa i odporności na cyberataki, szczególnie w sektorze finansowym. Dzięki temu możliwe jest szybkie podjęcie działań naprawczych, co często może pomóc w minimalizacji negatywnych skutków zdarzenia dla danej organizacji oraz jej klientów. Informacje o incydentach pozwalają także na analizę przyczyn i wzorców zagrożeń, co przyczynia się do budowania lepszych strategii ochrony w przyszłości oraz dają możliwość prewencyjnego zabezpieczenia instytucji potencjalnie narażonych na ten sam lub podobny atak. 

______________________
¹zgodnie z art. 3 pkt 8 Rozporządzenia DORA
²art. 3 pkt 10 Rozporządzenia DORA
³rozporządzenie delegowane Komisji (UE) 2024/1772 z dnia 13 marca 2024 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających kryteria klasyfikacji incydentów związanych z ICT i cyberzagrożeń, progi istotności i szczegółowe informacje dotyczące zgłaszania poważnych incydentów