Kamil Mroczka, Dyrektor Generalny w UKNF, wziął udział w panelu „Czy zdigitalizowane ubezpieczenia będą odporne cyfrowo?”, w ramach VIII Kongresu Polskiej Izby Ubezpieczeń. 

Poniżej główne tezy wystąpienia Kamila Mroczki:

• Z punktu widzenia nadzoru DORA (rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego) jest regulacją mocno wyczekiwaną. Wprowadzona zostanie standaryzacja dotycząca cyberbezpieczeństwa. Dla nas to podstawa. To nie jest tak, że DORA to akt prawny, który fundamentalnie coś wywraca. To już funkcjonuje. Mamy ustawę o krajowym systemie cyberbezpieczeństwa, gdzie są zdefiniowani operatorzy usług kluczowych. To już działa od wielu lat. My ten katalog podmiotów poszerzamy.

• Z naszej perspektywy kluczowe jest wprowadzenie mechanizmu wymiany informacji. Dzisiaj najsłabszym ogniwem, jeśli chodzi o kwestie bezpieczeństwa, są ludzie. Jeśli chodzi o techniczne zabezpieczenie systemów - rozwijamy się bardzo szybko. Zdolność do budowania odporności różnych instytucji rośnie. Ale brakuje wymiany informacji.

• Zbudowaliśmy w UKNF Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego (CSIRT). My te mechanizmy, o których mówi DORA, już wdrażamy. Z naszej perspektywy detekcja, analiza ryzyka, informowanie uczestników rynku - to jest chleb powszedni. Z naszej perspektywy to bardzo wyczekiwana i potrzebna regulacja. Ona będzie standaryzować to podejście na poziomie Unii Europejskiej. Różne nadzory stosują w tym zakresie różne standardy np. w zakresie usług chmurowych. My w dialogu z rynkiem wypracowaliśmy pewne standardy. Wiadomo, że podmioty sektora finansowego chciałyby zawsze „więcej i łatwiej”. Ale z naszej perspektywy bezpieczeństwo jest najważniejsze. 

• Projekt DORA związany z budową odporności cyfrowej opiera się na kanwie zwiększenia bezpieczeństwa. Zakłady ubezpieczeń dysponują danymi kluczowymi z punktu widzenia bezpieczeństwa obywateli, bezpieczeństwa państwa. Budowanie standardów w tym zakresie z mojej perspektywy jest takie, że to jest ułożenie w moduły procesowe spojrzenia na bezpieczeństwo.

• To jest kluczowe, że my tymi informacjami w tym systemie finansowym powinniśmy się dzielić. Będziemy ten obszar rozwijać. Będziemy zwiększać tę aktywność, w dialogu z rynkiem. Do tego dialogu serdecznie zapraszamy.

• Nasze rekomendacje dotyczące chmury obliczeniowej czy funkcjonowania obszaru ICT - one już wiele kwestii porządkują. DORA to nie będzie wywrócenie tematu czy budowa czegoś od podstaw. Najważniejsze jest budowanie świadomości. To jest bardzo istotne. Mocno zachęcam - nie czekajmy na to, aż ten akt regulacyjny wejdzie w życie. Trzeba się zabrać do pracy już teraz. Sporo wyzwań jest przed nami, trzeba to zrobić w dialogu. DORA to regulacja dotycząca analizy ryzyka. Z naszej perspektywy bardzo się cieszymy, bo to wprowadza standaryzację, jeśli chodzi o wszystkich uczestników rynku.

• Nakłady na cyberbezpieczeństwo to jest inwestycja. Podmioty, które cieszą się wysokim prestiżem w kontekście bezpieczeństwa są częściej wybieranie przez klientów. Trzeba postawić na budowę tych kompetencji. Duże podmioty sobie poradzą. Ale są też podmioty słabsze. Bezpieczeństwo cyber nie zna zasady proporcjonalności. Tu jest wielkie wyzwanie dla całego rynku finansowego, żeby ci mocniejsi zbudowali standard, do którego tych słabszych się pociągnie. DORA jest dobrym momentem, żeby takie porozumienie ponad podziałami stworzyć. Ten standard musi być zapewniony. Apelujemy o to, żeby ten standard opracować i go wdrożyć.