Krzysztof Dąbrowski, Dyrektor Zarządzający Pionem Bezpieczeństwa w Urzędzie KNF, oraz Jolanta Gasiewicz, Ekspert z Departamentu Cyberbezpieczeństwa, wzięli udział w konferencji „Wyzwania prawne związane z implementacją Rozporządzenia DORA okiem regulatora/ustawodawcy”, organizowanej przez Izbę Domów Maklerskich.

Krzysztof Dąbrowski w swoim wystąpieniu przedstawił ujęcie strategiczne implementacji Rozporządzenia DORA, wskazując uczestnikom konferencji kontekst stworzenia regulacji i jej główne założenia.

Podkreślił, że należy przeprowadzić wiele działań dostosowawczych, dla których punktem wyjścia jest analiza zgodności obecnych praktyk z nowymi wymogami regulacyjnymi. Wbrew pozorom, jedenaście miesięcy pozostałych do momentu stosowania DORA, to nie jest dużo czasu biorąc pod uwagę zakres prac, które muszą przeprowadzić podmioty rynku finansowego. „Dzisiejsza konferencja jest dla UKNF dobrą okazją do spotkania z podmiotami działającymi na rynku kapitałowym. Pozwala prowadzić dialog, mówić o tym, jak nadzór podchodzi do kwestii przygotowania do stosowania DORA, jakie podejmuje przygotowania, ale też możemy usłyszeć istotne dla nas głosy ze strony uczestników rynku. W kontekście implementacji Rozporządzenia DORA, Komisja Nadzoru Finansowego postrzega siebie w pierwszej kolejności jako nadzorcę, a dopiero później regulatora, gdyż pomimo udziału w procesie konsultacji DORA, faktycznym inicjatorem i autorem tej regulacji są instytucje poziomu europejskiego” – powiedział Krzysztof Dąbrowski.

Wskazał, że DORA jest odpowiedzią na m.in. postępującą zależność procesów biznesowych od technologii, rosnące zagrożenie cyberprzestępczością i jej transgraniczny wymiar oraz spore różnice regulacyjne między krajami w zakresie cyberbezpieczeństwa. „Obecnie technologia jest wykorzystywana szeroko, jeżeli chodzi o procesy wewnętrzne, jak i też o kontakt z klientem. Uzależnienie od technologii nie tylko stwarza szansę na optymalizację procesów, ale też generuje podatności na zagrożenia. Wzrasta aktywność cyberprzestępców i to na rozmaitych polach. Jedni atakują organizacje, inni z kolei skupiają się na wyłudzaniu środków bezpośrednio od klientów” – powiedział Dąbrowski.

W obliczu wyzwań związanych z obecnym poziomem wykorzystywania technologii, niezbędne jest poważne podejście do kwestii cyberodporności i bezpieczeństwa, ponieważ bez przyłożenia należytej wagi i adekwatnego uwzględnienia ryzyka ICT w zarządzaniu daną organizacją, materializacja tego rodzaju ryzyka operacyjnego może doprowadzić do wyeliminowania danego podmiotu z rynku. 

Wyzwania prawne najbardziej istotne z punktu widzenia implementacji DORA w organizacji, to chociażby rozpoznanie zmian w istniejących obowiązkach oraz identyfikacja nowych obowiązków, identyfikacja niezbędnych zasobów ICT czy dostosowanie umów z zewnętrznymi dostawcami usług ICT. Przeprowadzenie tych działań nie może być zlecone jednemu działowi, ale jest wyzwaniem interdyscyplinarnym i wymaga zaangażowania wielu obszarów organizacji - zwłaszcza informatyki, compliance, bezpieczeństwa, przy wsparciu z poziomu zarządu.  

Jolanta Gasiewicz wystąpiła w panelu na temat polityk zakupowych i przedstawiła wybrane elementy wdrożenia rozporządzenia DORA w kontekście operacyjnym.

W swojej wypowiedzi wskazała, że DORA kładzie ogromy nacisk na odpowiedzialność zarządu za obszar związany z nadzorem nad zewnętrznymi dostawcami usług ICT. Dodatkowo podkreśliła, że odpowiedzialność za zgodność z przepisami ponosi podmiot finansowy, dlatego ważne jest aby organizacja posiadała w swoich strukturach odpowiednie zasoby, w tym osoby mające odpowiednią wiedzę i kompetencje prawne oraz techniczne.

Umowy z dostawcami usług ICT powinny regulować między innymi jasny i kompletny opis wszystkich funkcji i usług ICT, ze wskazaniem czy dozwolone jest podwykonawstwo usługi ICT wspierającej krytyczne lub istotne funkcje. Ważne jest, że przed podpisaniem umowy należy przeprowadzić w swojej organizacji proces związany z identyfikacją funkcji i usług ICT, oceną spełnienia warunków nadzorczych, analizą ryzyka oraz due diligence, a także zasad monitorowania dostawcy, w szczególności w ramach kontroli i audytu. W umowie z dostawcą usług ICT należy również uwzględnić strategie wyjścia z takiej umowy.

Przydatne informacje

• Informacje dotyczące tematyki związanej z Rozporządzeniem DORA publikowane na stronie Komisji Nadzoru Finansowego:
  https://www.knf.gov.pl/dla_rynku/dora 
• Finalizacja 1 pakietu aktów wykonawczych do DORA (z terminem do 17.01.2024):
  https://www.eba.europa.eu/publications-and-media/press-releases/esas-publish-first-set-rules-under-dora-ict-and-third-party 
• Informacja o konsultacjach publicznych 2 pakietu aktów wykonawczych do DORA (z terminem do 17.07.2024) w okresie 08.12.2023 – 04.03.2024:
  https://www.eba.europa.eu/publications-and-media/press-releases/esas-launch-joint-consultation-second-batch-policy-mandates