Definicje i przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT - Komisja Nadzoru Finansowego

Filtry

Kategorie

Okres

Od
Do

Dane archiwalne

A A
CO ROBIMY Dla rynku Rozporządzenie DORA Wymagania Rozporządzenia DORA Definicje i przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT

Wymagania Rozporządzenia DORA

Definicje i przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT

Data aktualizacji:

Kluczowym wymogiem do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej podmiotów finansowych jest zgłaszanie poważnych incydentów związanych z ICT do właściwym organów oraz dobrowolne informowanie ich o znaczących cyberzagrożeniach1.

W dobie gospodarki cyfrowej stale rośnie zagrożenie związane z cyberatakami, czego przykładem mogą być ataki DDoS czy ransomware. Jednocześnie działalność podmiotów finansowych może być zakłócona przez wystąpienie błędów ludzkich bądź awarii technicznych, które mają wpływ na funkcjonowanie sieci i systemów informatycznych z których podmioty te korzystają. Skutki takich zdarzeń mogą być bardzo dotkliwe, nie tylko w kontekście możliwych strat dla podmiotów finansowych spowodowanych niedostępnością usług dla ich klientów. Mogą one również ograniczać zaufanie do rynku finansowego, w szczególności w przypadku dużej skali incydentu i nagłośnienia go przez media.

Z jednej strony istotne jest podejmowanie przez podmioty finansowe działań, które będą zapobiegać takim zdarzeniom, a z drugiej sprawne realizowanie działań naprawczych, aby łagodzić ich skutki. Z perspektywy oceny ryzyka w kontekście cyberbezpieczeństwa, informacje o incydentach związanych z ICT są przy tym kluczowe dla właściwych organów nadzorujących podmioty finansowe w ramach Rozporządzenia DORA. 

Do realizacji tych założeń służą przepisy rozdziału III Rozporządzenia DORA – "Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie". Wymogi tego rozdziału są uzupełnione o przepisy dotyczące cyberzagrożeń oraz znaczących cyberzagrożeń, ze względu na ich powiązanie z obszarem incydentów. 

Artykuł ten poświęcony jest przeglądowi wymagań Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. Zagadnienia te mają istotne znaczenie dla podmiotów, które są objęte wymogami Rozporządzenia DORA. Krąg adresatów tych wymagań jest szeroki, a zbliżający się termin rozpoczęcia stosowania Rozporządzenia DORA pozostawia coraz mniej czasu na zapewnienie zgodności prowadzonej działalności z omawianymi obowiązkami. Co ważne, przepisy Rozporządzenia DORA są stosowane bezpośrednio i nie wymagają implementacji do prawa krajowego. 

Zagadnienia ujęte w tym artykule koncentrują się wokół roli definicji zawartych w Rozporządzeniu DORA i odnoszących się do incydentów związanych z ICT oraz cyberzagrożeń. Artykuł zawiera także przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT, które wynikają z Rozporządzenia DORA. W ramach kolejnych opracowań publikowanych na stronie KNF w zakresie Rozporządzenia DORA, omawiane obowiązki zostaną szczegółowo przybliżone.

Rola definicji w wyznaczeniu zakresu obowiązków z Rozporządzenia DORA w kontekście incydentów związanych z ICT oraz cyberzagrożeń

Omawianie wymagań Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT oraz dotyczących klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach rozpoczniemy od definicji najważniejszych pojęć. Pełnią one kluczową rolę dla wyznaczenia zakresu wymienionych obowiązków.

Incydent związany z ICT2 – pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy 

Poważny incydent związany z ICT3 – incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego

W tych dwóch definicjach użyto innych pojęć, które są już zdefiniowane w Rozporządzeniu DORA, a są to:

  • sieci i systemy informatyczne4 – sieci i systemy informatyczne zdefiniowane w art. 6 pkt 1 dyrektywy (UE) 2022/25555. Uwzględniając odesłanie do dyrektywy NIS2, pojęcie sieci i systemy informatyczne, na gruncie Rozporządzenia DORA, obejmuje: 
    • sieć łączności elektronicznej zdefiniowaną w art. 2 pkt 1 dyrektywy (UE) 2018/1972;
    • urządzenie lub grupę wzajemnie połączonych lub powiązanych urządzeń, z których co najmniej jedno, na podstawie programu, automatycznie przetwarza dane cyfrowe; lub
    • dane cyfrowe przechowywane, przetwarzane, pobierane lub przekazywane przez elementy określone w lit. a) i b) w celu ich eksploatacji, użycia, ochrony i utrzymania6.
  • bezpieczeństwo sieci i systemów informatycznych7 – bezpieczeństwo sieci i systemów informatycznych zdefiniowane w art. 6 pkt 2 dyrektywy (UE) 2022/2555 Uwzględniając odesłanie do dyrektywy NIS28, pojęcie bezpieczeństwo sieci i systemów informatycznych, na gruncie Rozporządzenia DORA, obejmuje odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie zdarzenia, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.
  • krytyczna lub istotna funkcja9 – funkcja, której zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych

Użycie wspomnianych terminów ma istotny wpływ na zakres definicji pojęcia „incydent związany z ICT” oraz „poważny incydent związany z ICT”, a co za tym idzie na zakres obowiązków wynikających z Rozporządzenia DORA, w których pojęcia te są wykorzystywane.

W kontekście definicji incydentu związanego z ICT można wskazać na to, że użycie w nim terminu „bezpieczeństwo sieci i systemów informatycznych” ma kluczowe znaczenie dla zakresu omawianej definicji. W ramach definicji pojęcia bezpieczeństwa sieci i systemów informatycznych odwołano się bowiem do wszelkich zdarzeń, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem. W związku z użyciem tak szerokiego terminu (wszelkie zdarzenia) można argumentować, że przyczyną incydentów związanych z ICT mogą być nie tylko cyberataki, ale również np. awarie. Wniosek taki potwierdza wprowadzenie w Rozporządzeniu DORA pojęcia „cyberatak”, o węższym zakresie niż „incydent związany z ICT”10, jak również treść motywu 79 dyrektywy NIS2. Wskazano w nim, że „ponieważ zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji (…)”.

W definicji „poważnego incydentu związanego z ICT” wykorzystano pojęcie „incydent związany z ICT”. Dlatego kwestia omówiona w poprzednim akapicie będzie miała znaczenie również dla poważnych incydentów związanych z ICT. Jednocześnie, zakres pojęcia „poważny incydent związany z ICT” został zawężony w Rozporządzeniu DORA w stosunku do pojęcia „incydent związany z ICT” przez wskazanie na dalej idące skutki jego wystąpienia. Poważnym incydentem związanym z ICT jest więc w świetle Rozporządzenia DORA taki incydent związany z ICT, który ma duży negatywny wpływ na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. Z jednej więc strony negatywny wpływ poważnego incydentu związanego z ICT na sieci i systemy informatyczne powinien być „duży” (takiej ocenie służyć będą kryteria klasyfikacji, o czym będzie mowa w kolejnej części opracowania). Z drugiej zaś strony poważny incydent związany z ICT powinien mieć wpływ na takie sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego (w zakresie ustalania, co należy rozumieć pod pojęciem krytycznych lub istotnych funkcji podmiotu finansowego, duże znaczenie będzie miała przywołana definicja krytycznych lub istotnych funkcji). 

Dodatkowo, w Rozporządzeniu DORA zdefiniowano pojęcia istotne z perspektywy przepisów odwołujących się do cyberzagrożeń. Zgodnie z art. 3 pkt 12 Rozporządzenia DORA, przez cyberzagrożenie należy rozumieć „cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881”. Uwzględniając odesłanie11, obejmuje to „wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób”. Zgodnie zaś z art. 2 pkt 13 Rozporządzenia DORA, przez znaczące cyberzagrożenie należy rozumieć „cyberzagrożenie, którego charakterystyka techniczna wskazuje, że potencjalnie może spowodować poważny incydent związany z ICT lub poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami”. 

W świetle przywołanych definicji podkreślić można przede wszystkim potencjalny charakter zjawisk, które mogą być cyberzagrożeniem, jak i ich szerokie ujęcie (wszelkie potencjalne okoliczności, zdarzenie lub działanie). Ważne jest także to, że definicja znaczącego cyberzagrożenia odwołuje się do zdefiniowanego terminu „cyberzagrożenie”, zaś jego znaczący charakter definiowany jest z perspektywy potencjalnych skutków, tj. możliwości spowodowania przez dane cyberzagrożenie poważnego incydentu związanego z ICT lub poważnego incydentu operacyjnego lub poważnego incydentu w zakresie bezpieczeństwa związanego z płatnościami. Podkreśla to powiązanie definicji znaczącego cyberzagrożenia z poważnymi incydentami. 

Przegląd obowiązków Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT

W ramach obowiązków w zakresie incydentów związanych z ICT na podmioty finansowe nałożono obowiązek określania, ustanawiania i wdrażania procesu zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania12

Dodatkowo, zgodnie z art. 17 ust. 2 Rozporządzenia DORA, na podmiotach finansowych ciąży obowiązek rejestrowania wszystkich incydentów związanych z ICT. Przepis ten przewiduje także obowiązek podmiotów finansowych dotyczący ustanowienia odpowiednich procedur i procesów, które mają zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT oraz obsługę takich incydentów, a także działania następcze w związku z takimi incydentami, aby zapewnić zidentyfikowanie, udokumentowanie i wyeliminowanie podstawowych przyczyn. Ma to zapobiec występowaniu takich incydentów. 

Rozporządzenie DORA wskazuje na niezbędne elementy procesu zarządzania incydentami związanymi z ICT13 i są nimi:

a) wprowadzenie wskaźników wczesnego ostrzegania; 

b) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1 Rozporządzenia DORA;

c) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy; 

d) określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 Rozporządzenia DORA oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci;

e) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT; 

f) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.

Zakres obowiązków dotyczących zarządzania incydentami związanymi z ICT określony jest w rozdziale III Rozporządzenia DORA, o których będzie jeszcze mowa w kolejnej części opracowania. Co istotne, dla realizacji omawianych obowiązków mogą mieć także znaczenie inne przepisy Rozporządzenia DORA. Przykładem mogą tu być:

  1. art. 14 Rozporządzenia DORA14 – przewidziano w nim między innymi obowiązek wprowadzenia przez podmioty finansowe planów działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej, umożliwiających odpowiedzialne ujawnianie, co najmniej, poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a także, w przypadkach, opinii publicznej;
  2. art. 10 ust. 1 Rozporządzenia DORA – nałożono nim na podmioty finansowe obowiązek dysponowania mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 17 Rozporządzenia DORA, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz pozwalającymi na identyfikację potencjalnych istotnych pojedynczych punktów awarii15;
  3. art. 10 ust. 3 Rozporządzenia DORA – wskazano w nim, że podmioty finansowe powinny przeznaczać wystarczające zasoby i zdolności na monitorowanie działalności użytkowników, występowania nieprawidłowości w zakresie ICT oraz incydentów związanych z ICT, a w szczególności cyberataków.
Co ważne, pewne elementy wymogów dotyczących zarządzania ryzykiem związanym z ICT istotne w kontekście incydentów związanych z ICT będą także doprecyzowane w aktach wykonawczych do Rozporządzenia DORA. Przykładowo, w art. 15 lit. c) Rozporządzenia DORA przewidziano podstawę do opracowania przez Europejskie Urzędy Nadzoru16 projektu regulacyjnych standardów technicznych. Ich celem ma być doprecyzowanie elementów określonych w art. 10 ust. 1 Rozporządzenia DORA, które umożliwiają szybkie wykrywanie nietypowych działań oraz kryteriów określonych w art. 10 ust. 2 Rozporządzenia DORA dotyczących uruchamiania procesów wykrywania incydentów związanych z ICT i reagowania na nie.
______________________
1art. 1 ust. 1 lit. a) ppkt (ii) Rozporządzenia DORA
2zgodnie z art. 3 pkt 8 Rozporządzenia DORA
3art. 3 pkt 10 Rozporządzenia DORA
4art. 3 pkt 2 Rozporządzenia DORA
5art. 6 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 („dyrektywa NIS2”)
6Określenie pełnej definicji terminu sieci i systemy informatyczne z Rozporządzenia DORA wymaga przytoczenia również definicji terminu „sieci łączności elektronicznej”. Zgodnie z art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej, „sieć łączności elektronicznej” oznacza systemy transmisyjne, niezależnie do tego, czy opierają się na stałej infrastrukturze lub scentralizowanym zarządzaniu zasobami, oraz, w stosownych przypadkach, urządzenia przełączające lub routingowe oraz inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają przekazywanie sygnałów przewodowo, za pomocą radia, środków optycznych lub innych rozwiązań wykorzystujących fale, w tym sieci satelitarnych, stacjonarnych (komutowanych i pakietowych, w tym internetu) i sieci ruchomych, elektroenergetycznych systemów kablowych, w zakresie, w jakim są one wykorzystywane do przekazywania sygnałów, w sieciach nadawania radiowego i telewizyjnego oraz sieciach telewizji kablowej, niezależnie od rodzaju przekazywanej informacji
7art. 3 pkt 4 Rozporządzenia DORA
8art. 6 pkt 2 dyrektywy NIS2
9art. 3 pkt 22 Rozporządzenia DORA
10Zgodnie z art. 3 pkt 14 Rozporządzenia DORA „cyberatak” oznacza złośliwy incydent związany z ICT wywołany przez próbę zniszczenia, ujawnienia, zmiany, dezaktywacji, kradzieży lub uzyskania nieuprawnionego dostępu do składnika aktywów lub jego nieuprawnionego wykorzystania przez jakiegokolwiek agresora
11art. 2 pkt 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019 r. w sprawie ENISA (Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) oraz certyfikacji cyberbezpieczeństwa w zakresie technologii informacyjno-komunikacyjnych oraz uchylenia rozporządzenia (UE) nr 526/2013 („Akt o cyberbezpieczeństwie”)
12art. 17 ust. 1 Rozporządzenia DORA
13art. 17 ust. 3 Rozporządzenia DORA
14Do art. 14 Rozporządzenia DORA wprost odnosi się art. 17 ust. 3 lit. d) tego rozporządzenia
15W art. 10 ust. 2 doprecyzowano natomiast, że tego rodzaju mechanizmy wykrywania powinny umożliwiać wielopoziomową kontrolę, określać progi alarmowe i kryteria uruchamiania i inicjowania procesów reagowania na incydenty związane z ICT, łącznie z automatycznymi mechanizmami ostrzegawczymi dla odpowiednich pracowników odpowiedzialnych za reagowanie na incydenty związane z ICT
16Europejski Urząd Nadzoru Bankowego, Europejski Urząd Nadzoru Giełd i Papierów Wartościowych oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych