Wymagania Rozporządzenia DORA
Kluczowym wymogiem do osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej podmiotów finansowych jest zgłaszanie poważnych incydentów związanych z ICT do właściwym organów oraz dobrowolne informowanie ich o znaczących cyberzagrożeniach1.
W dobie gospodarki cyfrowej stale rośnie zagrożenie związane z cyberatakami, czego przykładem mogą być ataki DDoS czy ransomware. Jednocześnie działalność podmiotów finansowych może być zakłócona przez wystąpienie błędów ludzkich bądź awarii technicznych, które mają wpływ na funkcjonowanie sieci i systemów informatycznych z których podmioty te korzystają. Skutki takich zdarzeń mogą być bardzo dotkliwe, nie tylko w kontekście możliwych strat dla podmiotów finansowych spowodowanych niedostępnością usług dla ich klientów. Mogą one również ograniczać zaufanie do rynku finansowego, w szczególności w przypadku dużej skali incydentu i nagłośnienia go przez media.
Z jednej strony istotne jest podejmowanie przez podmioty finansowe działań, które będą zapobiegać takim zdarzeniom, a z drugiej sprawne realizowanie działań naprawczych, aby łagodzić ich skutki. Z perspektywy oceny ryzyka w kontekście cyberbezpieczeństwa, informacje o incydentach związanych z ICT są przy tym kluczowe dla właściwych organów nadzorujących podmioty finansowe w ramach Rozporządzenia DORA.
Do realizacji tych założeń służą przepisy rozdziału III Rozporządzenia DORA – "Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie". Wymogi tego rozdziału są uzupełnione o przepisy dotyczące cyberzagrożeń oraz znaczących cyberzagrożeń, ze względu na ich powiązanie z obszarem incydentów.
Artykuł ten poświęcony jest przeglądowi wymagań Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. Zagadnienia te mają istotne znaczenie dla podmiotów, które są objęte wymogami Rozporządzenia DORA. Krąg adresatów tych wymagań jest szeroki, a zbliżający się termin rozpoczęcia stosowania Rozporządzenia DORA pozostawia coraz mniej czasu na zapewnienie zgodności prowadzonej działalności z omawianymi obowiązkami. Co ważne, przepisy Rozporządzenia DORA są stosowane bezpośrednio i nie wymagają implementacji do prawa krajowego.
Zagadnienia ujęte w tym artykule koncentrują się wokół roli definicji zawartych w Rozporządzeniu DORA i odnoszących się do incydentów związanych z ICT oraz cyberzagrożeń. Artykuł zawiera także przegląd obowiązków w obszarze zarządzania incydentami związanymi z ICT, które wynikają z Rozporządzenia DORA. W ramach kolejnych opracowań publikowanych na stronie KNF w zakresie Rozporządzenia DORA, omawiane obowiązki zostaną szczegółowo przybliżone.
Rola definicji w wyznaczeniu zakresu obowiązków z Rozporządzenia DORA w kontekście incydentów związanych z ICT oraz cyberzagrożeń
Omawianie wymagań Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT oraz dotyczących klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach rozpoczniemy od definicji najważniejszych pojęć. Pełnią one kluczową rolę dla wyznaczenia zakresu wymienionych obowiązków.
Incydent związany z ICT2 – pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy
Poważny incydent związany z ICT3 – incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego
W tych dwóch definicjach użyto innych pojęć, które są już zdefiniowane w Rozporządzeniu DORA, a są to:
Użycie wspomnianych terminów ma istotny wpływ na zakres definicji pojęcia „incydent związany z ICT” oraz „poważny incydent związany z ICT”, a co za tym idzie na zakres obowiązków wynikających z Rozporządzenia DORA, w których pojęcia te są wykorzystywane.
W kontekście definicji incydentu związanego z ICT można wskazać na to, że użycie w nim terminu „bezpieczeństwo sieci i systemów informatycznych” ma kluczowe znaczenie dla zakresu omawianej definicji. W ramach definicji pojęcia bezpieczeństwa sieci i systemów informatycznych odwołano się bowiem do wszelkich zdarzeń, które mogą naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem. W związku z użyciem tak szerokiego terminu (wszelkie zdarzenia) można argumentować, że przyczyną incydentów związanych z ICT mogą być nie tylko cyberataki, ale również np. awarie. Wniosek taki potwierdza wprowadzenie w Rozporządzeniu DORA pojęcia „cyberatak”, o węższym zakresie niż „incydent związany z ICT”10, jak również treść motywu 79 dyrektywy NIS2. Wskazano w nim, że „ponieważ zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji (…)”.
W definicji „poważnego incydentu związanego z ICT” wykorzystano pojęcie „incydent związany z ICT”. Dlatego kwestia omówiona w poprzednim akapicie będzie miała znaczenie również dla poważnych incydentów związanych z ICT. Jednocześnie, zakres pojęcia „poważny incydent związany z ICT” został zawężony w Rozporządzeniu DORA w stosunku do pojęcia „incydent związany z ICT” przez wskazanie na dalej idące skutki jego wystąpienia. Poważnym incydentem związanym z ICT jest więc w świetle Rozporządzenia DORA taki incydent związany z ICT, który ma duży negatywny wpływ na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. Z jednej więc strony negatywny wpływ poważnego incydentu związanego z ICT na sieci i systemy informatyczne powinien być „duży” (takiej ocenie służyć będą kryteria klasyfikacji, o czym będzie mowa w kolejnej części opracowania). Z drugiej zaś strony poważny incydent związany z ICT powinien mieć wpływ na takie sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego (w zakresie ustalania, co należy rozumieć pod pojęciem krytycznych lub istotnych funkcji podmiotu finansowego, duże znaczenie będzie miała przywołana definicja krytycznych lub istotnych funkcji).
Dodatkowo, w Rozporządzeniu DORA zdefiniowano pojęcia istotne z perspektywy przepisów odwołujących się do cyberzagrożeń. Zgodnie z art. 3 pkt 12 Rozporządzenia DORA, przez cyberzagrożenie należy rozumieć „cyberzagrożenie zdefiniowane w art. 2 pkt 8 rozporządzenia (UE) 2019/881”. Uwzględniając odesłanie11, obejmuje to „wszelkie potencjalne okoliczności, zdarzenie lub działanie, które mogą wyrządzić szkodę, spowodować zakłócenia lub w inny sposób niekorzystnie wpłynąć w przypadku sieci i systemów informatycznych, użytkowników takich systemów oraz innych osób”. Zgodnie zaś z art. 2 pkt 13 Rozporządzenia DORA, przez znaczące cyberzagrożenie należy rozumieć „cyberzagrożenie, którego charakterystyka techniczna wskazuje, że potencjalnie może spowodować poważny incydent związany z ICT lub poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami”.
W świetle przywołanych definicji podkreślić można przede wszystkim potencjalny charakter zjawisk, które mogą być cyberzagrożeniem, jak i ich szerokie ujęcie (wszelkie potencjalne okoliczności, zdarzenie lub działanie). Ważne jest także to, że definicja znaczącego cyberzagrożenia odwołuje się do zdefiniowanego terminu „cyberzagrożenie”, zaś jego znaczący charakter definiowany jest z perspektywy potencjalnych skutków, tj. możliwości spowodowania przez dane cyberzagrożenie poważnego incydentu związanego z ICT lub poważnego incydentu operacyjnego lub poważnego incydentu w zakresie bezpieczeństwa związanego z płatnościami. Podkreśla to powiązanie definicji znaczącego cyberzagrożenia z poważnymi incydentami.
Przegląd obowiązków Rozporządzenia DORA w obszarze zarządzania incydentami związanymi z ICT
W ramach obowiązków w zakresie incydentów związanych z ICT na podmioty finansowe nałożono obowiązek określania, ustanawiania i wdrażania procesu zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania12.
Dodatkowo, zgodnie z art. 17 ust. 2 Rozporządzenia DORA, na podmiotach finansowych ciąży obowiązek rejestrowania wszystkich incydentów związanych z ICT. Przepis ten przewiduje także obowiązek podmiotów finansowych dotyczący ustanowienia odpowiednich procedur i procesów, które mają zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT oraz obsługę takich incydentów, a także działania następcze w związku z takimi incydentami, aby zapewnić zidentyfikowanie, udokumentowanie i wyeliminowanie podstawowych przyczyn. Ma to zapobiec występowaniu takich incydentów.
Rozporządzenie DORA wskazuje na niezbędne elementy procesu zarządzania incydentami związanymi z ICT13 i są nimi:
a) wprowadzenie wskaźników wczesnego ostrzegania;
b) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1 Rozporządzenia DORA;
c) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
d) określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 Rozporządzenia DORA oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci;
e) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
f) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
Zakres obowiązków dotyczących zarządzania incydentami związanymi z ICT określony jest w rozdziale III Rozporządzenia DORA, o których będzie jeszcze mowa w kolejnej części opracowania. Co istotne, dla realizacji omawianych obowiązków mogą mieć także znaczenie inne przepisy Rozporządzenia DORA. Przykładem mogą tu być: