Wymagania Rozporządzenia DORA
Rozporządzenie DORA nakłada na podmioty finansowe wymogi w obszarze zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. Część z nich została już omówiona w poprzednich opracowaniach dotyczących wymagań Rozporządzenia DORA.
W tym artykule podsumujemy obowiązki wynikające z Rozporządzenia DORA w zakresie zarządzania incydentami związanymi z ICT oraz klasyfikacji i dobrowolnego powiadamiania o znaczących cyberzagrożeniach. W artykule poruszamy kwestie związane ze zgłaszaniem poważnych incydentów związanych z ICT w kontekście poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami. Dodatkowo przyjrzymy się przepisom rozdziału III Rozporządzenia DORA w aspekcie cyberzagrożeń i znaczących cyberzagrożeń.
Zgłaszanie poważnych incydentów związanych z ICT a poważne incydenty operacyjne lub poważne incydenty bezpieczeństwa związane z płatnościami
Obowiązki podmiotów finansowych wynikające z Rozporządzenia DORA odnoszą się również do incydentów operacyjnych oraz incydentów bezpieczeństwa związanych z płatnościami. Dotyczą też poważnych incydentów operacyjnych lub poważnych incydentów w zakresie bezpieczeństwa związanych z płatnościami. Pojęcia te zostały zdefiniowane w Rozporządzeniu DORA w następujący sposób:
Aby uniknąć nadmiernych obciążeń regulacyjnych, Rozporządzenie DORA przewiduje wyłączenie obowiązku zgłaszania incydentów zgodnie z dyrektywą PSD21 w stosunku do dostawców usług płatniczych objętych Rozporządzeniem DORA. Wskazuje na to art. 23 Rozporządzenia DORA, zgodnie z którym wymogi określone w rozdziale III tego rozporządzenia mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego. Odwołanie do omawianych kategorii podmiotów finansowych znajduje się również w definicji incydentu operacyjnego lub incydentu w zakresie bezpieczeństwa związanego z płatnościami.
Wniosek ten potwierdza treść motywu 23 Rozporządzenia DORA. Wskazano w nim wprost, że instytucje kredytowe, instytucje pieniądza elektronicznego, instytucje płatnicze i dostawcy świadczący usługę dostępu do informacji o rachunku, objęci wymogiem raportowania incydentów na gruncie dyrektywy PSD2, wszelkie incydenty operacyjne lub incydenty w zakresie bezpieczeństwa związane z płatnościami, które wcześniej były przez nich zgłaszane zgodnie z dyrektywą PSD2, powinni zgłaszać, zgodnie z Rozporządzeniem DORA, od daty rozpoczęcia jego stosowania. Rozwiązanie takie ma na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie potencjalnie powielających się obowiązków w zakresie zgłaszania incydentów w przypadku niektórych podmiotów finansowych, prowadzących działalność w zakresie usług płatniczych.
Z omawianym rozwiązaniem skorelowane są także zmiany dyrektywy PSD2 wprowadzone dyrektywą 2022/25562 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego. W uzasadnieniu tych zmian wskazano, że aby zmniejszyć obciążenia administracyjne oraz uniknąć złożoności i powielania wymogów w zakresie sprawozdawczości, zawarte w dyrektywie PSD2 przepisy dotyczące zgłaszania incydentów powinny przestać obowiązywać w stosunku do dostawców usług płatniczych, których sytuacja jest uregulowana w tej dyrektywie, i którzy także podlegają Rozporządzeniu DORA. Tym samym, ma to umożliwić takim dostawcom korzystanie z jednolitego, zharmonizowanego mechanizmu zgłaszania incydentów w odniesieniu do wszystkich incydentów operacyjnych lub incydentów w zakresie bezpieczeństwa związanych z płatnościami, niezależnie od tego, czy takie incydenty są związane z ICT.
Rozporządzenie DORA przewiduje również uwzględnienie poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami w aktach wykonawczych wydanych na jego podstawie. Obejmuje to:
a) regulacyjne standardy techniczne w zakresie klasyfikacji poważnych incydentów, które powinny stosownie do przypadku odnosić się także do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami (art. 18 ust. 3 lit. a) Rozporządzenia DORA);
b) regulacyjne standardy techniczne w zakresie treści zgłoszeń poważnych incydentów, które powinny w ramach szczegółowych informacji na temat incydentu uwzględniać wskazanie, czy stanowi on poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami (art. 20 akapit pierwszy lit. a) ppkt (i) Rozporządzenia DORA).
Zasada z art. 23 Rozporządzenia DORA nie odnosi się wyłącznie do samego zgłaszania poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami zgodnie z Rozporządzaniem DORA. Jej zastosowanie jest szersze, gdyż przepis ten wskazuje ogólnie na zastosowanie wymogów z rozdziału III Rozporządzenia DORA do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami oraz do poważnych incydentów operacyjnych lub poważnych incydentów bezpieczeństwa związanych z płatnościami, w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego. Do wymogów tych można przykładowo zaliczyć chociażby obowiązki związane z rejestrowaniem tego rodzaju incydentów czy też ich klasyfikacją.
Przepisy rozdziału III Rozporządzenia DORA a cyberzagrożenia i znaczące cyberzagrożenia
Rozporządzenie DORA zawiera także przepisy odnoszące się do cyberzagrożeń oraz znaczących cyberzagrożeń. Ich celem jest wzmocnienie operacyjnej odporności cyfrowej podmiotów finansowych.
Pierwszy z wymogów Rozporządzenia DORA w omawianym zakresie dotyczy obowiązku rejestrowania przez podmioty finansowe wszystkich znaczących cyberzagrożeń. Wynika on z art. 17 ust. 2 Rozporządzenia DORA, w którym wprost wskazano, że „Podmioty finansowe rejestrują wszystkie (…) znaczące cyberzagrożenia (…)”.
Z wymogiem rejestrowania znaczących cyberzagrożeń powiązany jest obowiązek klasyfikowania cyberzagrożeń jako znaczących. Wynika on z art. 18 ust. 2 Rozporządzenia DORA. Wskazano w nim, że „Podmioty finansowe klasyfikują cyberzagrożenia jako znaczące (…)”. W przepisie tym wymienione są również kryteria, jakie należy uwzględniać przy takiej klasyfikacji. Podmiot finansowy powinien brać pod uwagę w tym zakresie:
a) krytyczność usług zagrożonych, w tym narażonych transakcji i operacji podmiotu finansowego,
b) liczbę lub znaczenie klientów lub kontrahentów finansowych, oraz
c) zasięg geograficzny zagrożonych obszarów.
W art. 18 ust. 3 Rozporządzenia DORA przewidziano zaś, że doprecyzowanie wymienionych kryteriów, w tym określenie wysokich progów istotności do celów ustalania znaczących cyberzagrożeń, następuje w regulacyjnych standardach technicznych, jako akcie wykonawczym do Rozporządzenia DORA.
Rozporządzenie DORA przewiduje również możliwość dobrowolnego powiadamiania właściwych organów o znaczących cyberzagrożeniach przez podmioty finansowe (art. 19 ust. 2 Rozporządzenia DORA). Może to nastąpić w przypadku, gdy podmiot finansowy uzna zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. Właściwy organ uprawniony jest z kolei do przekazania tych informacji do podmiotów wskazanych w art. 19 ust. 6 Rozporządzenia DORA, tj. m.in. do właściwych organów, pojedynczych punktów kontaktowych lub zespołów CSIRT, wyznaczonych lub ustanowionych zgodnie z dyrektywą Parlamentu Europejskiego i Rady (UE) 2022/25554. W art. 20 akapicie pierwszym lit. a) ppkt (iii) Rozporządzenia DORA przewidziano przy tym, że treść powiadomień o znaczących cyberzagrożeniach zostanie ustalona w regulacyjnych standardach technicznych. Wydanie wykonawczych standardów technicznych przewidziano zaś w art. 20 lit. b) Rozporządzenia DORA w odniesieniu do ustanowienia standardowych formularzy, wzorów i procedur stosowanych przez podmioty finansowe do celów powiadamiania o znaczących cyberzagrożeniach.
Dodatkowo, w Rozporządzeniu DORA przewidziano obowiązek informowania przez podmioty finansowe o znaczących cyberzagrożeniach, w stosownych przypadkach, klientów, których takie zagrożenia mogą dotyczyć (art. 19 ust. 3 Rozporządzenia DORA). Informacja taka powinna wskazywać na wszelkie odpowiednie środki ochrony, których podjęcie klienci mogą rozważyć.
W kontekście omówionych wymogów dotyczących cyberzagrożeń (w tym rejestrowania wszystkich znaczących cyberzagrożeń) można również dodać, że przepisy spoza rozdziału III Rozporządzenia DORA odnoszą się do możliwej wymiany informacji o cyberzagrożeniach pomiędzy podmiotami finansowymi. Dotyczy to art. 45 Rozporządzenia DORA (ustalenia dotyczące wymiany informacji).
Podsumowanie
Przegląd przepisów rozdziału III Rozporządzenia DORA potwierdza kluczowy charakter wymogów w obszarze zarządzania incydentami związanymi z ICT, w tym zgłaszania poważnych incydentów związanych z ICT właściwym organom, dla osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej podmiotów finansowych. Odnosi się to także do wymogów w obszarze dobrowolnego informowania właściwych organów o znaczących cyberzagrożeniach.
Jest to kompleksowe podejście prawodawcy unijnego do wspomnianych zagadnień. Omówione wymogi nie są bowiem ograniczone, np. tylko do raportowania określonych informacji właściwym organom. Obejmują one też inne procesy o charakterze ciągłym, jakie podmiot finansowy zobowiązany jest realizować, aby zapewnić zgodność prowadzonej działalności z wymogami Rozporządzenia DORA. Jednocześnie, dla dochowania części przedstawionych wymogów konieczne są działania w stosunku do klientów, co dotyczy choćby informowania ich o poważnych incydentach związanych z ICT, które mają istotny wpływ na ich interesy finansowe.
Przykład ten pokazuje, jak istotna dla prawidłowego wdrażania i realizacji wymogów Rozporządzenia DORA jest koordynacja działań i współpraca między wewnętrznymi komórkami podmiotu finansowego, które są odpowiedzialne za różne obszary jego działalności, nie ograniczając się wyłącznie do cyberbezpieczeństwa.
Przeprowadzony przegląd przepisów rozdziału III Rozporządzenia DORA pozwala sformułować tezę o kluczowym znaczeniu aktów wykonawczych do Rozporządzenia DORA (regulacyjnych standardów technicznych i wykonawczych standardów technicznych). Są one istotne dla ostatecznego kształtu wymogów dotyczących zarządzania incydentami związanymi z ICT oraz dotyczących cyberzagrożeń, a w szczególności znaczących cyberzagrożeń. Ważne pozostaje więc śledzenie przez podmioty finansowe procesu legislacyjnego dotyczącego omawianych aktów wykonawczych, aby uwzględnić je w działaniach dostosowawczych.
1Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylającą dyrektywę 2007/64/WE