Zagro\u017cenia w kwestii cyberbezpiecze\u0144stwa mog\u0105 mie\u0107 katastrofalne skutki nie tylko dla samej instytucji, ale r\u00f3wnie\u017c dla jej klient\u00f3w oraz szerzej poj\u0119tego rynku finansowego. Przerwy w dost\u0119pie do us\u0142ug ICT, utrata danych, a tak\u017ce spadek zaufania do instytucji p\u0142atniczych to tylko niekt\u00f3re z mo\u017cliwych konsekwencji. Dlatego kluczowym wymogiem, aby osi\u0105gn\u0105\u0107 wysoki poziom operacyjnej odporno\u015bci cyfrowej, jest sprawne zarz\u0105dzanie incydentami zwi\u0105zanymi z ICT oraz raportowanie ich do odpowiednich organ\u00f3w. W odpowiedzi na te wyzwania, Unia Europejska wprowadzi\u0142a Rozporz\u0105dzenie DORA (Digital Operational Resilience Act), kt\u00f3re ma na celu ujednolicenie podej\u015bcia do zarz\u0105dzania ryzykiem ICT w sektorze finansowym.<\/p>\n\n\n\n
Rozporz\u0105dzenie to nak\u0142ada na instytucje finansowe obowi\u0105zki zwi\u0105zane z identyfikacj\u0105 i klasyfikacj\u0105 incydent\u00f3w ICT oraz k\u0142adzie nacisk na zg\u0142aszanie powa\u017cnych incydent\u00f3w z tym zwi\u0105zanych. Przeczytaj artyku\u0142 i dowiedz si\u0119 o kluczowych definicjach zawartych w rozporz\u0105dzeniu oraz jakie s\u0105 wymagania i obowi\u0105zki podmiot\u00f3w finansowych. <\/p>\n\n\n\n
Zrozumienie kluczowych poj\u0119\u0107 i definicji zawartych w DORA jest niezb\u0119dne, aby odpowiednio zarz\u0105dza\u0107 incydentami zwi\u0105zanymi z ICT. Dzi\u0119ki temu organizacja mo\u017ce odpowiednio przygotowa\u0107 i wdro\u017cy\u0107 komplet wewn\u0119trznych procedur eskalacji, a tak\u017ce plan\u00f3w powiadamiania klient\u00f3w, je\u017celi taki incydent si\u0119 wydarzy. <\/p>\n\n\n\n
Rozporz\u0105dzenie DORA definiuje dwa rodzaje incydent\u00f3w zwi\u0105zanych z ICT:<\/p>\n\n\n\n
Rozporz\u0105dzenie Parlamentu Europejskiego i Rady (UE) definiuje tak\u017ce cyberzagro\u017cenie. Jest ono okre\u015blone jako ka\u017cde potencjalne zdarzenie, okoliczno\u015b\u0107 lub dzia\u0142anie, kt\u00f3re mo\u017ce zaszkodzi\u0107 lub zak\u0142\u00f3ci\u0107 dzia\u0142anie sieci i system\u00f3w informatycznych oraz wp\u0142yn\u0105\u0107 na u\u017cytkownik\u00f3w tych system\u00f3w. Znacz\u0105ce cyberzagro\u017cenie to takie, kt\u00f3re mo\u017ce spowodowa\u0107 powa\u017cny incydent zwi\u0105zany z ICT lub bezpiecze\u0144stwem, np. w kontek\u015bcie operacji p\u0142atniczych. Definicje te podkre\u015blaj\u0105 potencjalny charakter zagro\u017ce\u0144 oraz ich szeroki zakres, co jest kluczowe dla zrozumienia ich wp\u0142ywu na bezpiecze\u0144stwo cyfrowe.<\/p>\n\n\n\n
Warto zauwa\u017cy\u0107, \u017ce rozporz\u0105dzenie parlamentu europejskiego DORA wprowadza tak\u017ce inne poj\u0119cia, kt\u00f3re maj\u0105 kluczowe znaczenie w zrozumieniu zakresu incydent\u00f3w zwi\u0105zanych z ICT. Te poj\u0119cia s\u0105 szczeg\u00f3\u0142owo zdefiniowane w DORA i s\u0105 to:<\/p>\n\n\n\n
Zrozumienie powy\u017cszych poj\u0119\u0107 pozwala lepiej przygotowa\u0107 si\u0119 na potencjalne ryzyka i wdro\u017cenie procedur reagowania w organizacji. <\/p>\n\n\n\n
Rozporz\u0105dzenie DORA w celu wykrywania incydent\u00f3w zwi\u0105zanych z ICT wskazuje na niezb\u0119dne elementy procesu zarz\u0105dzania incydentami. Wed\u0142ug art. 17 ust. 3 s\u0105 nimi:<\/p>\n\n\n\n
a) wprowadzenie wska\u017anik\u00f3w wczesnego ostrzegania;<\/p>\n\n\n\n
b) ustanowienie procedur identyfikowania, \u015bledzenia, rejestrowania, kategoryzowania i klasyfikowania incydent\u00f3w zwi\u0105zanych z ICT wed\u0142ug ich priorytetu i dotkliwo\u015bci oraz krytyczno\u015bci us\u0142ug, na kt\u00f3re incydenty te maj\u0105 wp\u0142yw, zgodnie z kryteriami okre\u015blonymi w art. 18 ust. 1 Rozporz\u0105dzenia DORA;<\/p>\n\n\n\n
c) przydzielenie r\u00f3l i obowi\u0105zk\u00f3w, kt\u00f3re nale\u017cy wprowadzi\u0107 w przypadku r\u00f3\u017cnych rodzaj\u00f3w incydent\u00f3w zwi\u0105zanych z ICT i odnosz\u0105cych si\u0119 scenariuszy; <\/p>\n\n\n\n
d) okre\u015blenie plan\u00f3w dzia\u0142a\u0144 informacyjnych skierowanych do pracownik\u00f3w, interesariuszy zewn\u0119trznych i medi\u00f3w zgodnie z art. 14 Rozporz\u0105dzenia DORA oraz plan\u00f3w powiadamiania klient\u00f3w, plan\u00f3w dotycz\u0105cych wewn\u0119trznych procedur eskalacji, w tym skarg klient\u00f3w zwi\u0105zanych z ICT, jak r\u00f3wnie\u017c, w stosownych przypadkach, dostarczania informacji podmiotom finansowym dzia\u0142aj\u0105cym jako kontrahenci;<\/p>\n\n\n\n
e) zapewnienie zg\u0142aszania co najmniej powa\u017cnych incydent\u00f3w zwi\u0105zanych z ICT w\u0142a\u015bciwej kadrze kierowniczej wy\u017cszego szczebla oraz informowanie organu zarz\u0105dzaj\u0105cego co najmniej o powa\u017cnych incydentach zwi\u0105zanych z ICT wraz z wyja\u015bnieniem wp\u0142ywu, reakcji i dodatkowych kontroli, kt\u00f3re nale\u017cy ustanowi\u0107 w wyniku takich incydent\u00f3w zwi\u0105zanych z ICT; <\/p>\n\n\n\n
f) ustanowienie procedur reagowania na incydenty zwi\u0105zane z ICT w celu z\u0142agodzenia wp\u0142ywu i zapewnienia przywr\u00f3cenia operacyjno\u015bci oraz bezpiecze\u0144stwa us\u0142ug w rozs\u0105dnym terminie.<\/p>\n\n\n\n
Podsumowuj\u0105c, Rozporz\u0105dzenie DORA nak\u0142ada na instytucje finansowe szereg obowi\u0105zk\u00f3w zwi\u0105zanych z zarz\u0105dzaniem incydentami ICT, kt\u00f3re maj\u0105 na celu skuteczne wykrywanie, klasyfikowanie i reagowanie na wszelkie zagro\u017cenia. Wprowadzenie wska\u017anik\u00f3w wczesnego ostrzegania, ustanowienie odpowiednich procedur oraz okre\u015blenie r\u00f3l i obowi\u0105zk\u00f3w \u2013 to kluczowe elementy tego procesu, a dbanie o odpowiedni\u0105 komunikacj\u0119 i reagowanie na incydenty pozwala nie tylko na z\u0142agodzenie ich skutk\u00f3w, ale tak\u017ce na zapewnienie ci\u0105g\u0142o\u015bci i bezpiecze\u0144stwa us\u0142ug. <\/p>\n\n\n\n
Rozporz\u0105dzenie Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporno\u015bci cyfrowej sektora finansowego nak\u0142ada na podmioty finansowe konkretne obowi\u0105zki w kontek\u015bcie zarz\u0105dzania incydentami ICT. <\/p>\n\n\n\n
Podmioty finansowe zobowi\u0105zane s\u0105 do szeregu dzia\u0142a\u0144, kt\u00f3re s\u0105 okre\u015blone w rozdziale III DORA i kt\u00f3re zosta\u0142y doprecyzowane w projektach regulacyjnych standard\u00f3w technicznych. S\u0105 to mi\u0119dzy innymi:<\/p>\n\n\n\n
Instytucje finansowe musz\u0105 opracowa\u0107 plany na wypadek sytuacji kryzysowych, kt\u00f3re umo\u017cliwi\u0105 odpowiedzialne ujawnianie powa\u017cnych incydent\u00f3w zwi\u0105zanych z ICT. Plany te powinny przewidywa\u0107 informowanie klient\u00f3w, kontrahent\u00f3w, a w razie potrzeby tak\u017ce opinii publicznej o zaistnia\u0142ych zagro\u017ceniach.<\/p>\n\n\n\n
Kolejnym obowi\u0105zkiem jest stworzenie mechanizm\u00f3w pozwalaj\u0105cych na szybkie wykrywanie nietypowych dzia\u0142a\u0144 w systemach ICT, w tym problem\u00f3w zwi\u0105zanych z wydajno\u015bci\u0105 sieci oraz incydent\u00f3w, kt\u00f3re mog\u0105 prowadzi\u0107 do powa\u017cnych zak\u0142\u00f3ce\u0144. W ramach tych dzia\u0142a\u0144 instytucje musz\u0105 tak\u017ce identyfikowa\u0107 potencjalne kluczowe punkty awarii, kt\u00f3re mog\u0105 zagra\u017ca\u0107 ci\u0105g\u0142o\u015bci dzia\u0142ania.<\/p>\n\n\n\n
Instytucje finansowe s\u0105 zobowi\u0105zane do zapewnienia wystarczaj\u0105cych zasob\u00f3w i narz\u0119dzi do monitorowania dzia\u0142alno\u015bci u\u017cytkownik\u00f3w system\u00f3w ICT. Obejmuje to wykrywanie nieprawid\u0142owo\u015bci, takich jak nietypowe dzia\u0142ania czy cyberataki, oraz skuteczne reagowanie na takie incydenty.<\/p>\n\n\n\n
Dodatkowo, przepisy Rozporz\u0105dzenia DORA przewiduj\u0105, \u017ce niekt\u00f3re szczeg\u00f3\u0142y dotycz\u0105ce zarz\u0105dzania ryzykiem ICT, istotne dla zapobiegania i reagowania na incydenty, b\u0119d\u0105 doprecyzowane w regulacyjnych standardach technicznych opracowywanych przez Europejskie Urz\u0119dy Nadzoru. Te standardy maj\u0105 na celu usprawnienie proces\u00f3w zwi\u0105zanych z wykrywaniem i reakcj\u0105 na zagro\u017cenia ICT.<\/p>\n\n\n\n
Jednym z kluczowych element\u00f3w odporno\u015bci cyfrowej jest transparentno\u015b\u0107 w raportowaniu incydent\u00f3w oraz zagro\u017ce\u0144. Dlatego instytucje finansowe s\u0105 zobowi\u0105zane do zg\u0142aszania powa\u017cnych incydent\u00f3w zwi\u0105zanych z ICT, co pozwala na lepsz\u0105 koordynacj\u0119 dzia\u0142a\u0144 naprawczych oraz zapobiegawczych na poziomie ca\u0142ego sektora, a tak\u017ce zintegrowane monitorowanie incydent\u00f3w zwi\u0105zanych z ICT.<\/p>\n\n\n\n
Rozporz\u0105dzenie DORA zach\u0119ca r\u00f3wnie\u017c do dobrowolnego informowania organ\u00f3w nadzoru o wszelkich cyberzagro\u017ceniach, kt\u00f3re mog\u0105 potencjalnie przerodzi\u0107 si\u0119 w powa\u017cne incydenty.<\/p>\n\n\n\n
Taka wymiana informacji jest nieoceniona dla budowania wsp\u00f3lnej odporno\u015bci cyfrowej z zewn\u0119trznymi dostawcami us\u0142ug ICT, poniewa\u017c w obliczu rosn\u0105cych zagro\u017ce\u0144 staje si\u0119 jednym z filar\u00f3w bezpiecze\u0144stwa sektora finansowego.<\/p>\n\n\n\n