Rozporządzenie DORA – co oznacza dla sektora finansowego?

Unijne Rozporządzenie DORA, wprowadzone 16 stycznia 2023 r., już weszło w życie. Zaczęło obowiązywać od 17 stycznia 2025 r. i obejmuje m.in. podmioty finansowe, które miały aż dwa lata na dostosowanie się do nowych regulacji prawnych. Celem rozporządzenia jest wzmocnienie odporności na incydenty związane z technologiami informacyjno-komunikacyjnymi (ICT). Na sektor finansowy narzucono nowe obowiązki, które mają zwiększyć bezpieczeństwo cyfrowe i zapewnić ciągłość działania usług bez ryzyka.

DORA i EBC wzmacniają odporność cyfrową

Na drodze do zwiększenia operacyjnej odporności cyfrowej podmioty finansowe stają przed wyzwaniem dostosowania się do nowych przepisów związanych z cyfryzacją i cyberbezpieczeństwem.

Europejski Bank Centralny wskazał w raporcie SREP najważniejsze obszary, w których sektor finansowy ma największe niedociągnięcia. Mowa o zarządzaniu ryzykiem związanym z outsourcingiem IT i zarządzaniem bezpieczeństwem IT oraz ryzykiem cybernetycznym. W związku z tym instytucje finansowe muszą jeszcze skuteczniej kontrolować usługi IT, które zlecają zewnętrznym firmom, a także w lepszy sposób zabezpieczać swoje systemy przed cyberatakami.

W odpowiedzi na przytoczone wyzwania Rada ds. Nadzoru EBC wyznaczyła priorytety nadzorcze na lata 2025-2027. Jednym z istotnych elementów jest ulepszenie strategii transformacji cyfrowej. Nie bez znaczenia pozostaje też dostosowanie się do zagrożeń wynikających z nowych technologii. Takie podejście znajduje również odzwierciedlenie w unijnym rozporządzeniu DORA, które obowiązuje od 17 stycznia 2025 r.

Nowe przepisy narzucają podmiotom finansowym obowiązek wdrożenia ścisłych zasad dotyczących bezpieczeństwa cyfrowego. W praktyce chodzi o zarządzanie i testowanie ryzyka ICT, kontrolowanie ryzyka związanego z dostawcami IT, a także opracowywanie skutecznych procedur w razie incydentów cybernetycznych. DORA kładzie również nacisk na wymianę informacji o zagrożeniach między instytucjami, aby jeszcze bardziej zwiększyć odporność całego sektora.

Zakres podmiotowy Rozporządzenia DORA

Unijne Rozporządzenie DORA obejmuje podmioty działające w sektorze finansowym. Są to:

• Banki i instytucje kredytowe – zobowiązane do wdrożenia zaawansowanych mechanizmów zarządzania ryzykiem ICT i zapewnienia ciągłości operacyjnej.
• Firmy inwestycyjne – które muszą dostosować swoje systemy do nowych standardów bezpieczeństwa i regularnie testować odporność na incydenty cybernetyczne.
• Zakłady ubezpieczeń i zakłady ubezpieczeń pośrednich (reasekuracji) – zobligowane do monitorowania i raportowania incydentów ICT, a także zarządzania ryzykiem związanym z dostawcami zewnętrznymi.
• Instytucje płatnicze i instytucje pieniądza elektronicznego – zobligowane do zapewnienia bezpieczeństwa transakcji i ochrony danych klientów poprzez wdrożenie odpowiednich procedur.
• Dostawcy usług w zakresie krypto-aktywów – zobowiązani do spełnienia nowych wymogów w zakresie zarządzania ryzykiem ICT i raportowania incydentów.
• Dostawcy usług w chmurze i innych usług ICT – którzy podlegają nadzorowi, muszą spełniać określone standardy bezpieczeństwa i współpracować z instytucjami finansowymi w zakresie zarządzania ryzykiem.

Czy sektor finansowy jest gotowy do wdrożenia przepisów DORA?

Przez ostanie dwa lata podmioty finansowe, zwłaszcza banki, prowadziły intensywne prace nad dostosowaniem swoich systemów i procedur do wymogów Rozporządzenia DORA. Efekty działań są zadowalające, a dowodem na zaawansowaną gotowość są wyniki ćwiczeń Cyber-EXE Polska 2024, które odbyły się we wrześniu ubiegłego roku.

W ćwiczeniach wzięło udział 18 podmiotów, wśród których wymienić można czołowych przedstawicieli największych polskich banków, np. PKO BP, Santander Bank Polska, mBank, BNP Paribas czy Alior Bank. Nie zabrakło również krajowych CSIRT (MON, GOV, NASK) i sektorowego CSIRT KNF.

Główne cele ćwiczeń obejmowały:

• Weryfikacje operacyjnych zdolności systemu cyberbezpieczeństwa sektora bankowego.
• Komunikację między instytucjami w sytuacjach kryzysowych.
• Podniesienie świadomości wśród organów odpowiedzialnych za zarządzanie kryzysowe.

Celem głównym było przygotowanie podmiotów sektora finansowego do wdrożenia i działania zgodnie z nowymi regulacjami DORA i nowelizacją Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Jakie były wyniki? Ćwiczenia potwierdziły, że banki są odpowiednio przygotowane do działania zgodnie z nowymi wymogami. Mimo wszystko wyróżniono obszary wymagające dalszej pracy. Podczas wydarzenia udało się np. prawidłowo zaklasyfikować incydent w ramach regulacyjnych standardów technicznych. Wystąpiły jednak pewne trudności interpretacyjne przy wypełnianiu formularzy zgłoszeń incydentów. To z pewnością wskazuje na potrzebę dalszego szkolenia z udziałem KNF.

Ostatecznie potwierdzono, że banki dysponują odpowiednimi narzędziami do klasyfikacji incydentów. To wskazuje na wysoką gotowość instytucji do reagowania na zagrożenia.

Zespoły bankowe posiadają niezbędne kompetencje techniczne do realizacji zadań związanych z zarządzaniem incydentami, w zgodzie z wymaganiami DORA i NIS2. Dotyczy to zdolności do zbierania i analizowania artefaktów w celu identyfikacji poważnych incydentów. We wnioskach wskazano na konieczność dalszego rozwoju umiejętności, zwłaszcza w zakresie thread hunting (poszukiwania zagrożeń) i analizy powłamaniowej, które mogą pomóc w jeszcze szybszym wykrywaniu i reagowaniu na incydenty cybernetyczne.