Rozporządzenie DORA - zarządzanie ryzykiem z ICT w świetle projektu regulacyjnego standardu technicznego

W ramach tej publikacji przedstawiamy przegląd tego co znalazło się w projekcie RTS dotyczącym ram oraz uproszczonych ram zarządzania ryzykiem związanym z ICT („RTS”).

Ze względu na wzajemne powiązania tematyczne, mandaty art. 15 oraz art. 16 ust. 3 rozporządzenia DORA zostały połączone w jeden projekt standardów technicznych, aby kompleksowo zająć się tematem zarządzania ryzykiem ICT.
Struktura RTS jest w dużej mierze zgodna z uprawnieniami przyznanymi EUN na mocy art. 15 i art. 16 ust. 3 DORA, co zostało zobrazowane w poniższej grafice.

Podkreślić należy, iż wymogi określone w standardach stanowią uzupełnienie wymogów dotyczących ram zarządzania ryzykiem w zakresie ICT, które zostały już określone w DORA, a zatem powinny być odczytywane w połączeniu z artykułami powiązanymi z rozporządzeniem DORA (art. 1-14 DORA).

Powiązanie RTS z istniejącymi przepisami i standardami w obszarze rozporządzenia DORA

Zapoznając się z RTS, nie sposób nie zauważyć silnej synergii z wytycznymi EBA i EIOPA w zakresie zarządzania ryzykiem ICT i bezpieczeństwa, a także bezpośrednio odniesień do innych europejskich i międzynarodowych przepisów i standardów (w tym m.in. NIS 2, ram cyberbezpieczeństwa NIST, a także norm z rodziny ISO 27000). Celem EUN jest bowiem dalsza harmonizacja, a także uzupełnienie istniejących już wymogów i ich doprecyzowanie, a nie tworzenie zupełnie nowego standardu zarządzania ryzykiem ICT.

Wymogi wynikające z RTS

Omawiany RTS jest dość rozbudowany i zawiera dużo szczegółowych postanowień, niemniej chcielibyśmy zwrócić Państwa uwagę w szczególności na:

• wymóg opracowania, udokumentowania i wdrożenia polityki zarządzania zasobami ICT;
• wymóg opracowania, udokumentowania i wdrożenia kompleksowej polityki szyfrowania i kontroli kryptograficznej (w tym polityki zarządzania kluczami);
• wymogi dot. polityk, procedur, protokołów i narzędzi wspierających zarządzanie bezpieczeństwem sieci (w tym obejmujące segregacje i segmentacja systemów i sieci teleinformatycznych z uwzględnieniem krytyczności lub znaczenia funkcji, którą wspierają, klasyfikacji i ogólnego profilu ryzyka zasobów teleinformatycznych, które z nich korzystają);
• wymóg opracowania, udokumentowania i wdrożenia polityki w zakresie nabywania, rozwoju i utrzymania systemów ICT (określającą m.in. środki mające na celu ograniczenie ryzyka niezamierzonej zmiany lub celowej manipulacji systemami ICT podczas ich rozwoju, utrzymywania i wdrażania w środowisku produkcyjnym);
• wymóg udokumentowania procedur operacyjnych ICT, w tym zarządzania zasobami, monitorowania przepustowości i wydajności (w tym optymalizacji zasobów) oraz zarządzania podatnościami i poprawkami.

Dostrzegliśmy również kilka nowości, które uprzednio nie zostały wprost wskazane w rozporządzeniu DORA:

1. Wyodrębniono rozdział dot. bezpieczeństwa operacji ICT w ramach którego położono szczególny nacisk na operacyjne aspekty bezpieczeństwa ICT, w tym zarządzanie przepustowością i wydajnością.
2. Rozszerzono zakres rozdziału zarządzania zmianami ICT o zarządzanie projektami ICT, w którym dodatkowo uwzględniono aspekt rozwoju, pozyskiwania i utrzymania systemów ICT.
3. W ramach bezpieczeństwa fizycznego RTS wprowadzono wymóg polityki bezpieczeństwa fizycznego i środowiskowego, która ma zawierać postanowienia dot. bezpieczeństwa pomieszczeń, centrów danych i sprzętu komputerowego.

Uproszczone ramy zarządzania ryzykiem – rozporządzenie DORA

Zgodnie z art. 16 rozporządzenia DORA niektóre organizacje (w zależności od ich wielkości, skali, sektora i/lub złożoności) będą mogły ustanowić i utrzymywać uproszczone ramy zarządzania ryzykiem ICT w ramach DORA zgodnie z zasadą proporcjonalności. RTS określają kluczowe elementy w tym zakresie.

Zakres uproszczonych ram jest podobny do standardowych ram - z wyłączeniem niektórych konkretnych obszarów związanych z szyfrowaniem i zasobami ludzkimi. Oznacza to, że nadal wymagane będą następujące elementy:

• Zarządzanie ryzykiem ICT: polityka obejmująca jasne określenie ról i obowiązków; klasyfikacja informacji i zasobów ICT; proces zarządzania ryzykiem ICT; proces zarządzania incydentami związanymi z ICT; oraz jasne podejście do bezpieczeństwa fizycznego i środowiskowego.
• Ograniczanie ryzyka: procesy związane z dostępem logicznym i fizycznym; monitorowanie i zarządzanie zasobami ICT; ochrona danych; testowanie bezpieczeństwa ICT, oraz nabywanie, rozwój i utrzymanie systemów ICT.
• Zarządzanie ciągłością działania ICT: obejmujące przeprowadzanie analizy wpływu na działalność oraz opracowywanie, zatwierdzanie i testowanie planów ciągłości działania ICT; oraz
• Raportowanie ram zarządzania ryzykiem ICT: przedkładanie przeglądu ram zarządzania ryzykiem ICT odpowiednim organom na żądanie.

Dalsze kroki

Komentarze w ramach konsultacji społecznych w zakresie omawianego projektu RTS przyjmowane będą do 11 września 2023 r. Następnie, po uwzględnieniu otrzymanych uwag, sfinalizowana wersja RTS zostanie przedłożona Komisji Europejskiej w dniu 17 stycznia 2024 r. Powyższe oznacza, że treść RTS może się jeszcze zmienić, niemniej zdecydowanie warto się już z nim zapoznać, aby mieć lepsze wyobrażenie czego można się spodziewać w przyszłości ze strony EUN.