Artykuł
Rozporządzenie DORA - zarządzanie ryzykiem z ICT w świetle projektu regulacyjnego standardu technicznego
W artykule "Europejskie Urzędy Nadzoru konsultują pierwszą partię standardów technicznych dotyczących rozporządzenia DORA" wskazaliśmy, że Europejskie Urzędy Nadzoru (EUNB, EIOPA oraz ESMA, łącznie „EUN”) rozpoczęły w dniu 19 czerwca 2023 r. konsultacje społeczne w sprawie pierwszej partii standardów technicznych na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (tzw. „DORA”).
Ze względu na wzajemne powiązania tematyczne, mandaty art. 15 oraz art. 16 ust. 3 rozporządzenia DORA zostały połączone w jeden projekt standardów technicznych, aby kompleksowo zająć się tematem zarządzania ryzykiem ICT.
Przesuń stronę do:
- Powiązanie RTS z istniejącymi przepisami i standardami w obszarze rozporządzenia DORA
- Wymogi wynikające z RTS
- Uproszczone ramy zarządzania ryzykiem – rozporządzenie DORA
- Dalsze kroki
W ramach tej publikacji przedstawiamy przegląd tego co znalazło się w projekcie RTS dotyczącym ram oraz uproszczonych ram zarządzania ryzykiem związanym z ICT („RTS”).
Ze względu na wzajemne powiązania tematyczne, mandaty art. 15 oraz art. 16 ust. 3 rozporządzenia DORA zostały połączone w jeden projekt standardów technicznych, aby kompleksowo zająć się tematem zarządzania ryzykiem ICT.
Struktura RTS jest w dużej mierze zgodna z uprawnieniami przyznanymi EUN na mocy art. 15 i art. 16 ust. 3 DORA, co zostało zobrazowane w poniższej grafice.
Podkreślić należy, iż wymogi określone w standardach stanowią uzupełnienie wymogów dotyczących ram zarządzania ryzykiem w zakresie ICT, które zostały już określone w DORA, a zatem powinny być odczytywane w połączeniu z artykułami powiązanymi z rozporządzeniem DORA (art. 1-14 DORA).
Powiązanie RTS z istniejącymi przepisami i standardami w obszarze rozporządzenia DORA
Zapoznając się z RTS, nie sposób nie zauważyć silnej synergii z wytycznymi EBA i EIOPA w zakresie zarządzania ryzykiem ICT i bezpieczeństwa, a także bezpośrednio odniesień do innych europejskich i międzynarodowych przepisów i standardów (w tym m.in. NIS 2, ram cyberbezpieczeństwa NIST, a także norm z rodziny ISO 27000). Celem EUN jest bowiem dalsza harmonizacja, a także uzupełnienie istniejących już wymogów i ich doprecyzowanie, a nie tworzenie zupełnie nowego standardu zarządzania ryzykiem ICT.
Zobacz również:
Rozporządzenie DORA - zarządzanie ryzykiem z ICT w świetle projektu regulacyjnego standardu technicznego
Dowiedz się więcej!Wymogi wynikające z RTS
Omawiany RTS jest dość rozbudowany i zawiera dużo szczegółowych postanowień, niemniej chcielibyśmy zwrócić Państwa uwagę w szczególności na:
- wymóg opracowania, udokumentowania i wdrożenia polityki zarządzania zasobami ICT;
- wymóg opracowania, udokumentowania i wdrożenia kompleksowej polityki szyfrowania i kontroli kryptograficznej (w tym polityki zarządzania kluczami);
- wymogi dot. polityk, procedur, protokołów i narzędzi wspierających zarządzanie bezpieczeństwem sieci (w tym obejmujące segregacje i segmentacja systemów i sieci teleinformatycznych z uwzględnieniem krytyczności lub znaczenia funkcji, którą wspierają, klasyfikacji i ogólnego profilu ryzyka zasobów teleinformatycznych, które z nich korzystają);
- wymóg opracowania, udokumentowania i wdrożenia polityki w zakresie nabywania, rozwoju i utrzymania systemów ICT (określającą m.in. środki mające na celu ograniczenie ryzyka niezamierzonej zmiany lub celowej manipulacji systemami ICT podczas ich rozwoju, utrzymywania i wdrażania w środowisku produkcyjnym);
- wymóg udokumentowania procedur operacyjnych ICT, w tym zarządzania zasobami, monitorowania przepustowości i wydajności (w tym optymalizacji zasobów) oraz zarządzania podatnościami i poprawkami.
Dostrzegliśmy również kilka nowości, które uprzednio nie zostały wprost wskazane w rozporządzeniu DORA:
- Wyodrębniono rozdział dot. bezpieczeństwa operacji ICT w ramach którego położono szczególny nacisk na operacyjne aspekty bezpieczeństwa ICT, w tym zarządzanie przepustowością i wydajnością.
- Rozszerzono zakres rozdziału zarządzania zmianami ICT o zarządzanie projektami ICT, w którym dodatkowo uwzględniono aspekt rozwoju, pozyskiwania i utrzymania systemów ICT.
- W ramach bezpieczeństwa fizycznego RTS wprowadzono wymóg polityki bezpieczeństwa fizycznego i środowiskowego, która ma zawierać postanowienia dot. bezpieczeństwa pomieszczeń, centrów danych i sprzętu komputerowego.
Uproszczone ramy zarządzania ryzykiem – rozporządzenie DORA
Zgodnie z art. 16 rozporządzenia DORA niektóre organizacje (w zależności od ich wielkości, skali, sektora i/lub złożoności) będą mogły ustanowić i utrzymywać uproszczone ramy zarządzania ryzykiem ICT w ramach DORA zgodnie z zasadą proporcjonalności. RTS określają kluczowe elementy w tym zakresie.
Zakres uproszczonych ram jest podobny do standardowych ram - z wyłączeniem niektórych konkretnych obszarów związanych z szyfrowaniem i zasobami ludzkimi. Oznacza to, że nadal wymagane będą następujące elementy:
- Zarządzanie ryzykiem ICT: polityka obejmująca jasne określenie ról i obowiązków; klasyfikacja informacji i zasobów ICT; proces zarządzania ryzykiem ICT; proces zarządzania incydentami związanymi z ICT; oraz jasne podejście do bezpieczeństwa fizycznego i środowiskowego.
- Ograniczanie ryzyka: procesy związane z dostępem logicznym i fizycznym; monitorowanie i zarządzanie zasobami ICT; ochrona danych; testowanie bezpieczeństwa ICT, oraz nabywanie, rozwój i utrzymanie systemów ICT.
- Zarządzanie ciągłością działania ICT: obejmujące przeprowadzanie analizy wpływu na działalność oraz opracowywanie, zatwierdzanie i testowanie planów ciągłości działania ICT; oraz
- Raportowanie ram zarządzania ryzykiem ICT: przedkładanie przeglądu ram zarządzania ryzykiem ICT odpowiednim organom na żądanie.
Dalsze kroki
Komentarze w ramach konsultacji społecznych w zakresie omawianego projektu RTS przyjmowane będą do 11 września 2023 r. Następnie, po uwzględnieniu otrzymanych uwag, sfinalizowana wersja RTS zostanie przedłożona Komisji Europejskiej w dniu 17 stycznia 2024 r. Powyższe oznacza, że treść RTS może się jeszcze zmienić, niemniej zdecydowanie warto się już z nim zapoznać, aby mieć lepsze wyobrażenie czego można się spodziewać w przyszłości ze strony EUN.
Rekomendowane strony
Q&A: Rozporządzenie DORA - odpowiadamy na najczęściej zadawane pytania!
Bądź na bieżąco w zakresie rozporządzenia DORA!
Rozporządzenie DORA w sprawie operacyjnej odporności cyfrowej sektora finansowego
Ostatni etap na drodze do przyjęcia nowych przepisów - rozporządzenie DORA