Wdrożenie DORA: inspiracje z modelu brytyjskiego dla instytucji w UE

Implementacja Rozporządzenia DORA (nr 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego) Parlamentu Europejskiego i Rady UE powinna zacząć się już w tym roku. Rozporządzenie weszło w życie w styczniu 2023 r., a dwuletni okres na jego wdrożenie zakończy się 17 stycznia 2025 r. W tym czasie Europejskie Urzędy Nadzoru opracują szeroki zakres aktów wykonawczych drugiego stopnia – regulacyjnych standardów technicznych (RTS) oraz wykonawczych standardów technicznych (ITS).

DORA będzie miała wpływ niemalże na wszystkie regulowane instytucje w sektorze usług finansowych w UE. Jednak wiele z nich nie opracowało jeszcze strategii jej wdrożenia, a ponieważ do ostatecznego terminu spełnienia wymogów DORA pozostał niewiele ponad rok, instytucje zobowiązane czeka jeszcze wiele do zrobienia w perspektywie krótkoterminowej, by rzetelnie przygotować się do tego wdrożenia.

Brytyjskie instytucje finansowe wyprzedzają o dwa lata wdrażanie własnych ram odporności operacyjnej. Przedsiębiorstwa z UE, które obejmuje DORA, powinny wykorzystać ich doświadczenie i czerpać inspirację z rynku brytyjskiego przy opracowywaniu własnej strategii wdrażania.

DORA i brytyjskie ramy operacyjnej odporności cyfrowej

Brytyjskie i europejskie ramy operacyjnej odporności cyfrowej są regulowane w tym samym obszarze, ale różnią się w wielu aspektach. Poniżej niektóre z ich najważniejszych różnic:

• Z góry na dół vs. z dołu do góry. DORA przyjmuje podejście normatywne, ponieważ opiera się na zestawie wiążących wymogów prawnych dla podmiotów finansowych.
  Z kolei brytyjskie organy regulacyjne stworzyły ramy nadzorcze oparte przede wszystkim na zasadach, które pozostawiają organom nadzoru możliwość kierowania się własnym osądem przy ocenie szerszego zestawu wyników w zakresie odporności.
• Koncentracja na ryzyku. UE koncentruje się przede wszystkim na określonym zestawie zagrożeń, wynikających z zakłócenia granic ryzyka związanego z ICT. Ramy brytyjskie przyjmują podejście niezależne od ryzyka (podejście oparte na wynikach).
• Postanowienia dodatkowe. DORA zawiera dodatkowe wymagania w niektórych obszarach, w tym przepisy dotyczące nadzoru nad krytycznymi stronami trzecimi, klasyfikacji incydentów/zagrożeń i raportowania. Tematy te będą omawiane w Wielkiej Brytanii w przyszłości, jednak obecnie nie są one częścią ram odporności operacyjnej.

Powyżej wskazane różnice nie wykluczają jednak wyciągania wniosków przez instytucje UE z brytyjskiego wdrożenia. W rzeczywistości, wiele innych aspektów tych dwóch systemów jest takich samych lub podobnych:

• Widoczność wewnętrzna. Oba rozwiązania oczekują, że instytucje poprawią mapowanie podstawowych zasad, procesów, ludzi, technologii, danych i dostawców, którzy wspierają ich podstawowe usługi biznesowe. Wymóg ten jest kluczowym warunkiem wstępnym zrozumienia wpływu zarówno zakłóceń wewnętrznych (operacyjnych, finansowych tp..), jak i zewnętrznych (klienci, ryntp.itp.).
• Spójność prawna. Oba systemy są zgodne z zasadami odporności operacyjnej Komitetu Bazylejskiego z 2021 r. Pod względem odporności operacyjnej regulacje międzynarodowe różnią się znacznie mniej niż w wielu innych obszarach działalności regulacyjnej.
• Zmiana sposobu myślenia. W czasach rosnącej dyslokacji geopolitycznej i geoekonomicznej oba podejścia wprowadzają „zmianę sposobu myślenia” – oba sugerują, że instytucje powinny postrzegać zagrożenia związane z odpornością ICT jako nieuniknione i pracować nad zbudowaniem poziomu dojrzałości procesów, który pozwoli im na terminowe przywrócenie krytycznych usług w przypadku awarii.

Pięć podejść z Wielkiej Brytanii dla firm rozważających wdrożenie DORA

Przejdźmy teraz od ogółu do szczegółu. Podsumowaliśmy pięć konkretnych podejść, które sprawdziły się w przypadku brytyjskich instytucji finansowych i którymi europejskie przedsiębiorstwa mogłyby się zainspirować przy wdrażaniu zmian wymaganych przez rozporządzenie DORA.

W ramach wdrożenia DORA przedsiębiorstwa z UE będą musiały opracować ramy zarządzania ryzykiem, które będą zasadniczo zgodne z niektórymi kluczowymi obowiązkami systemu Zjednoczonego Królestwa. Chociaż wymogi dotyczące mapowania operacji i identyfikowania zależności od stron trzecich odgrywają różne role w ramach odpowiednich systemów, stanowią one kluczową część podejścia obu jurysdykcji do odporności operacyjnej.

W pierwszym roku wdrażania brytyjskiego systemu stało się jasne, że poziom szczegółowości w mapowaniu ważnych usług biznesowych (IBS) – przybliżonego odpowiednika funkcji krytycznych lub ważnych (CIF) DORA – nie upraszcza automatycznie procesu budowania odporności. Jednocześnie mapowanie na bardzo niskim poziomie szczegółowości nie ujawniło słabych punktów, które ostatecznie należy usunąć za pomocą programu na rzecz odporności operacyjnej.

Utrzymanie stałej współpracy z właścicielami ważnych usług biznesowych stanowiło wyzwanie dla wielu instytucji, zwłaszcza że starały się one zwiększyć szczegółowość swoich działań związanych z mapowaniem. W związku z tym zespoły ds. odporności operacyjnej musiały zidentyfikować możliwe do wyodrębnienia i wiarygodne źródła informacji, które można było regularnie aktualizować.

Podczas mapowania krytycznych usług biznesowych głównym celem dla instytucji będzie ich odporność, a nie tylko zarządzanie ryzykiem. W związku z tym, podczas mapowania zbadano dokładne działanie rutynowych operacji, w tym ich słabych punktów (np. główne obszary awarii) w procesie projektowaniu usług. Instytucje musiały zwrócić szczególną uwagę na mapowanie usług zlecanych na zewnątrz i wewnątrz grupy oraz zrozumieć, w jaki sposób ich struktura wpływa na ich odporność.

Ćwiczenie to stało się kluczem do zrozumienia, w jaki sposób instytucja może się zreorganizować w przypadku wystąpienia naruszenia, przy jednoczesnym ustaleniu realistycznych tolerancji na wpływ (koncepcja zbliżona do poziomów tolerancji ryzyka w DORA). Mapowanie procesów stało się również kluczowe w informowaniu o powiązanych wydatkach kapitałowych i projektowaniu docelowego modelu operacyjnego. Taki model operacyjny może wyeliminować słabe punkty i pomóc zbudować wystarczającą odporność, aby utrzymać wymagany apetyt na ryzyko.

Zobowiązania Wielkiej Brytanii w zakresie odporności operacyjnej często zmuszały instytucje do aktualizacji istniejących procesów i mechanizmów kontroli (np. ciągłości działania, ryzyka operacyjnego, przywracania gotowości do pracy po wystąpieniu klęsk żywiołowych, odporności finansowej itp.) by zwiększyć ogólną odporność przedsiębiorstwa. Doprowadziło to do odejścia od silosowej zgodności na rzecz kompleksowego podejścia. Odpowiednie zespoły musiały ze sobą współpracować, dostosować swoje procesy i procedury oraz wypracować nowe formy i kanały komunikacji.

Przykładowa zmiana dotyczyła przyjęcia tej samej terminologii dotyczącej odporności operacyjnej przez różne zespoły (reagowanie na zmiany lub incydenty). Kluczową częścią tego procesu było stworzenie struktur, w których wyznaczeni eksperci ds. odporności operacyjnej pełnili rolę „punktu odniesienia" dla reszty instytucji.

DORA prawdopodobnie będzie wymagała opracowania nowych struktur procesowych, rozbudowy lub reorganizacji struktur już istniejących. Instytucje będą zachęcane do reorganizacji swoich funkcji zarządzania ryzykiem związanym z ICT, ryzykiem cybernetycznym, ciągłością działania i zarządzania ryzykiem ze strony osób trzecich (TPRM), aby budować odporność operacyjną całej instytucji.

Wiele instytucji, które już zainwestowały swoje zasoby w zakresie cyberbezpieczeństwa lub odpowiedniego zarządzania relacjami z podmiotami trzecimi (TPRM), może posiadać możliwości niezbędne do spełnienia niektórych wymagań DORA (np. do przeprowadzania zaawansowanych testów, negocjowania umów z dostawcami zewnętrznymi itp.). Instytucje powinny mieć jednak na uwadze, że zmieniające się oczekiwania organów nadzoru, dotyczące wdrażania rozporządzenia prawdopodobnie wywrą na nie dodatkową presję i stworzą konieczność wykazania, że wymogi zostały spełnione oraz przedstawienia sposobu, w jaki te instytucje zwiększyły swoją odporność operacyjną w praktyce.

Doświadczenia Wielkiej Brytanii jasno pokazały, że odporność operacyjna nie jest tylko ćwiczeniem polegającym na wykonaniu poszczególnych punktów w planie wdrożenia.

W coraz bardziej złożonym otoczeniu technologicznym, geopolitycznym i gospodarczym odporność operacyjna jest obszarem, w którym organy regulacyjne starają się skłonić instytucje finansowe do włączenia procedur zapobiegawczych i naprawczych jako standardowych funkcji krytycznych.
Dla podmiotów podlegających przepisom DORA oznacza to, że odporność powinna stać się czynnikiem napędzającym już na etapie projektowania struktury ICT i powinna przerodzić się w stałe zaangażowanie podczas wdrażania. Dyskusje na temat inwestycji, restrukturyzacji organizacyjnej, a także decyzje w sprawie fuzji i przejęć lub projektowania nowych modeli operacyjnych powinny zatem wpływać na zakotwiczenie odporności. Innymi słowy, rozważając jakikolwiek ważny program ICT lub zmianę biznesową, należy zwrócić wystarczającą uwagę na aspekt odporności operacyjnej.

Będzie to wymagało od instytucji dobrego zrozumienia wielu aspektów jak np. własnego modelu operacyjnego, zależności wewnątrzgrupowych, usług zlecanych na zewnątrz oraz sposobu świadczenia kluczowych usług finansowych klientom i innym zewnętrznym interesariuszom. Na tej podstawie instytucje powinny następnie ocenić, w jaki sposób zapewnić ciągłą odporność w sposób proporcjonalny do ich apetytu na ryzyko.

Ustanowienie skutecznej odporności operacyjnej będzie wymagało od zarządów instytucji finansowych strategicznych decyzji dotyczących ram ICT. DORA wymaga, aby kierownictwo wyższego szczebla wzięło ostateczną odpowiedzialność za zapewnienie odporności cyfrowej i operacyjnej.

Zaangażowanie kadry kierowniczej wyższego szczebla ma zasadnicze znaczenie w podejmowaniu skutecznych i świadomych decyzji strategicznych (np. określania apetytu na ryzyko). Będą oni musieli spojrzeć z szerszej i strategicznej perspektywy podczas przeglądu adekwatności mapowania, scenariuszy, testowania i ogólnej strategii odporności operacyjnej.

Zespoły wdrożeniowe będą musiały dostosować formę interpretacji w zarządzaniu ICT i sprawozdawczości w tym zakresie, aby zapewnić ich zgodność z kontrolą ze strony kadry kierowniczej wyższego szczebla. W Wielkiej Brytanii to zróżnicowanie ról zostało uproszczone dzięki istniejącemu już systemowi Senior Manager i Certification.

Rozróżnienie to doprowadziło do określenia ról i przydzielenia powiązanych obowiązków w obszarze operacyjnej odporności cyfrowej (role SMF24).
W UE DORA pozostawiła krajowym organom regulacyjnym większą swobodę w nakładaniu sankcji na członków instytucji zarządzającej. Organy nadzoru mogą zatem zdecydować czy zastosować podobny poziom kontroli zgodności z rozporządzeniem DORA jak w Wielkiej Brytanii w odniesieniu do konkretnych stanowisk wyższego szczebla, takich jak dyrektor operacyjny, dyrektor ds. informatyki lub dyrektor ds. bezpieczeństwa informacji. Członkowie zarządu powinni być tego świadomi podczas całego procesu wdrażania.

Wyzwaniem, przed którym obecnie stoi branża usług finansowych jest wypracowanie kompleksowego podejścia do odporności operacyjnej. W Wielkiej Brytanii organy regulacyjne i instytucje również musiały najpierw lepiej zrozumieć, w jaki sposób można skutecznie osiągnąć odporność operacyjną w praktyce.

Z tego powodu instytucje UE nie powinny oczekiwać od organów regulacyjnych, że będą miały jasny obraz tego, jak wyglądają „dobre” procedury DORA. Przedsiębiorstwa powinny raczej działać proaktywnie i rozwijać dialog, aby osiągnąć konsensus z organami nadzoru i ustalić, w jaki sposób prawidłowo postępować w całym cyklu wdrażania i stosowania w praktyce wymogów DORA. Instytucje UE planują już konsultacje z przedstawicielami sektora finansowego, aby pomóc im w opracowaniu standardów technicznych drugiego stopnia. Jednocześnie, dialog ten dostarczy instytucjom istotnych i praktycznych informacji zwrotnych.

Inicjatywy grup rówieśniczych mogą również odgrywać kluczową rolę w proponowaniu możliwych podejść do przestrzegania przepisów. Dotyczy to zwłaszcza stosunkowo nowych obszarów, takich jak wprowadzenie opcji wspólnego testowania dla stron trzecich, które wspierają funkcje krytyczne lub ważne. Ścisła współpraca z grupami rówieśniczymi za pośrednictwem organizacji branżowych i na innych forach będzie ważną częścią opracowania ogólnosektorowego podejścia do wspólnych wyzwań w procesie wdrażania.

Jakie powinny być kolejne kroki dla instytucji finansowych?

Instytucje finansowe objęte DORA powinny odzwierciedlać dotychczasowe doświadczenia swoich odpowiedników w Wielkiej Brytanii. Umożliwi im to optymalizację strategii wdrażania i ułatwi wszystkie powiązane kroki w celu spełnienia wymogów rozporządzenia do końca okresu wdrażania, przypadającego na styczeń 2025 r. Wykorzystanie brytyjskich doświadczeń może również odegrać ważną rolę w promowaniu spójności praktyk stosowanych przez instytucje w kluczowych jurysdykcjach, co powinno nie tylko wspierać efektywność operacyjną sektora usług finansowych, ale także jego bezpieczeństwo i odporność w czasach kryzysu.

W pierwszej kolejności instytucje powinny przeprowadzić szczegółową analizę luki w procesach istniejących w ich organizacji względem wymagań nałożonych przez DORA. Wraz z publikacją nowych standardów technicznych konieczne będzie iteracyjne i elastyczne podejście do projektu wdrożeniowego w tym obszarze, aby z sukcesem dotrzymać terminu wyznaczonego na styczeń 2025 r.

Artykuł pierwotnie został opublikowany na stronie: Wdrożenie rozporządzenia DORA: instytucje UE mogą czerpać inspirację z modelu brytyjskiego – dReport w języku angielskim