Europejskie Urzędy Nadzoru konsultują pierwszą partię standardów technicznych dotyczących rozporządzenia DORA

Rozporządzenie DORA, które weszło w życie w dniu 16 stycznia 2023 r. i będzie obowiązywać od dnia 17 stycznia 2025 r., ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów w sektorze finansowym UE oraz dalszą harmonizację kluczowych wymogów w zakresie operacyjnej odporności cyfrowej wobec podmiotów rynku finansowego UE. Te ramy regulacyjne obejmują kluczowe obszary, takie jak zarządzanie ryzykiem ICT, zarządzanie incydentami związanymi z ICT i ich zgłaszanie, testowanie operacyjnej odporności cyfrowej oraz zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.

Obowiązki nakładane w drodze rozporządzeń oraz dyrektyw wymagają niejednokrotnie doprecyzowania, czego skutkiem jest opracowanie regulacyjnych standardów technicznych (RTS) oraz wykonawczych standardów technicznych (ITS), których zadaniem jest uszczegółowienie i skonkretyzowanie obowiązków wynikających z rozporządzenia DORA. Dla zoperacjonalizowania wdrożenia, DORA upoważniła Europejskie Urzędy Nadzoru (ESAs) do wspólnego opracowania łącznie 13 standardów technicznych w dwóch partiach. Pierwsza partia standardów technicznych, w sprawie których Europejskie Urzędy Nadzoru rozpoczęły konsultacje społeczne, ma zostać przedłożona Komisji Europejskiej do dnia 17 stycznia 2024 r. i obejmuje:

Druga partia standardów technicznych ma zostać przedłożona Komisji Europejskiej do dnia 24 czerwca 2024 r. Konsultacje standardów technicznych potrwają do 11 września 2023 r.

Niezależnie od zakresu uprawnień powierzonych ESAs w ramach DORA, Europejskie Organy Nadzoru zostały wezwane przez Komisję Europejską do wsparcia w przygotowaniu aktów delegowanych uzupełniających DORA w obszarze określenia kryteriów wyznaczania krytycznych dostawców usług ICT oraz opłat jakie ci dostawcy będą zobligowani uiszczać celem objęcia nadzorem.

Czego dotyczą projekty standardów technicznych?

Projekty standardów technicznych zostały opracowane zgodnie z art. 15, art. 16 ust. 3, art. 18 ust. 3, art. 28 ust. 9 i art. 28 ust. 10 DORA.

Regulacyjny standard techniczny dotyczący ram zarządzania ryzykiem związanym z ICT oraz regulacyjny standard techniczny dotyczący uproszczonych ram zarządzania ryzykiem związanym z ICT

Ze względu na wzajemne powiązania tematyczne, mandaty art. 15 oraz art. 16 ust. 3 DORA zostały połączone w jeden projekt standardów technicznych, aby kompleksowo zająć się tematem zarządzania ryzykiem ICT.
Standardy określają wymogi dla wszystkich podmiotów finansowych w odniesieniu do:

• polityk, procedur, protokołów i narzędzi ICT (w tym wymogów dotyczących: zarządzania, zarządzania ryzykiem ICT, zarządzania aktywami ICT, szyfrowania, bezpieczeństwa operacji ICT, bezpieczeństwa sieci, zarządzania projektami i zmianami ICT, bezpieczeństwa fizycznego, budowania świadomości i szkoleń w zakresie bezpieczeństwa ICT i informacji);
• polityki kadrowej i kontroli dostępu;
• wykrywania i reagowania na incydenty związane z ICT;
• zarządzania ciągłością działania ICT;
• sprawozdania z przeglądu ram zarządzania ryzykiem ICT;
• proporcjonalności.

Podkreślić należy, iż wymogi określone w standardach stanowią uzupełnienie wymogów dotyczących ram zarządzania ryzykiem w zakresie ICT, które zostały już określone w DORA, a zatem powinny być odczytywane w połączeniu z artykułami powiązanymi z rozporządzeniem DORA (art. 5-16).
RTS określają ponadto uproszczone ramy zarządzania ryzykiem ICT, które mają zastosowanie wyłącznie do pięciu kategorii mniejszych/mniej wzajemnie powiązanych podmiotów finansowych i uzupełniają wymogi określone w art. 16 DORA w następujących obszarach: ramy zarządzania ryzykiem ICT, dalsze elementy systemów, protokołów i narzędzi minimalizujących wpływ ryzyka ICT, zarządzanie ciągłością działania ICT oraz sprawozdania z przeglądu ram zarządzania ryzykiem ICT.

Regulacyjny standard techniczny w sprawie kryteriów klasyfikacji incydentów związanych z ICT

W projekcie RTS określono zharmonizowane wymogi dla podmiotów finansowych dotyczące:

• klasyfikacji incydentów związanych z ICT przez podmioty finansowe;
• podejścia do klasyfikacji i progów istotności na potrzeby określania poważnych incydentów związanych z ICT, które mają być zgłaszane przez podmioty finansowe właściwym organom;
• kryteriów i progów, które mają być stosowane przy klasyfikowaniu istotnych cyberzagrożeń;
• kryteriów, jakie mają być stosowane przez właściwe organy na potrzeby oceny istotności poważnych incydentów związanych z ICT dla odpowiednich właściwych organów w państwach członkowskich oraz szczegółowych informacji, które mają być im udostępniane.

Wykonawczy standard techniczny w celu ustanowienia wzorów na potrzeby rejestru informacji

Projekt ITS ustanawia zharmonizowane wzory rejestrów informacji, które mają być prowadzone przez podmioty finansowe, obejmujące wszystkie ustalenia umowne dotyczące korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT na poziomie indywidualnym, skonsolidowanym i subskonsolidowanym (art. 28 ust. 3 DORA).
Szablony zostały opracowane z uwzględnieniem potrójnego celu rejestru informacji:

Aby uprościć tworzenie rejestrów przez podmioty finansowe, projekt ITS zawiera dwa różne zestawy szablonów dla rejestrów na poziomie indywidualnego podmiotu oraz na poziomie subskonsolidowanym i skonsolidowanym.

Regulacyjny standard techniczny w celu określenia polityki dotyczącej usług ICT świadczonych przez zewnętrznych dostawców ICT

Projekt standardów określa wymogi dla wszystkich etapów, które powinny zostać podjęte przez podmioty finansowe w odniesieniu do zarządzania umowami ICT z zewnętrznymi dostawcami w całym cyklu. W szczególności projekt RTS określa treść polityki dotyczącej korzystania z usług ICT wspierających krytyczne lub istotne funkcje, zajmując się następującymi aspektami:

• faza przed zawarciem umowy (tj. planowanie ustaleń umownych, w tym ocena ryzyka, badanie due diligence i proces zatwierdzania nowych lub istotnych zmian w tych ustaleniach umownych ze stronami trzecimi),
• wdrażanie, monitorowanie i zarządzanie ustaleniami umownymi dotyczącymi korzystania z usług ICT wspierających krytyczne lub istotne funkcje,
• strategia wyjścia i procesy rozwiązania umowy.

Standardy zostały opracowane w oparciu o doświadczenia związane z zarządzaniem umowami outsourcingu.

Zachęcamy do zapoznania się z komentarzami naszych ekspertów do poszczególnych standardów!