DORA – rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego

Jakiś czas temu analizowaliśmy MiCA, czyli zestaw europejskich regulacji dotyczących rynku kryptowalut. Dziś przyjrzymy się rozporządzeniu w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). To także część przepisów związanych z cyfrowymi finansami. Są one kluczowe, bowiem dot. bezpośrednio bezpieczeństwa środków, jakie przechowują klienci kryptowalutowych giełd. Choć pozornie mogą budzić opór niektórych zwolenników idei stojących na bitcoinem, w praktyce wzmocnią naszą branże.

Co to jest DORA?

Zacznijmy od podstaw i wyjaśnijmy, czym jest DORA. To rozporządzenie Parlamentu Europejskiego i Rady Europejskiej, które podejmuje temat cyfrowej odporności operacyjnej sektora finansowego (pojęcie to wyjaśniamy poniżej). To zarazem część pakietu regulacji Digital Finance.

Jeśli wszystko brzmi zbyt tajemniczo, od razu dodajmy, że w skład całego pakietu wchodzą również omawiane już przez zagadnienia. Jest to zarówno MiCA, jak i rozporządzenie w sprawie pilotażowego systemu dla infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT). DORA to więc uzupełnienie MiCA i DLT.

Rozporządzenie to weszło w życie 16 stycznia 2023 roku. Co jednak ważne, przepisy rozporządzenia będą stosowane dopiero od 17 stycznia 2025 roku.

W założeniu władz Unii Europejskiej, DORA ma stać się głównym regulacyjnym punktem odniesienia w zakresie cyberbezpieczeństwa w sektorze finansowym.

Cele DORA

Dlaczego jednak zaprojektowano tego typu regulacje? Ogólnym celem twórców DORA było zwiększenie operacyjnej odporności cyfrowej podmiotów sektora finansowego UE. W praktyce chodzi o uproszczenie i poprawę aktualnych regulacji, a także “załatanie” istniejących luk prawnych.

To jednak nie wszystko. Warto też dodać, dlaczego DORA ma tak duże znaczenie dla rynku cyfrowego handlu aktywami. Instytucje finansowe – czy to z rynku fiatów czy kryptowalut – to dziś podstawa funkcjonowania systemu finansowego. Dlaczego? Ponieważ przechowują nasze pieniądze i aktywa. Dlatego też ich ochrona jest tak ważna – zwłaszcza dziś, w czasie, gdy widać niebezpieczny trend rosnącej liczby ataków cybernetycznych. Zarówno tych związanych z wojną na Ukrainie, jak i po prostu chęcią generowania nielegalnych zysków przez hakerów.

Mówimy o naprawdę dużej skali. Tylko pod koniec poprzedniego roku hakerzy uderzali średnio w pojedynczy podmiot (firmę czy instytucję) ponad 1,6 tys. razy tygodniowo! Tak przynajmniej wynika z analiz izraelskiej firmy Check Point Research. W pewnym momencie – jesienią 2022 r. – intensywność tychże skoczyła aż o 60 proc. Najbardziej zagrożone są sektory: publiczny, finansów i bankowości.

Cyfrowa odporność, czyli właściwie co?

Wróćmy do definicji. Wiemy, że w tym tekście pada sporo pojęć nieznanych czytelnikowi niezaznajomionemu z tematem. Czym bowiem jest cyfrowa odporność operacyjna? Jak podaje Akademia Zondy pojęcie to oznacza:

zdolność podmiotu finansowego do budowania, zapewniania i kontrolowania swojej integralności operacyjnej.

Mówiąc jaśniej, chodzi o zagwarantowanie ciągłości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne (ICT).

Z kolei incydent związany z ICT jest definiowany jako nieprzewidziane zdarzenie w sieci i systemach informatycznych, które zagraża bezpieczeństwu sieci i systemów informatycznych, informacji przetwarzanych, przechowywanych lub przekazywanych przez te systemy, lub ma niekorzystny wpływ na dostępność, poufność, ciągłość lub autentyczność usług finansowych świadczonych przez podmiot finansowy.

Obszary objęte DORA

Jak podaje Akademia Zondy, DORA składa się z 5 kluczowych obszarów:

• Zarządzanie ryzykiem ICT – kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem ICT (strategie, polityki, protokoły i narzędzia niezbędne do właściwej i skutecznej ochrony infrastruktury), które podlegają przeglądowi co najmniej raz w roku.
  • Identyfikacja, klasyfikacja i dokumentacja funkcji biznesowych związanych z ICT.
  • Opracowanie polityki bezpieczeństwa informacji.
  • Posiadanie mechanizmów pozwalających na szybkie wykrywanie nieprawidłowych działań.
  • Wdrożenie kompleksowej polityki ciągłości działania w zakresie ICT.
  • Polityka tworzenia kopii zapasowych.
  • Wnioski z testów i incydentów.
  • Obowiązkowe szkolenia dla personelu (pracowników i kadry kierowniczej).
  • Plany komunikacyjne umożliwiające odpowiedzialne ujawnienie incydentów związanych z ICT lub poważnych podatności klientom i kontrahentom.
• Incydenty związane z ICT – zarządzanie, klasyfikacja i raportowanie – procesy zapewniające monitorowanie incydentów związanych z ICT i działania naprawcze.
  • Klasyfikacja incydentów i określenie ich wpływu w oparciu o określone kryteria (w tym czas trwania incydentu, liczba użytkowników, których dotyczy incydent, krytyczność usług, których dotyczy incydent).
  • Zgłaszanie poważnych incydentów do odpowiedniego właściwego organu (wstępne zgłoszenie, sprawozdanie pośrednie i końcowe).
• Testowanie cyfrowej odporności operacyjnej – sprawdzanie wszystkich kluczowych systemów i aplikacji teleinformatycznych co najmniej raz w roku. Program testowania obejmuje:
  • Analizę open source.
  • Oceny bezpieczeństwa sieci.
  • Testowanie scenariuszy.
  • Testowanie wydajności.
  • Testy penetracyjne (podmioty inne niż mikroprzedsiębiorstwa powinny co najmniej raz na trzy lata przeprowadzić zaawansowane testy z wykorzystaniem testów penetracyjnych do wyszukiwania zagrożeń – dokumentacja testów ma być zatwierdzona przez odpowiednie organy).
• Zarządzanie ryzykiem stron trzecich w branży ICT – wszystkie procesy związane ze współpracą z zewnętrznymi dostawcami.
  • Ocena dostawcy.
  • Wdrożenie strategii wyjścia (możliwość wycofania się z ustaleń umownych z dostawcą usług ICT) oraz opracowanie planu przejścia, który nie spowoduje zakłócenia pracy systemów oraz naruszenia ciągłości i jakości świadczonych usług.
  • Umowy z dostawcami usług ICT (w formie pisemnej) zawierające umowy o poziomie usług.
  • Określenie kluczowych zewnętrznych dostawców usług teleinformatycznych.
  • Okresowe kary pieniężne dla kluczowych zewnętrznych dostawców usług teleinformatycznych.
• Ustalenia dotyczące wymiany informacji – możliwość dzielenia się przez podmioty finansowe informacjami o zagrożeniach cybernetycznych oraz wynikami analizy takiego zagrożenia, w tym:
  • Oznaki naruszenia integralności systemu.
  • Taktyki.
  • Techniki i procedury.
  • Ostrzeżenia dotyczące cyberbezpieczeństwa.
  • Narzędzia konfiguracyjne.

W ramach każdego z kluczowych obszarów, DORA wymaga od podmiotów finansowych spełnienia szeregu wymogów w odniesieniu do różnych aspektów w ramach bezpieczeństwa cyfrowego. W ten sposób tworzy kompleksowe ramy dla cyfrowej odporności podmiotów finansowych. To kluczowe także dla naszego rynku, bowiem może w dłuższej perspektywie zwiększyć bezpieczeństwo inwestorów, co przełoży się na skok adopcji

– tłumaczy w rozmowie z nami Przemysław Kral, CEO Zondy.

Wyzwania związane z DORA

Regulatorzy, którzy zaprojektowali DORA, postawili przed sobą wiele ambitnych celów.

Jak już wspomnieliśmy, chcą wyeliminować nakładające się na siebie regulacje oraz niespójności i luki prawne. Do tego chcą usprawnić wymianę informacji i skalę współpracy w zakresie analizy zagrożeń cybernetycznych. W założeniu ma to pomóc poszczególnym podmiotom finansowym na rynku we właściwej ocenie, monitorowaniu, obronie przed zagrożeniami cybernetycznymi i reagowaniu na nie.

DORA ma też wprowadzić standaryzację wymogów dotyczących zgłaszania incydentów w zakresie technologii informacyjno-komunikacyjnych. Dzięki temu organy nadzoru będą miały pełny obraz tego, co ma miejsce w przypadku tego typu cybernetycznych zagrożeń i incydentów.

Co może zaskoczyć niektórych, chodzi też o zmniejszenie kosztów przestrzegania przepisów.

Po wejściu DORA w życie firmy będą zobligowane do przeprowadzania okresowych ocen i sprawozdań oraz identyfikowania i dokonywania przeglądów wszystkich dostawców usług ICT, powiązanych umów i dokumentacji.

Czy DORA to kolejna zbędna regulacja?

Czy DORA to kolejny niepotrzebny wymysł urzędników UE? W żadnym wypadku. Tego typu przepisy są potrzebne w dobie zachodzącej na całym świecie cyfrowej rewolucji. Już pandemia COVID-19 pokazała wielu przedsiębiorcom, że takie zmiany – zwłaszcza w sektorze finansów – muszą nabrać jeszcze większego tempa. Unia Europejska stara się więc stworzyć stosowne regulacje i odpowiadać na potrzeby zmieniającego się rynku.

Do tego ustandaryzowanie wytycznych w zakresie cyberbezpieczeństwa w formie rozporządzenia oznacza, że instytucje sektora finansowego – również podmioty działające w branży kryptowalut – nie mogą już odkładać na później prac związanych z cyfrową odpornością operacyjną. Nie będą też mogły przerzucać tego na konsumentów.

Przykładem tego ostatniego są banki, które mogą dziś odmówić klientom w Polsce zwrócenia funduszy straconych w wyniku scamu. Zgodnie z prawem mają możliwość odpowiadać, że to nie ich wina, że klient kliknął w podejrzany link. Sytuację mogą zmienić dopiero wyroki czy interpretacje prawne, wskazujące, że tego typu instytucje nie powinny tak postępować i zrzucać winy na klientów.

DORA w praktyce wzmocni rynek kryptowalut, bowiem zapewni klientom bezpieczeństwo środków, także w przypadku ataku hakerskiego. W praktyce może to przyspieszyć adopcję blockchaina i skłonić większą liczbę osób do inwestowania w cyfrowe waluty.