Aktualności
Rozporządzenie DORA nakłada na zarządy podmiotów finansowych szereg obowiązków mających na celu osiągnięcie przez te podmioty wysokiego poziomu operacyjnej odporności cyfrowej. W tym artykule omówimy obowiązki i zakres odpowiedzialności organu zarządzającego podmiotu finansowego w zakresie zarządzania ryzykiem związanym z ICT, a także obowiązki związane z zarządzaniem incydentami dotyczącymi ICT.
Obowiązki organów zarządzających podmiotów finansowych w obszarze zarządzania ryzykiem związanym z ICT
Jednym z wymagań, jakie Rozporządzenie DORA nakłada na organy zarządzające podmiotów finansowych, jest ich zobowiązanie do utrzymania kluczowej i aktywnej roli w kierowaniu oraz dostosowywaniu ram zarządzania ryzykiem związanym z ICT, a także strategii w zakresie operacyjnej odporności cyfrowej1. Zarządy podmiotów finansowych powinny skoncentrować się na środkach zapewniających odporność systemów ICT, ale także uwzględnić ludzi i procesy, w których na każdym szczeblu struktury korporacyjnej i w odniesieniu do wszystkich pracowników będzie budowana świadomość ryzyka w cyberprzestrzeni, jak również zaangażowanie na rzecz przestrzegania zasad w zakresie higieny cyberbezpieczeństwa2.
Zgodnie z przepisami Rozporządzenia DORA to organy zarządzające ponoszą ostateczną odpowiedzialność za zarządzanie ryzykiem ICT w podmiotach finansowych, co oznacza ciągłe zaangażowanie w kontrolę monitorowania zarządzania ryzykiem ICT, a także zabezpieczenia poziomu inwestycji związanych z ICT i ogólnego budżetu umożliwiającego osiągnięcie wysokiego poziomu operacyjnej odporności cyfrowej3.
Należy tutaj także wskazać, że organy zarządzające podmiotów finansowych powinny jak najszybciej zaangażować się we wdrażanie Rozporządzenia DORA. W szczególności zbudowanie kompetencji niezbędnych do nadzorowania obszaru operacyjnej odporności cyfrowej.
Zgodnie z przepisami Rozporządzenia DORA organy zarządzające podmiotów finansowych ponoszą w szczególności odpowiedzialność za:
aktywne aktualizowanie wiedzy i umiejętności wystarczających do zrozumienia i oceny ryzyka związanego z ICT oraz jego wpływu na operacje podmiotu finansowego11.
Przepisy Rozporządzenia DORA12 wskazują jednocześnie, że organy zarządzające przydzielają odpowiedni budżet na potrzeby związane z obszarem operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów. Dotyczy to przede wszystkim:
Obowiązkiem zarządów wynikającym z Rozporządzenia DORA13 jest także wprowadzenie kanałów dokonywania zgłoszeń w zakresie:
Obowiązki organów zarządzających podmiotów finansowych w obszarze zarządzania incydentami ICT i testowania operacyjnej odporności cyfrowej
Rozporządzenie DORA nakłada na organy zarządzające podmiotów finansowych określone obowiązki w obszarze zarządzania incydentami ICT, a także w obszarze testowania operacyjnej odporności cyfrowej. Omawiane obszary powinny mieć także istotne znaczenie dla zarządów w kontekście ram zarządzania ryzykiem ICT ze względu na ich kompetencje w zakresie określania, zatwierdzania i nadzorowania wdrażania wszystkich ustaleń dotyczących takich ram.
Jednym z obowiązków w procesie zarządzania incydentami ICT, o którym mowa w art. 17 ust. 3 lit. c) DORA, jest konieczność przydzielenia ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów ICT i ich scenariuszy. Może to uzasadniać niezwłoczne informowanie organu zarządzającego o poważnych incydentach ICT o krytycznym wpływie na podmiot finansowy i jego udział w decyzjach podejmowanych w ramach procesu obsługi takiego incydentu.
Prawodawca unijny w art. 17 ust. 3 lit. e) DORA wskazuje, że w „procesie zarządzania incydentami związanymi z ICT należy zapewnić zgłaszanie co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i instrumenty kontrolne, które należy ustanowić w wyniku takich incydentów związanych z ICT”.
Przepisy Rozporządzenia DORA określają ramy zarządzania ryzykiem związanym z ICT, zgodnie z którymi podmioty finansowe inne niż mikroprzedsiębiorstwa zobowiązane są ustanowić i utrzymywać prawidłowy i kompleksowy program testowania operacyjnej odporności cyfrowej oraz dokonywać jego przeglądu. Plan ten stanowi integralną część ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 DORA. Istotne jest, że to zarząd określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1 DORA, oraz ponosi odpowiedzialność za ich wdrażanie (zgodnie z art. 5 ust. 2 DORA).
Rola organu zarządzającego w ustanawianiu komunikacji
Prawodawca unijny duży nacisk kładzie na uczenie się i rozwój podmiotów finansowych. Art. 13 ust. 5 DORA wskazuje, że kadra kierownicza ds. ICT składa organowi zarządzającemu co najmniej raz w roku sprawozdanie i przedstawia zalecenia. Sprawozdanie obejmuje wnioski z testów operacyjnej odporności cyfrowej przeprowadzonych zgodnie z art. 26 i 27 DORA oraz z rzeczywistych incydentów związanych z ICT. Obejmują one w szczególności cyberataki wraz z wyzwaniami związanymi z uruchomieniem planów ciągłości działania w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, a także z odpowiednimi informacjami wymienianymi z kontrahentami i ocenianymi podczas przeglądów nadzorczych.
W ramach określania, zatwierdzania i nadzorowania wdrażania wszystkich ustaleń dotyczących ram zarządzania ryzykiem ICT organ zarządzający w szczególności14:
W kontekście opisanych planów reagowania i przywracania sprawności ICT, istotne znaczenie ma obszar związany z incydentami ICT. Zgodnie z art. 11 ust. 2 DORA podmioty finansowe realizują strategię na rzecz ciągłości działania w zakresie ICT poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy.
Cele strategii na rzecz ciągłości działania w zakresie ICT
Zgodnie z art. 12 Rozporządzenia DORA w celu zapewnienia przywrócenia systemów ICT i danych przy minimalnej przerwie, ograniczonych zakłóceniach i stratach, w kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe opracowują i dokumentują:
Art. 14 Rozporządzenia DORA wskazuje na konieczność posiadania przez podmioty finansowe planów działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej, które umożliwiają odpowiedzialne ujawnianie co najmniej poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a w stosownych przypadkach - opinii publicznej.
W kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe realizują politykę komunikacyjną dla pracowników wewnętrznych i interesariuszy zewnętrznych. W polityce komunikacyjnej skierowanej do pracowników uwzględnia się potrzebę rozróżnienia między pracownikami zaangażowanymi w zarządzanie ryzykiem związanym z ICT, w szczególności pracownikami odpowiedzialnymi za reagowanie i przywracanie sprawności, a pracownikami, których należy informować. Jak wskazują przepisy Rozporządzenia DORA co najmniej jednej osobie w podmiocie finansowym powierza się zadanie wdrożenia strategii komunikacyjnej w zakresie incydentów związanych z ICT. W tym celu pełni ona funkcję osoby ds. kontaktów z opinią publiczną i mediami.
Odnosząc się do przepisów zawartych w art. 19 Rozporządzenia DORA, podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi. Podmioty finansowe mogą dobrowolnie powiadomić odpowiedni właściwy organ o znaczących cyberzagrożeniach, jeżeli uznają dane zagrożenie za istotne dla systemu finansowego, użytkowników usług lub klientów. Odpowiedni właściwy organ może przekazać takie informacje innym odpowiednim organom, o których mowa w art. 19 ust. 6 DORA.
Jak wskazują przepisy Rozporządzenia DORA, w kontekście odpowiedzialności organu zarządzającego za określanie, zatwierdzanie i nadzorowanie wdrażania wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT istotne jest również, że:
Wybrane metody przeciwdziałania ryzyku związanemu z ICT powiązane z obszarem zarządzania incydentami ICT i testowaniem operacyjnej odporności cyfrowej
Odnosząc się do roli zarządu w zakresie ram zarządzania ryzykiem związanym z ICT, w kontekście zarządzania incydentami warto również wskazać na art. 10 Rozporządzenia DORA dotyczący mechanizmów wykrywania incydentów ICT. Przepisy omawianego unijnego aktu wskazują, że podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, w tym problemów związanych z wydajnością sieci ICT i incydentów ICT oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii. Mechanizmy wykrywania, o których mowa w Rozporządzeniu DORA, pozwalają na wielopoziomową kontrolę, określają progi alarmowe i kryteria uruchamiania oraz inicjowania procesów reagowania na incydenty związane z ICT.
Podsumowanie
W artykule tym dokonaliśmy przeglądu najważniejszych obowiązków organów zarządzających, określonych w Rozporządzeniu DORA, w obszarze zarządzania ryzykiem związanym z ICT oraz w obszarze zarządzania incydentami ICT. Przepisy Rozporządzenia DORA mają na celu stworzenie jednolitego rynku cyfrowego usług finansowych, a także zwiększenie bezpieczeństwa oraz odporności na zagrożenia związane z ICT. Należy tutaj podkreślić nieodległy termin stosowania przepisów Rozporządzenia DORA przez podmioty finansowe. Powinny one zapewnić zgodność i stosowanie Rozporządzenia DORA od 17.01.2025 roku.
Ważnym jest także podkreślenie, że brak zgodności z zasadami określonymi w Rozporządzeniu DORA wiąże się z nałożeniem kar administracyjnych i środków naprawczych na podmiot finansowy. Prawodawca unijny przewiduje szereg narzędzi prawnych, które organ nadzoru będzie mógł użyć wobec podmiotów finansowych w celu zapewnienia zgodności działania tych podmiotów z Rozporządzeniem DORA.
Przepisy Rozporządzenia DORA przewidują szereg kar, które mają obejmować osoby fizyczne. W ramach kar administracyjnych i środków naprawczych Rozporządzenie DORA w art. 50 ust. 4 wskazuje, że „państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych lub środków naprawczych w przypadku naruszeń niniejszego rozporządzenia”.
Wskazane kary obejmować mogą m.in:
W przypadku gdy omówione przepisy mają zastosowanie do osób prawnych, państwa członkowskie powierzają właściwym organom uprawnienie do stosowania kar administracyjnych i środków naprawczych z zastrzeżeniem warunków przewidzianych w prawie krajowym wobec członków organu zarządzającego oraz innych osób fizycznych.
Rozporządzenie DORA przewiduje możliwość bezpośredniej odpowiedzialności członków organów zarządzających za naruszenia ich obowiązków.