Cyberbezpieczeństwo

Czy rynek polskich banków jest gotowy na przystosowanie się do przepisów DORA?

Joanna Gałajda | EY Law
Czy rynek polskich banków jest gotowy na przystosowanie się do przepisów DORA?
Źródło: EY Law
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyfryzacja to fundament naszej rzeczywistości. Dotyczy to także nowoczesnych usług bankowych. Pozwala ona zachować konkurencyjność na rynku produktów finansowych, ułatwia wychodzenie naprzeciw oczekiwaniom klientów oraz pozwala na obniżenie kosztów bieżącej działalności podmiotów sektora bankowego.

Postęp technologiczny w sektorze finansowym przyniósł jednak nie tylko korzyści, ale również zagrożenia, które z uwagi na wysoce ustandaryzowany charakter usług IT, okazały się w dużej mierze wspólne dla całego sektora finansowego.

Próby ograniczenia tych zagrożeń podejmowane na poziome poszczególnych krajów nie przyniosły oczekiwanych rezultatów. Z tych względów Komisja Europejska opublikowała we wrześniu 2020 r. unijną strategię finansów cyfrowych, czyli pięcioletni plan mający na celu przekształcenie usług finansowych w UE w kompleksowo zintegrowany jednolity rynek cyfrowy.

Droga DORA do wejścia w życie

Wśród inicjatyw powziętych w ramach unijnej strategii finansów cyfrowych znalazła się m.in. DORA – Digital OperationalResilienceAct, czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego, odpowiadający na potrzeby sektora finansowego, w tym bankowego, w zakresie cyberbezpieczeństwa.

Parlament Europejski 10 listopada 2022 r. ostatecznie zatwierdził jej przepisy i DORA będzie bezpośrednio stosowana od 24 miesiąca od dnia publikacji.

W okresie wskazanych 24 miesięcy banki będą musiały podjąć działania dostosowawcze, celem zapewnienia zwiększania operacyjnej odporności cyfrowej oraz zgodności z nową regulacją. Banki będą zobligowane do wzmocnienia i usprawnienia procesu zarządzania ryzykiem związanym z ICT, wprowadzenia dokładnych testów systemów ICT, wzmocnienia procesu zarządzania ryzykiem wynikającym z zależności podmiotów finansowych od zewnętrznych dostawców usług ICT.

Wyzwania związane z DORA

W jaki sposób dostosować obecne procedury do wymogów wynikających z DORA? Czy cyfrowa odporność operacyjna zagwarantuje ciągłość i jakość świadczonych usług pomimo zagrożeń wpływających na technologie informacyjne i telekomunikacyjne (ICT) firm? Czy pozwoli na budowanie, testowanie i ciągłe doskonalenie integralności technologicznej i operacyjnej organizacji?

Te i inne pytania stanowiły punkt wyjścia dla EY i Związku Banków Polskich do opracowania Raportu oraz przeprowadzenia badania w zakresie stanu odporności cyfrowej polskich banków.

Wyniki i wnioski mamy przyjemność Państwu zaprezentować w raporcie „Rozporządzenie DORA – rewolucja czy ewolucja w polskim sektorze bankowym? Analiza dojrzałości sektora bankowego w zakresie cyfrowej odporności operacyjnej”.

Warto w tym miejscu wskazać, że DORA ma charakter powszechnie obowiązującego prawa, jednak merytoryczny zakres rozporządzenia nie jest zupełnie nowy dla banków. Pewne elementy funkcjonowania ICT zostały już z powodzeniem wdrożone w polskim sektorze bankowym w oparciu o dotychczasowe przepisy powszechnie obowiązujące, wytyczne oraz rekomendacje organów nadzorczych zarówno polskich, jak i europejskich.

Analiza regulacyjna podsumowana w Raporcie również jednoznacznie wskazuje, że większość wymogów wynikających z DORA pokrywa się z dotychczasowymi regulacjami. Niemniej, w większości obszarów, DORA precyzuje lub uszczegóławia istniejące obowiązki.

W Raporcie szczegółowo zostały przeanalizowane obowiązki DORA w kontekście istniejących regulacji, co ma na celu zobrazowanie sektorowi bankowemu skalę prac dostosowawczych.

Dlatego rekomendowanym działaniem jest w pierwszej kolejności przeprowadzenie przez banki analizy luki, która pozwoli zidentyfikować wymagania, zaimplementowane już na poziomie organizacyjnym, procesowym i technologicznym oraz dostarczy odpowiedź, gdzie konieczne jest podjęcie działań dostosowawczych.

Przeprowadzając analizę luki należy pamiętać, że wymagania DORA mają formę rozporządzenia Parlamentu i Rady i jako takie muszą być bezwzględnie stosowane, oczywiście z uwzględnieniem zasady proporcjonalności.

Jakie rezultaty przyniesie analiza luki

Wyniki analizy luki powinny stanowić wkład do zbudowania programu inicjatyw, mających na celu dostosowanie i transformację obszaru cyberbezpieczeństwa. Ważne jest zaplanowanie realizacji inicjatyw budujących program w oparciu o priorytety adresujące najważniejsze ryzyka.

Należy również podkreślić, że przygotowując się do prac dostosowawczych, banki powinny zadbać o odpowiednie kompetencje w swoich organizacjach.

Zgodnie z przeprowadzonym badaniem, najczęściej pojawiającym się wyzwaniem związanym z wdrożeniem nowych wymogów DORA jest brak wykwalifikowanych zasobów ludzkich, zarówno w ujęciu ilościowym, jak i kompetencyjnym.

Dlaczego warto przeczytać Raport DORA

Raport ma na celu pomóc ocenić obecną sytuację danego banku i dojrzałość do wprowadzenia nowych obowiązków.

Przedstawia również porównanie różnic pomiędzy wymaganiami DORA a dotychczasowymi regulacjami (m.in. ustawy – Prawo bankowe, Rekomendacjami KNF, Komunikatem Chmurowym, UKSC i Wytycznymi EBA) oraz wynikami ankiety przeprowadzonej przez EY Polska i Związek Banków Polskich w polskim sektorze bankowym.

Zapraszamy do lektury Raportu oraz do kontaktu w celu uzyskania pogłębionych analiz i bezpośredniej dyskusji. 

Raport

Zachęcamy również do podzielenia się z nami Państwa opinią na tematy dotyczące informacji zawartych w Raporcie. Państwa spostrzeżenia i praktyczne uwagi będą cennym źródłem informacji i pomogą w przygotowaniu kolejnych opracowań dotyczących DORA.

Będziemy mieli również możliwość zgłoszenia ich w ramach prac nad Regulacyjnymi Standardami Technicznymi, które będą opracowane do DORA i będą szczegółowo opisywały obowiązki i zadania stojące przed sektorem finansowym. 

Joanna Gałajda, Manager, EY Law.
Joanna Gałajda, Manager, EY Law. Źródło: EY
Źródło: BANK.pl