DORA odpowiedzią na ryzyko związane z technologiami informacyjno-komunikacyjnymi

08.11.2023 12:16 Witold Gadomski | Gazeta Wyborcza

Fot. stock.adobe.com / dmutrojarmolinua

Udostępnij

Od wybuchu pandemii Covid-19 znacznie przyspieszyła transformacja cyfrowa. W grudniu 2022 roku Parlament Europejski i Rada Europejska ustanowiły program Dekady Cyfrowej, który ma być realizowany do 2030 roku. Program przewiduje, że co najmniej 75% przedsiębiorstw w UE będzie korzystać do 2030 r. z technologii chmury, Big Data lub sztucznej inteligencji.

Sektor bankowy nie przegapił rosnącego znaczenia technologii chmurowej. Rada Stabilności Finansowej – międzynarodowy organ monitorujący i wydający rekomendacje dotyczące światowego systemu finansowego – stwierdziła w raporcie z 2019 roku, że przetwarzanie w chmurze nie stwarza bezpośredniego zagrożenia dla stabilności finansowej.

Ta rekomendacja przyczyniła się do tego, że wykorzystanie chmury w branży bankowej rośnie.

Czytaj także: Bankowość i Finanse | Secfense | Instytucje finansowe muszą wdrożyć uwierzytelnianie wieloskładnikowe. DORA nie pozostawia wątpliwości

ICT a rozporządzenie o cyfrowej odporności operacyjnej – DORA

Pojawia się jednak dodatkowe ryzyko, które określane jest skrótem ICT czyli ryzyko związane z technologiami informacyjno-komunikacyjnymi.

Odpowiedzią na nie jest rozporządzenie Parlamentu Europejskiego i Rady Europejskiej o cyfrowej odporności operacyjnej (DORA). Weszło w życie 16 stycznia 2023 r., ale będzie obowiązywać dopiero od 17 stycznia 2025 r.

Dotychczas instytucje finansowe zarządzały głównymi kategoriami ryzyka operacyjnego poprzez alokację kapitału. Po wejściu w życie DORA będą musiały także przestrzegać zasad dotyczących ochrony, wykrywania i powstrzymywania incydentów związanych z ICT.

DORA uznaje, że incydenty ICT mogą zagrozić stabilności całego systemu finansowego, nawet jeżeli istnieje odpowiedni kapitał na pokrycie tradycyjnych kategorii ryzyka.

DORA ustala jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych przedsiębiorstw i organizacji działających w sektorze finansowym oraz stron trzecich, które świadczą na ich rzecz usługi z zakresu ICT.

Czytaj także: Nowoczesny Bank Spółdzielczy | Forum Liderów Banków Spółdzielczych – Secfense | DORA – jakie zmiany czekają sektor finansowy?

Co reguluje DORA – nowe obowiązki banków

DORA dzieli się na pięć filarów:

1. Zarządzanie ryzykiem. Banki muszą stworzyć i utrzymywać narzędzia minimalizujące ryzyko. Muszą także stale monitorować ryzyko i wdrażać rozwiązania, które mogą szybko wykryć nietypowe działania.

2. Zarządzanie ryzykiem stron trzecich. Firmy finansowe muszą współpracować z dostawcami zewnętrznymi, z którymi prowadzą interesy, aby stworzyć spójne podejście do monitorowania. Muszą także dopilnować, aby umowy ze stronami trzecimi zawierały wszystkie istotne informacje o tym, jak, kiedy i gdzie przetwarzane są dane.

3. Zgłaszanie incydentu. Banki muszą ustanowić procesy zarządcze umożliwiające rejestrowanie wszelkich incydentów związanych z bezpieczeństwem IT, a następnie klasyfikowanie tych incydentów zgodnie ze standardami opracowanymi przez europejskie organy nadzoru.

4. Udostępnianie informacji. Przepisy zachęcają firmy finansowe do udostępniania odpowiednich danych, aby wspólnie zwiększać odporność cyfrową, podnosić świadomość ryzyka i minimalizować rozprzestrzenianie się zagrożeń.

5. Testowanie odporności. Wreszcie należy regularnie testować elementy ram zarządzania ryzykiem. Banki muszą zidentyfikować wszelkie braki i luki, a następnie je wyeliminować lub złagodzić.