Z rynku finansowego | Cyberbezpieczeństwo | Prawo i regulacje | Wydarzenia

Jak DORA zmieni funkcjonowanie polskiego sektora finansowego od 2025 roku

Karol Mórawski | BANK.pl
Jak DORA zmieni funkcjonowanie polskiego sektora finansowego od 2025 roku
SafeBank 2024. Fot. Michał Wagner
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Już od 17 stycznia 2025 roku banki będą musiały stosować zapisy unijnego rozporządzenia w sprawie operacyjnej odporności cyfrowej w branży finansowej, znanego pod akronimem DORA. Z analiz, przeprowadzonych przez Związek Banków Polskich wynika, iż sektor finansowy jest w stanie sprostać większości wymogów określonych w tym akcie prawnym, a jednym z głównych wyzwań pozostaje zarządzanie bezpieczeństwem w kontekście współpracy z dostawcami usług teleinformatycznych.

Wspominał o tym podczas tegorocznej edycji wydarzenia SafeBank Jarosław Biegański, dyrektor Zespołu Bezpieczeństwa Banków w Związku Banków Polskich.

Podkreślił, iż firmy informatyczne nie dysponowały żadnym dokumentem na kształt Rekomendacji D, pozwalającym na analizę i szacowanie ryzyka utraty bezpieczeństwa teleinformatycznego. DORA w tym kontekście stwarza podstawy prawne, dzięki którym instytucje finansowe będą mogły zobowiązać swych partnerów z branży IT do podjęcia określonych działań czy zawarcia klauzul w umowach.

Chcąc wypracować jednolite, sektorowe podejście do wdrażania postanowień DORA przez banki, ZBP wspólnie z przedstawicielami sektora wypracował zbiór rekomendacji, zawierających istotne zapisy również z punktu widzenia firm informatycznych.

– Doszliśmy do wniosku, że jeżeli jeden podmiot będzie audytowany wielokrotnie, będzie to dla niego bardzo uciążliwe, a każdy będzie musiał zapłacić za ten audyt. Dlatego lepiej kluczowego dostawcę audytować raz, jeśli na ten audyt może złożyć kilka podmiotów – podkreślił Jarosław Biegański, przedstawiając zawartą w rekomendacjach koncepcję wspólnego audytu firm ICT.

W dyskusji nad tymi zapisami uczestniczyli również przedstawiciele branży teleinformatycznej.

Czytaj także: SafeBank 2024 o wyzwaniach bezpieczeństwa gospodarki cyfrowej

Jakie wyzwania mogą się zmaterializować w związku z wdrażaniem wymogów DORA w bankach?

Tomasz Dziurzyński, dyrektor Pionu Zarządzania Bezpieczeństwem Informacji w Banku Handlowym w Warszawie wyodrębnił dwie kategorie wyzwań. Pierwszą z nich stanowią te uniwersalne, wspólne dla całego sektora, jak choćby opóźnienia w procesie legislacyjnym, które siłą rzeczy utrudnią realizację tak rozległego przedsięwzięcia jak implementacja DORA.

– Na ostatniej mili, stwierdzanie wymagań albo ich weryfikacja, to już samo w sobie jest wyzwaniem – podkreślił przedstawiciel Banku Handlowego.

Takim uniwersalnym zadaniem jest również zarządzanie dostawcami CTI, choć w tym akurat przypadku istotnym wsparciem służą zapisy, wypracowane na poziomie sektora bankowego. 

Kolejny obszar wyzwań o charakterze uniwersalnym stanowią audyty, z uwagi na ich wolumen w całym sektorze.

Są również problemy specyficzne dla poszczególnych banków, które w każdej instytucji mogą się materializować w innym obszarze, przekonywał Tomasz Dziurzyński.

Nawiązując do audytów Paweł Szulik, radca prawny Zespołu Bezpieczeństwa Banków ZBP podkreślił, iż na obecnym etapie przygotowywane są szczegółowe zasady prowadzenia zagregowanych audytów dostawców usług ICT.

Chodzi o to, by uniknąć takiej sytuacji, w której kilka podmiotów finansowych w podobnym czasie chciałoby audytować tych samych dostawców na swoje indywidualne potrzeby.

– Zauważyliśmy potrzebę zorganizowania jednego podmiotu audytującego, który będzie opracowywał sekwencyjnie listę dostawców usług ICT, podlegających w danym okresie jednemu audytowi.

Wyniki tego audytu będą mogły być następnie przeznaczone na użytek podmiotów finansowych zaangażowanych w ten projekt – podkreślił reprezentant ZBP.

Potwierdził również, iż projekt, co do zasady przeznaczony dla instytucji bankowych, będzie sukcesywnie rozszerzany o przedstawicieli innych branż obowiązanych na podstawie DORA, np. ubezpieczycieli, z którymi już trwają rozmowy.

– Takie podejście działania sektorowego w odpowiedzi na wymogi, które stawia DORA, zapewnia wypełnienie wymogów regulacyjnych, ale też zwiększenie efektywności, zmniejszenie kosztów i uniknięcie zablokowania operacyjności po stronie dostawców – dodał Paweł Szulik.

Czytaj także: SafeBank 2024 o VI. Dyrektywie AML i beneficjentach rzeczywistych

DORA w sektorze banków spółdzielczych

Dzielenie się wiedzą, a także wspólne uzgadnianie i wypracowywanie pewnych rozwiązań jest kluczowe zwłaszcza dla lokalnych instytucji finansowych, przekonywał Daniel Krzywiec, dyrektor Departamentu Cyberbezpieczeństwa w SGB-Banku.

Podkreślił on, iż skala wyzwań w tym zakresie była już znana spółdzielcom, co skłoniło ich do budowy usług wspólnych na poziomie zrzeszenia.

– Zaczęliśmy od standardów bezpieczeństwa – podkreślił Daniel Krzywiec, dodając, iż istotnym wsparciem podczas ich wypracowywania służyła Komisja Nadzoru Finansowego.

W konsekwencji udało się zdefiniować 26 standardów, przy czym część powstawała przy współudziale ZBP.

– Niektóre wykraczają poza DORA, ale uznaliśmy, że one są konieczne do tego, żeby zostały uwzględnione pewne elementy systemu bezpieczeństwa – dodał przedstawiciel SGB-Banku.

Dodatkowo udało się określić 14 usług, które bank zrzeszający będzie w stanie dostarczyć swym członkom. Nadmienił on, że gdyby każdy z banków realizował te zadania na własną rękę, byłoby to znacznie trudniejsze i bardziej czasochłonne.

Instytucje finansowe – dostawcy ICT – DORA

Pojawia się pytanie, jak powinny reagować instytucje finansowe, gdyby napotkały opór po stronie dostawcy ICT odnośnie dostosowania się do wymogów DORA. Krzysztof Dąbrowski, dyrektor zarządzający Pionem Bezpieczeństwa w Komisji Nadzoru Finansowego podkreślił, iż DORA ma charakter lex specialis wobec NIS2.

– Zostaliśmy jako rynek finansowy potraktowani szczególnie przez regulatora europejskiego. W kontekście pojawiających się zagrożeń, adekwatne było użycie aż takiego instrumentu, jakim jest rozporządzenie – zauważył reprezentant KNF.

Jego zdaniem wymogi DORA nie są rewolucyjne dla większości banków, ponieważ i dotychczas miały one do czynienia z podobnymi regulacjami, poczynając od rekomendacji a kończąc na komunikacie chmurowym. Paradoksalnym dowodem na dojrzałość polskich banków w zakresie odporności cyfrowej jest fakt, iż przestępcy atakują raczej klientów niż same instytucje finansowe.

Pewną nowością jest silna ingerencja w relacje pomiędzy podmiotem obowiązanym a dostawcami, jednak jak przekonywał przedstawiciel nadzoru, w ten sposób instytucje finansowe są skłaniane do zarządzania dostawcami usług w sposób adekwatny do ryzyka.

– Twierdzenie, że DORA reguluje działalność dostawców usług ICT, jest pewnym nadużyciem. DORA nakłada obowiązki na podmioty finansowe, i to ich obowiązkiem jest takie dobranie i ułożenie relacji z dostawcami usług, aby zarządzać nimi w taki sposób, jak wskazuje rozporządzenie – zaznaczył Krzysztof Dąbrowski, dodając że wobec takiego podejścia trudno o taryfę ulgową dla współpracy z firmą niegotową na wypełnienie wymogów DORA.

Jego zdaniem, po pewnym okresie przejściowym, sami dostawcy będą mieli powszechną świadomość odnośnie konieczności spełnienia tych wymogów. Przedstawiciel KNF zapewnił również, że w związku z wejściem w życie prawa unijnego możemy się spodziewać uchylania soft law regulującego ten obszar, w tym w szczególności tzw. komunikatu chmurowego.

Czytaj także: Co czeka otwartą bankowość po regulacjach PSD3/PSR?

Źródło: BANK.pl