Pomiędzy DORA, CER i „światem materialnym
W panelu, moderowanym przez Jarosława Biegańskiego, dyrektora Zespołu Bezpieczeństwa Banków w Związku Banków Polskich, uczestniczyli:
Bartłomiej Getlich, dyrektor Departamentu Bezpieczeństwa i Ochrony Informacji Urzędu Komisji Nadzoru Finansowego; Mateusz Górnisiewicz, ekspert do spraw DORA w Związku Banków Polskich; Jacek Mąka, doradca zarządu PKO Banku Polskiego i Piotr Szufnara z Wydziału Ochrony Infrastruktury Krytycznej Rządowego Centrum Bezpieczeństwa.
Uczestnicy dyskusji od początku konsekwentnie podkreślali: celem wdrożenia przepisów nie jest tylko sprostanie kolejnym wymogom regulacyjnym, ale budowa nowego podejścia do odporności.
O ile DORA koncentrowała się na odporności cyfrowej, to obszarem uregulowanym przez CER jest połączenie cyberbezpieczeństwa z odpornością fizyczną, poczynając od serwerowni, przez zapewnienie dostaw energii, po komunikację kryzysową z administracją.
Mateusz Górnisiewicz ujął to wprost, tłumacząc, że CER można traktować jako lex generalis wobec DORA, bo dotyczy szerzej ujmowanej odporności operacyjnej.
Jacek Mąka posłużył się obrazowym przykładem zdarzeń kryzysowych.
– Zawsze dla służb, które przyjeżdżają na miejsce tego rodzaju zdarzenia, kluczowe jest to, by wobec wielości podmiotów (…) był jeden gospodarz.
Służby nie mogą rozmawiać z dziesięcioma instytucjami, bo wtedy wyzwala się dodatkowy chaos – mówił Jacek Mąka, wskazując, że obowiązani operatorzy infrastruktury krytycznej powinni już zawczasu wytypować, kto przejmuje rolę koordynatora w sytuacji incydentu.
W tym kontekście mamy do czynienia z gruntowną zmianą podejścia do zarządzania kryzysowego, jaką zapisano w CER, a mianowicie przebudowa relacji operacyjnych „na styku” z państwem.
Czytaj także: SafeBank 2025: od regulacji do realnej cyberodporności. Inauguracja konferencji o bezpieczeństwie sektora finansowego
DORA, CER i NIS2: integrujmy wymogi
Jarosław Biegański wskazywał, że w obliczu nowych regulacji należy unikać dublowania działań: doświadczenia zdobyte przy wdrażaniu DORA będą przydatne przy dostosowaniu się do CER, a w jakiejś mierze również i NIS2.
Warto wykorzystać już istniejące mechanizmy i integrować wymogi, zamiast budowy równoległych ścieżek.
Podejście to poparł z perspektywy nadzoru Bartłomiej Getlich zapowiadając, że urząd będzie dążył do wykorzystania już działających kanałów raportowania.
– Nie będziemy tworzyć nowego kanału zgłaszania incydentów (…) będziemy starali się wykorzystywać już funkcjonujące kanały w ramach wymiany informacji przy DORA – deklarował reprezentant nadzoru.
Doprecyzował, że zamiarem jest „poszerzanie katalogu” zgłaszanych incydentów, a nie budowanie nowego systemu raportowania od zera.
Mateusz Górnisiewicz dołożył do tego „mapę zależności” regulacyjnych, uspokajając część obaw banków związanych z wdrażaniem NIS2.
Jego zdaniem banki wdrażając DORA w dużej mierze „odrobiły pracę domową” również w zakresie NIS2.
Blackout, paliwo i łączność – to też ryzyka
W dalszej części dyskusji wybrzmiewał wątek scenariuszy operacyjnych. Jarosław Biegański pytał m.in. o podejście banków do testów TLPT ujętych w DORA, a także o zależność między TLPT a testowaniem odporności w ramach zarządzania kryzysowego.
Bartłomiej Getlich sygnalizował, że intencją jest, aby TLPT docelowo uwzględniały również scenariusze wynikające z analizy zagrożeń obiektu infrastruktury krytycznej i usługi kluczowej.
Piotr Szufnara przytoczył perspektywę Rządowego Centrum Bezpieczeństwa, akcentując, że współczesna odporność państwa i gospodarki w praktyce zaczyna się od energii.
Doświadczenia ostatnich lat jak pandemia czy okres po rosyjskiej agresji na Ukrainę, wykazały potrzebę współpracy międzysektorowej. Dodał też, że na rok 2026 planowane są stress testy, które obejmą wiele elementów, od zasilania awaryjnego po komunikację i uruchamianie rezerw strategicznych.
Mateusz Górnisiewicz dopowiedział, że w realnym kryzysie świat realny i wirtualny potrafią się złożyć w jedno: nawet jeśli organizacja dysponuje procedurami odtworzeniowymi, to atak na system zarządzania dokumentacją ciągłości działania może sprawić, że procedury staną się niedostępne albo, co gorsza, zmienione.
W tym sensie odporność wynika z założenia, że celem ataku mogą paść również dokumenty i narzędzia, służące utrzymaniu odporności.
Ekosystem infrastruktury krytycznej: banki zależą od innych, inni zależą od banków
W debacie nie zabrakło odniesienia do perspektywy sektorowej. Mateusz Górnisiewicz zobrazował zależności między poszczególnymi instytucjami jako „macierz”, w której sektory infrastruktury krytycznej są wzajemnie od siebie współzależne.
Przykładowo, odporność banku zależy od energii, wody do chłodzenia serwerowni czy transportu gotówki, z kolei inni operatorzy infrastruktury krytycznej posługują się produktami finansowymi.
W dyskusji odniesiono się też do doświadczenia pierwszych miesięcy wojny w Ukrainie. Jarosław Biegański przypomniał pojawiające się wówczas wątpliwości czy bank dostarczający kluczową usługę (np. dostęp do gotówki) może liczyć na „ochronę” w razie wyłączenia prądu. Według niego, przyjęcie CER pozwoli rozwiązać takie dylematy w sposób systemowy.
Jednym z ważniejszych skutków wdrożenia nowych regulacji była też sfera ochrony informacji niejawnych, co wiąże się z potrzebami weryfikacji pracowników na stanowiskach wrażliwych.
Jarosław Biegański zwrócił uwagę, że sektor musi budować zdolność do obsługi dokumentów niejawnych, a to oznacza także nowe wymagania kadrowe, jak choćby powołanie kancelarii tajnej.
Jacek Mąka wskazywał, że regulacje będą wymuszać skuteczniejszą weryfikację pracowników pod kątem pracy na stanowiskach wrażliwych.
