Raport Specjalny | Horyzonty Bankowości 2023 – EY Law | DORA oznacza wyrównanie poziomu operacyjnej odporności cyfrowej na całym rynku finansowym
Gotowość polskiego sektora bankowego na przyjęcie rozporządzenia DORA była tematem badania, przeprowadzonego przez EY wspólnie ze Związkiem Banków Polskich. Jak możemy w największym skrócie podsumować główne wnioski z tej analizy?
Joanna Gałajda, Manager, EY Law: Wnioski z badania są pozytywne, w niektórych kwestiach być może aż nazbyt optymistyczne. Przewidywaliśmy, że polskie banki będą dość dobrze przygotowane na przyjęcie DORA, choćby dlatego, że już wcześniej miały one do czynienia z wytycznymi w zakresie zarządzania bezpieczeństwem ICT, czyli rekomendacją D, z którą w dużej części pokrywają się zapisy DORA. Dlatego banki założyły, że są w znacznej mierze gotowe na nowe obowiązki, a pracy nad wdrożeniem ewentualnych korekt nie będzie zbyt wiele. Rzecz w tym, iż diabeł tkwi w szczegółach. W ramach badania dokonaliśmy mapowania DORA na obecnie obowiązujące przepisy prawa i wytyczne nadzorcze. Okazało się, że w 70% te regulacje się pokrywają, ale w 30% DORA wprowadza całkowicie nowe obowiązki bądź doprecyzowuje obecne. Dostosowanie się do tych 30% nowych lub zmienionych reguł może jednak okazać się sporym wyzwaniem dla sektora.
Na szczęście pozostało jeszcze trochę czasu, żeby dostosować się do tych przepisów…
Maciej Bisch, Manager, EY Law: DORA już jest uchwalonym aktem prawnym, natomiast mamy czas na dostosowanie się do jego postanowień. Niemniej w przeciwieństwie np. do NIS 2, DORA jest rozporządzeniem, czyli będzie mieć zastosowanie bezpośrednie, bez potrzeby implementacji do porządku prawnego poszczególnych państw. Pojawia się oczywiście pytanie, na ile wspomniane rekomendacje KNF zostaną dostosowane do nowej regulacji unijnej i kiedy to nastąpi.
Rozumiem, że tutaj chodzi o rok 2025…
Maciej Bisch: Mamy dwuletni okres na dostosowanie się do DORA, więc faktycznie mowa o roku 2025.
Joanna Gałajda: Chciałabym zwrócić uwagę na jedną kwestię odnośnie dostosowywania się instytucji obowiązanych do DORA. Organizacje, zwłaszcza banki, będą musiały przyjąć politykę dwóch prędkości. Część obowiązków, np. w zakresie niektórych asepktów zarządzania stronami trzecimi, banki mogłyby zacząć adresować już dziś, w przypadku innych należy zaczekać na RTS, które będą wydane nie wcześniej niż w styczniu. Obserwujemy tendencję na rynku, że część organizacji czeka na RTS, by w odpowiedni sposób zaimplementować obowiązki. Wydaje się jednak, że należy rekomendować dwuetapowe podejście do implementacji DORA, by zacząć prace już dzisiaj, a kontynuować w kolejnym roku.
Czy nie rodzi się niebezpieczeństwo, że część prac, które zostaną wykonane, będą wymagać korekt po ogłoszeniu RTS?
Joanna Gałajda: Tam, gdzie nie będą wymagane RTS, tam możemy przystąpić do wdrażania nowych reguł już teraz. Jest część obowiązków, do których faktycznie potrzebujemy wytycznych, banki nie wiedzą, w jaki sposób interpretować poszczególne, nowe wymagania, dlatego muszą chwilkę zaczekać, nie spowalniając działań w pozostałym zakresie.
Regulacjami DORA będą objęte nie tylko banki, ale również instytucje, które współpracują z bankami. Czy będzie to dużym wyzwaniem dla tych podmiotów?
Maciej Bisch: DORA będzie miała zastosowanie do innych instytucji finansowych, ale również dostawców ICT zapewniających usługi bądź sprzęt podmiotom objętym regulacją.
Joanna Gałajda: To pierwsza taka regulacja nadzorcza dla rynku finansowego, obejmująca podmioty nie działające stricte na tym rynku. Dostawcy ICT nie tylko muszą się dostosować do wymagań DORA, ale również zostaną objęci nadzorem finansowym, który będzie mógł w odpowiedni sposób weryfikować, czy spełniają określone wymogi DORA. Jest to zarazem zadanie dla dostawców technologii, żeby nową regulacje dobrze poznać i zweryfikować poziom dostosowania do niej. Zakładamy, że polskie banki najwięcej pracy będą miały właśnie w zakresie zarządzania stronami trzecimi, łańcuchem dostaw i dostawcami. To będzie ogrom pracy, który będzie musiał zostać wykonany. Trzeba będzie wdrożyć odpowiednie procesy oceny tych dostawców, skategoryzować ich na dostawców usług krytycznych i pozostałych, dostosować umowy z nimi, zapewnić odpowiednie plany ciągłości działania czy wreszcie plany wyjścia z umów z dostawcami. Najpewniej będzie to jedno z kluczowych zadań dla sektora finansowego.
To będzie problem także dla dostawców, którzy będą musieli uświadomić sobie ciążące na nich obowiązki; albo banki będą musiały im uświadomić ten fakt.
Maciej Bisch: Rozszerzone zastosowanie rozporządzenia wobec podmiotów spoza sektora finansowo-bankowego generuje dodatkowe obowiązki i konieczność uświadomienia sobie tych obowiązków przez dostawców ICT. Wydaje się, że w dużej mierze ta świadomość już jest. O DORA mówi się sporo wśród dostawców ICT, szczególnie takich, którzy dostarczają swoje usługi czy urządzenia do sektorów ściśle regulowanych. Natomiast będzie potrzeba wykonania niemałej pracy przez podmioty uczestniczące w łańcuchu dostaw.
W sumie sens DORA jest taki, żeby zwiększyć odporność banków na różne cyberzagrożenia, by po ewentualnym ataku mogły szybko powrócić do sprawnego działania…
Joanna Gałajda: W tym kierunku zmierza cały trend regulacyjny. Zwłaszcza nadzorca europejski stawia duży nacisk na ciągłość działania organizacji i możliwość szybkiego reagowania na zagrożenia, mapowania podatności i przywracania sprawności działania. Chodzi też o to, żeby wyrównać poziom w całym sektorze finansowym. Temu służy nie tylko DORA, ale również NIS 2. Wiemy, że banki są dość dobrze przygotowane, posiadają plany ciągłości działania, plany reagowania, przywracania sprawności działania organizacji. Jednak DORA to nie tylko banki, ale również ubezpieczyciele i inne podmioty, być może nie tak dojrzałe w zakresie cyberbezpieczeństwa i odporności. One będą musiały dorównać do poziomu, który dzisiaj reprezentują banki, tak żeby cały sektor finansowy w kontekście różnych podsektorów, ale i różnych jurysdykcji zapewniał analogiczny poziom ochrony klienta na koniec dnia.
Czy poza DORA można dziś wskazać inne regulacje, obowiązujące lub przygotowywane, na które banki powinny obecnie zwrócić szczególną uwagę?
Maciej Bisch: Na pewno trzeba tu uwzględnić działania legislacyjne w obszarze sztucznej inteligencji. Obecnie procedowany jest AI Act, którego projekt podlegał rozlicznym zmianom po jego ogłoszeniu ponad dwa lata temu. Regulacja ta będzie mieć zastosowanie do systemów AI wysokiego ryzyka, w tym niektórych systemów stosowanych w sektorze finansowym. Przede wszystkim należy zwrócić uwagę na scoring kredytowy bądź zdalną identyfikację biometryczną. Te systemy będą podlegać pod AI Act jako potencjalne systemy wysokiego ryzyka, co generuje konieczność dostosowania się do nadchodzących regulacji. Zarówno dostawcy tych systemów, importerzy czy dystrybutorzy, ale również użytkownicy będą musieli zapewnić, że wdrażane rozwiązania IT są zgodne z regulacjami.
Joanna Gałajda: Największym wyzwaniem, które czeka sektor finansowy w kontekście nowych regulacji, jest ich mnogość i związany z tym problem ich harmonizacji. Zdarza się, że klienci już teraz rozważają, do której regulacji należy w pierwszej kolejności się dostosować, która obowiązuje ich sektor i w jakim zakresie. W kontekście cyberodporności wchodzi w grę DORA, ale również dyrektywa NIS 2, CRA czy też wspomniany AI Act, i wszystkie one w pewnym momencie będą musiały ze sobą współgrać. Wydaje się, że jest potrzeba stworzenia pewnych wytycznych, czy to przez nadzorcę, czy to przez rynek i określenia ujednoliconego standardu w zakresie cyberbezpieczeństwa, który będzie obowiązywał w całym sektorze.
Przy takiej mnogości aktów prawnych jest w ogóle możliwe osiągnięcie pełnej spójności całego środowiska regulacyjnego?
Joanna Gałajda: To jest problem harmonizacji przepisów. O ile regulacje na poziomie europejskim najpewniej będą spójne, bo one powstają równolegle, więc zakładamy, że harmonizacja nastąpi, jednak część z tych regulacji to dyrektywy, które będą następnie implementowane do lokalnych porządków prawnych przez ustawy. I tutaj państwa członkowskie mają pewną dowolność, jak daną dyrektywę implementować. Trudno zagwarantować, że lokalny ustawodawca weźmie pod uwagę potrzebę harmonizacji tych i innych istniejących przepisów, czy to na szczeblu europejskim, czy chociażby lokalnych regulacji sektorowych. Do implementacji przepisów europejskich powinno się podchodzić bardzo mądrze na szczeblu lokalnym, tak żeby nie zgubić ważnego aspektu ich harmonizacji.
Maciej Bisch: To ma znaczenie także pod kątem podmiotów, które działają na wielu rynkach, czyli multijurysdykcyjnie. W sytuacji, w której mamy dyrektywę, która może być różnie implementowana w różnych państwach członkowskich, mogą pojawić się bardzo różne interpretacje jej przepisów w poszczególnych państwach członkowskich. Stwarza to też ryzyko compliance dla podmiotów, które muszą w tym momencie odwołać się do regulacji w każdym z państw i dostosować się do nich w każdym aspekcie.
Czyli może się zdarzyć, że bank matka będzie musiał dla poszczególnych podmiotów w ramach grupy stosować różne przepisy, albo przynajmniej różną ich wykładnię…
Joanna Gałajda: Tak się niestety może zdarzyć i pewnie najtrudniejszym elementem będzie identyfikacja tych obowiązujących przepisów, a także ich monitorowanie. Dodatkowo, należy spodziewać się różnych prędkości implementacji tych przepisów do porządków krajowych, więc trzeba będzie na bieżąco monitorować, w jaki sposób są one implementowane, interpretowane, stosowane, a w ostatecznym rozrachunku na bieżąco reagować na zmiany prawa.