Cyberbezpieczeństwo | Prawo i regulacje

UKNF o odwołaniu komunikatu chmurowego

mb | BANK.pl
UKNF o odwołaniu komunikatu chmurowego
Fot. stock.adobe.com / dmutrojarmolinua
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Planowane jest uchylenie obecnych rekomendacji i wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, które mają zastosowanie do podmiotów finansowych objętych wymogami Rozporządzenia DORA. Zaplanowane jest również odwołanie komunikatu UKNF dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej („Komunikat chmurowy”), czytamy w informacji na stronie internetowej Komisji.

Powód uchylenia Komunikatu chmurowego

Uchylenie wspomnianych aktów oraz odwołanie Komunikatu chmurowego wynika ze zbieżności ich zakresu przedmiotowego z obowiązkami wynikającymi z Rozporządzenia DORA oraz powiązanych z nim aktów wykonawczych.

Dodatkowo są to akty tzw. soft law i nie są źródłami prawa powszechnie obowiązującego, w przeciwieństwie do Rozporządzenia DORA.

Planowane przez UKNF działania pozwolą zatem uniknąć wątpliwości interpretacyjnych, które mogłyby wystąpić w przypadku obowiązywania przepisów prawa powszechnie obowiązującego oraz dotychczasowych aktów o charakterze tzw. soft law. Przyczynią się także do ograniczenia obciążeń regulacyjnych, jakie w obszarze operacyjnej odporności cyfrowej mają zastosowanie do podmiotów nadzorowanych przez KNF.

Czytaj także: SafeBank 2024 o wyzwaniach bezpieczeństwa gospodarki cyfrowej

Akty planowane do uchylenia i odwołania

  • Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach,
  • Rekomendacja D-SKOK dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych,
  • Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego,
  • Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

O terminie uchylenia UKNF poinformuje w odrębnej informacji.

Czytaj także: Jak DORA zmieni funkcjonowanie polskiego sektora finansowego od 2025 roku

Spójne podejście UE

Podobne analizy zbieżności zakresu przedmiotowego wytycznych w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz wytycznych w sprawie outsourcingu do dostawców usług w chmurze obliczeniowej z Rozporządzeniem DORA przeprowadzane są przez Europejskie Urzędy Nadzoru.

Planowane uchylenie Rekomendacji i wytycznych oraz odwołanie Komunikatu chmurowego odpowiada na potrzebę podjęcia na szczeblu krajowym działań spójnych z podejściem do definiowania wymogów zarządzania ryzykiem związanym z ICT, jakie w związku z Rozporządzeniem DORA można obserwować na poziomie prawodawstwa europejskiego.

Zgodnie z motywem 8 Rozporządzenia DORA, rozbudowanie jednolitego zbioru przepisów i systemu nadzoru, tak aby uwzględniały one również operacyjną odporność cyfrową, ma na celu wzmocnienie kompetencji właściwych organów – w tym KNF – aby umożliwić im sprawowanie nadzoru w zakresie zarządzania ryzykiem związanym z ICT w sektorze finansowym i chronić integralność oraz efektywność rynku wewnętrznego, a także ułatwić jego należyte funkcjonowanie.

Motyw  9 Rozporządzenia DORA wskazuje, że rozbieżności legislacyjne i niejednolite krajowe podejścia regulacyjne lub nadzorcze do ryzyka związanego z ICT powodują powstanie przeszkód dla funkcjonowania rynku wewnętrznego usług finansowych, utrudniając sprawne korzystanie ze swobody przedsiębiorczości i swobody świadczenia usług podmiotom finansowym prowadzącym działalność transgraniczną. Brak spójności wynikający ze zmian planowanych na szczeblu krajowym mógłby spowodować dalsze przeszkody dla funkcjonowania rynku wewnętrznego ze szkodą dla uczestników rynku i stabilności finansowej.

Również motyw 11 Rozporządzenia DORA wskazuje konieczność dalszej harmonizacji najważniejszych wymogów w zakresie operacyjnej odporności cyfrowej dla wszystkich podmiotów finansowych. Sygnalizuje także cel Rozporządzenia DORA, którym jest przyczynienie się do sprawnego funkcjonowania rynku wewnętrznego.

W motywie 14 Rozporządzenia DORA podkreślono, że pomaga ono ograniczyć stopień złożoności regulacyjnej, wspiera spójność w zakresie nadzoru, zwiększa pewność prawa, a także przyczynia się do ograniczenia kosztów przestrzegania przepisów, zwłaszcza dla podmiotów finansowych prowadzących działalność transgraniczną i do zmniejszenia zakłóceń konkurencji.

Wybór rozporządzenia na potrzeby ustanowienia wspólnych ram operacyjnej odporności cyfrowej podmiotów finansowych jest odpowiednim sposobem zagwarantowania jednolitego stosowania wszystkich elementów zarządzania ryzykiem związanym z ICT przez unijny sektor finansowy.

Czytaj także: Core system przed wielką zmianą

***

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

Źródło: Komisja Nadzoru Finansowego / KNF