- dr Katarzyna Sawicka, Jakub Bojanowski, dr Jan Wittlin Autorzy artykułu są wykładowcami na studiach podyplomowych Fintech, a nowe trendy w sektorze finansowym organizowanych przez Akademię Leona Koźmińskiego.
Pod koniec 2022 roku Parlament Europejski przyjął regulację DORA (Digital Operational Resilience Act), której założeniem jest zharmonizowanie procesów zarządzania ryzykiem technologicznym i wprowadzenia jednolitych zasad zapewnienia bezpieczeństwa sieci i systemów IT wspierających procesy biznesowe w całym sektorze finansowym.
W porównaniu do dotychczasowego podejścia, gdzie regulatorzy opracowywali odrębne zasady obowiązujące banki, firmy ubezpieczeniowe i inne podmioty działające na rynku finansowym, DORA całkowicie zmienia reguły gry. Regulacja (w dość jednolity sposób) będzie obowiązała praktycznie wszystkie podmioty współtworzące rynek finansowy. Kategorii podmiotów objętych przepisami DORA jest ponad 20, w tym podmioty w sektorze FinTech, a także (co jest pewną nowością) bezpośrednio niektórzy dostawcy usług IT pracujący dla sektora finansowego.
Taki kształt regulacji DORA, która dość jednolicie traktuje wszystkich uczestników rynku (choć niektóre mniejsze instytucje są zwolnione z części obowiązków przewidzianych w rozporządzeniu), jest reakcją na postęp technologiczny, który kształtuje krajobraz sektora finansowego. Nowe technologie chętnie są adaptowane przez wyspecjalizowane FinTechy konkurujące (dzięki umiejętnemu wykorzystaniu tych technologii) z tradycyjnymi bankami, firmami ubezpieczeniowymi, inwestycyjnymi, czy funduszami inwestycyjnymi. Wcześniejsze akty prawne, dostosowane do tradycyjnej bankowości i tradycyjnego modelu świadczenia usług finansowych, nie regulowały wystarczająco nowo-powstających na rynku produktów finansowych, wymykających się tradycyjnym definicjom. Równocześnie wzrost ryzyka związanego z cyberprzestępczością i skala wykorzystania technologii przez klientów sektora finansowego oraz nowe zjawiska związane z ochroną prywatności w Internecie spowodowały, że regulacje w zakresie technologii szybko stawały się przestarzałe.
UE przyjęła strategię stopniowego dostosowania obowiązujących regulacji związanych z wykorzystaniem technologii do nowych wyzwań i przyjęcie DORA jest tylko elementem tego procesu. Już w marcu 2018 r. Komisja Europejska przedstawiła pierwszy unijny plan działania w sprawie technologii finansowej. Od tej pory unijny prawodawca aktywnie działa w celu otwarcia rynku finansowego w UE na nowe technologie przy jednoczesnym uwzględnieniu ochrony klientów i zapewnieniu stabilności rynków finansowych. We wrześniu 2020 r. KE przyjęła nowy pakiet dotyczący finansów cyfrowych. Przykładami regulacji przedstawionych w wyniku tych działań są, oprócz DORA, m.in. rozporządzenie dotyczące crowdfundingu, rozporządzenie dotyczące rynku kryptoaktywów (tzw. MiCA), czy też DLT Pilot (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/858 w sprawie systemu pilotażowego na potrzeby infrastruktur rynkowych opartych na technologii rozproszonego rejestru). Niedawno opublikowano propozycje zmian w przepisach dotyczących usług płatniczych – projekt dyrektywy PSD3 oraz rozporządzenia w sprawie usług płatniczych. W przyszłości możemy zatem spodziewać się nowych ram prawnych, które pozwolą na pełniejsze wdrożenie idei open finance, czyli obrotu danymi finansowymi w celu uzyskania przez klientów jak najlepszych usług.
DORA a cyberbezpieczeństwo
Jak podkreślono w preambule rozporządzenia, jednym z powodów, dla których uznano, że konieczne jest opracowanie nowej regulacji dotyczącej zarządzania ryzykiem technologicznym jest poziom powiązań technologicznych między poszczególnymi podmiotami finansowymi ich dostawcami usług technologicznych i potencjalny wpływ takich powiązań na stabilność i bezpieczeństwo rynków finansowych. Coraz częściej obserwujemy, że cyberincydenty i ataki cyberprzestępców nie dotyczą wyłącznie poszczególnych podmiotów działających na rynku, a mają tendencję do propagowania się na cały sektor finansowy (nie tylko na poziomie krajowym).
Z tej perspektywy ochrona systemu finansowego i zapewnienie jego odporności cyfrowej wymaga podejmowania działań skoordynowanych w obszarze całej Unii. Dotychczasowe regulacje w tym zakresie (jak choćby polska Rekomendacja D, która ma już 10 lat) skupiały się na zarządzaniu ryzykiem w obrębie poszczególnych instytucji. Na ich podstawie możliwe było wdrażanie podstawowych zasad dobrej praktyki oraz podnoszenie bezpieczeństwa technicznego i wiarygodności systemów wdrożonych u poszczególnych uczestników rynku, natomiast nie kładły one wystarczającego nacisku na aktywne reagowanie na cyberzagrożenia. Instytucje finansowe niejednokrotnie miały wątpliwości, czy obowiązujące je przepisy (np. w zakresie tajemnic zawodowych), pozwalają im na dzielenie się między sobą informacjami o atakach cybernetycznych.
Od kilku lat eksperci od cyberbezpieczeństwa zaczęli konsekwentnie podkreślać rolę dostępu do informacji o incydentach i wymiany informacji o technikach ataku stosowanych przez hakerów w zwalczaniu cyberprzestępczości. DORA próbuje realizować ten postulat. Przepisy wskazują, że odpowiedzialność podmiotów finansowych za kwestie bezpieczeństwa nie kończy się wraz z punktem styku sieci firmowej z Internetem. Każda z instytucji ponosi współodpowiedzialność za stabilność i bezpieczeństwo całego sektora finansowego, a jednym z ważniejszych zadań w tym obszarze jest odpowiednie i szybkie zgłaszanie incydentów oraz dzielenie się wiedzą na temat scenariuszy ataków lub błędów w konfiguracji systemów, które są wykorzystywane przez hakerów.
Aby podkreślić znaczenie reagowania na incydenty warto zauważyć, że temu zagadnieniu poświęcono cały rozdział rozporządzenia, który dość dobrze wpisuje się w trendy w zakresie cyberbezpieczeństwa, które są zawarte w innych regulacjach. Rozwiązania postulowane przez DORA są kierunkowo zgodne ze zmianami przyjętymi ostatnio w Dyrektywie NIS 2 (dotyczącej bezpieczeństwa teleinformatycznego), w której również rozwiązania umożliwiające wymianę informacji o cyberincydentach i know-how pomiędzy różnymi podmiotami działającymi na rynku tym zakresie zostały rozbudowane. Przy czym dla podmiotów objętych zakresem DORA, to rozporządzenie stanowi lex specialis w stosunku do NIS2. Oznacza to, że w obszarach, gdzie przepisy tych aktów są konkurencyjne, pierwszeństwo powinny mieć zasady wynikające z DORA.
Jak wdrożyć DORA?
Potencjalne trudności we wdrożeniu DORA są ostatnio tematem coraz częściej podnoszonym przez konsultantów, którzy zachęcają do podjęcia działań już teraz, a nie dopiero tuż przed rozpoczęciem stosowania rozporządzenia (od stycznia 2025). Czy obowiązek wdrożenia DORA rzeczywiście oznacza dla podmiotów sektora finansowego konieczność podjęcia skomplikowanych projektów wdrożenia tej regulacji? I czy rzeczywiście zmiany w procesach zarzadzania obszarem technologii wynikające z DORA będą aż tak znaczące?
Sektor finansowy jest tradycyjnie liderem w zakresie IT Governance (czyli procesów zarządczych w obszarze IT) i choć kolejny pakiet regulacji będzie z pewnością wymagał zaangażowania dodatkowych zasobów, to czasochłonność wdrożenia w poszczególnych instytucjach będzie w dużej mierze zależała od dojrzałości obecnych procesów zarządzania bezpieczeństwem IT. Niektóre podmioty z sektora finansowego są już obecnie adresatami przepisów i aktów soft law z zakresu bezpieczeństwa IT (np. banki w ramach rekomendacji D, zakłady ubezpieczeń w zakresie rekomendacji KNF, czy wiele podmiotów nadzorowanych w procesach wdrożeń chmurowych). Z perspektywy dużego gracza (np. dużego banku detalicznego) wdrożenie DORA zapewne rozpocznie się od wykonana „analizy luki”, czyli porównania obecnych procesów IT do wymagań rozporządzenia. Analiza wskaże zapewne kilka obszarów do zmiany, ale w instytucji, która przez lata wypracowała „korporacyjne” struktury oraz zestaw polityk, regulaminów i procedur, zmiany wynikające z DORA nie muszą oznaczać znacznej reorganizacji istniejących praktyk. Z drugiej strony, dla niewielkiego (lub średniej wielkości) startupu, który działa w sektorze FinTech, ale do tej pory nie podlegał pod branżowe regulacje „szok kulturowy” związany w wdrożeniem DORA może być znaczący. Regulacja nie skupia się aż tak bardzo na samej sferze technologii (przepisy zasadniczo dążą do zapewnienia neutralności technologicznej): dotyka organizacji, procesów zarządzania, wymogów dokumentacyjnych. Z tego punktu widzenia wdrożenie DORA może być wymagające dla mniejszych podmiotów, w przypadku których chociażby niski stan zatrudnienia może ograniczać możliwości wdrożenia pełnego podziału obowiązków i zapewnienia kontroli procesów na zasadzie „trzech linii obrony” (co jest jednym z kluczowych postulatów DORA).
Zasada proporcjonalności
Wychodząc naprzeciw mniejszym podmiotom, w DORA wskazuje się zastosowanie zasady proporcjonalności na etapie wdrażania wymogów. Wdrażając poszczególne rozwiązania podmioty mogą brać pod uwagę wielkość, profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług działań i operacji. Oznacza to, że pomimo że ogólne zalecenia DORA dotyczą wszystkich, mniejsi gracze nie muszą wdrażać dokładnie tych samych rozwiązań co np. duże międzynarodowe banki – mają możliwość wybrania prostszych zabezpieczeń lub mniej kosztownych organizacyjnie procedur, które będą dostosowane do ich profilu ryzyka.
Sama zasada proporcjonalności nie jest nowinką i pojawiała się już w we wcześniejszych regulacjach dla IT w sektorze finansowym (w tym w rekomendacji D i wytycznych ICT opublikowanych przez ECB w 2019 roku). W praktyce stosowanie tej zasady może napotykać na pewne trudności. Rozporządzenie wskazuje jasno, że wielkość instytucji nie jest jedynym kryterium, którym należy się kierować przy wyborze rozwiązań. W przypadku kontroli instytucje finansowe będą musiały wykazać przed organem nadzorczym, że przyjęte przez nie rozwiązania są adekwatne do profilu ryzyka działalności biorąc pod uwagę, między innymi, rodzaj oferowanych usług, profil klientów czy skalę operacji.
Dużą rolę w skutecznym zastosowaniu zasady proporcjonalności będzie miała wiedza na temat praktyk stosowanych na rynku. DORA nakłada na organ nadzorczy obowiązek monitorowania, w jaki sposób zasada proporcjonalności jest wdrażana w całym sektorze i czy rozwiązania przyjmowane przez poszczególne instytucje są spójne ze sobą. Rozwiązanie to daje instytucjom finansowym szansę na wypracowywanie i przyjmowanie jednolitych branżowych standardów (na przykład w odniesieniu do bezpieczeństwa systemów), a jednocześnie pozwala regulatorowi identyfikować te instytucje, których rozwiązania znacząco odbiegają „średniej rynkowej”.
Analiza ryzyka Zastosowanie zasady proporcjonalności wiąże się bardzo ściśle z podstawowym wymogiem DORA, jakim jest obowiązek wdrożenia procesu zarządzania ryzykiem technologicznym. Koncepcja przeprowadzenia analizy ryzyka i dopiero na jej podstawie projektowanie i wdrażanie określonych rozwiązań technicznych i organizacyjnych nie jest nowa – jej elementy zawierała np. zarówno (stara – bo z 2013 roku) Rekomendacja D jak i w pewnym zakresie w RODO. Nie jest to więc rozwiązanie, które będzie dla instytucji finansowych absolutną nowością, ale warto podkreślić, że niektóre wymogi DORA wykraczają poza obecną praktykę rynkową. W szczególności, proces zarządzania ryzykiem IT musi być sformalizowany, a jego kluczowe elementy i produkty udokumentowane. O ile dotychczas szczegółowe wytyczne w zakresie analizy ryzyka IT ograniczone były zasadniczo do obszaru chmury obliczeniowej (zgodnie z Komunikatem chmurowym KNF), o tyle DORA swoim zakresem obejmuje praktycznie całość obszaru IT, w tym także dostawców zewnętrznych i realizowane przez nich usługi. Analiza ryzyka IT powinna być aktualizowana co najmniej raz do roku (chyba że podmiot podlega wyłączeniu spod tego obowiązku) i zawierać założenia dla systemów wskaźników efektywności i ryzyka, który obejmuje także (ale nie tylko) raportowanie ewentualnych incydentów i pozwala na bieżąco śledzić poziom ryzyka IT w organizacji.
Wymogi niezależnego audytu
Warto podkreślić, że dzięki DORA po raz pierwszy w polskim systemie powszechnie obowiązujących aktów prawa dla sektora finansowego pojawia się wprost na tak dużą skalę wymóg przeprowadzenia niezależnego audytu w obszarze IT. W zakresie badania znaleźć się powinna m.in. wspomniana wcześniej analiza ryzyka IT oraz testy bezpieczeństwa systemów (w tym testy penetracyjne), które stają się tym samym obowiązkowym, usankcjonowanym prawnie elementem procesów zarządzania. Dotychczas tego typu rozwiązania nawet jeżeli były w sektorze finansowym wdrażane miały rangę dobrej praktyki lub rekomendacji, a nie formalnego wymogu prawnego.
Zarządzanie dostawcami i wymogi dla dostawców IT
Obszarem, który przy wdrożeniu DORA może wywoływać dużo kontrowersji i praktycznych trudności, jest zestaw wymagań dotyczących zarządzania ryzkiem dostawców IT. Zagadnieniu temu poświęcony jest cały rozdział rozporządzenia. Korzystanie z usług zewnętrznych w obszarze IT nie ogranicza obowiązków instytucji finansowej w zakresu nadzoru i zarządzania ryzykiem. Usługa świadczona przez podmiot zewnętrzny musi być włączona do analizy ryzyka technologicznego i w tym sensie traktowana tak samo jak każdy inne element infrastruktury IT. Jednocześnie dla instytucji korzystających z usług podmiotów zewnętrznych z DORA wynikają dodatkowe obowiązki.
Dostawcy IT i świadczone przez nich usługi muszą być oceniane pod kątem ich znaczenia dla procesów biznesowych instytucji finansowej. Te z usług, które są ocenione jako krytyczne lub istotne podlegają dodatkowym rygorom, a w szczególności obowiązkowi ich zgłoszenia do organu nadzorującego. Skala usług zewnętrznych i dobór dostawców muszą być oceniane pod kątem potencjalnego ryzyka koncentracji. DORA zawiera też dość szczegółowe zalecenia co do samych umów zawieranych z dostawcami usług, które powinny określać nie tylko sposób realizacji usługi i oczekiwany poziom jakości, ale także z góry przewidywać scenariusz rozwiązania współpracy z dostawcą i związane z tym techniczne kwestie przekazania kontroli nad systemami i zawartymi w nich danymi do instytucji finansowej. DORA wprowadza konieczność zapewnienia sobie przez instytucje finansowe prawa kontrolowania i audytu dostawców.
DORA adresuje również kwestię wyrównania pozycji negocjacyjnych podmiotów finansowych i największych dostawców usług IT (w tym globalnych operatorów usług chmurowych, ale także dużych firm świadczących usługi outsourcingu). Rozporządzenie wprowadziło pojęcie specjalnej grupy dostawców - tak zwanych kluczowych zewnętrznych dostawców usług. Usługodawca, który w wyniku decyzji organów nadzorczych znajdzie się na takiej liście (a z pewnością należy tego oczekiwać, że znajdzie to zastosowanie do BigTechów takich jak Amazon, Google czy Microsoft), będzie traktowany w sposób szczególny. Po pierwsze – przepisy DORA będą obowiązywały takiego dostawcę bezpośrednio na podobnych zasadach jak instytucje finansowe. Ponadto, kluczowy dostawca będzie bezpośrednio podlegał pod nadzór regulatora (w skali międzynarodowej, dla każdego dostawcy zostanie przypisany organ nadzoru finansowego). Objęcie kluczowych dostawców usług IT wprost przepisami DORA może mieć istotne znaczenie dla podziału odpowiedzialności za ograniczanie ryzyka w obszarze IT pomiędzy instytucję finansową i dostawcę z perspektywy regulatorów. Bezpośredni nadzór nad kluczowymi dostawcami stwarza szanse na uzyskanie przez nich pełniejszego i bardziej aktualnego obrazu stanu ryzyka IT niż, siłą rzeczy, pośredni i niepełny obraz przekazany przez instytucje finansowe.
Przepisy wykonawcze
Bazując bezpośrednio na przepisach DORA, przygotowania do wdrożenia regulacji można (i należy) rozpocząć już teraz, ale wiele szczegółowych wymogów dotyczących sposobu wdrożenia DORA poznamy dopiero w perspektywie kilku lub nawet kilkunastu miesięcy.
Komisja Europejska otrzymała uprawnienie do przygotowania pakietu ponad 10 rozporządzeń wykonawczych w randze RTS oraz ITS. Oczekujemy również kilku zestawów wytycznych od Europejskich Organów Nadzoru. Dokumenty te będą uszczegóławiały (często w sposób bardzo techniczny) postanowienia DORA zapewniają jednolitą interpretację przepisów w poszczególnych krajach Unii i przez poszczególnych regulatorów.
Pierwszy pakiet projektów RTS/ITS został przekazany do konsultacji w czerwcu 2023 r. Dotyczą one tak istotnych tak istotnych kwestii jak ramy zarządzania ryzykiem oraz uproszczone zarządzanie ryzykiem, kryteria klasyfikacji incydentów, zarządzanie relacjami z dostawcami technologii ICT oraz prowadzenie rejestrów informacji. Kolejne dokumenty będą z pewnością pojawiały się sukcesywnie przez cały okres, który pozostał do wdrożenia rozporządzenia (w styczniu 2025) a nawet jego wejściu w życie.
Czy DORA zadziała?
DORA jest niewątpliwie szansą na ustanowienie jednolitego, wysokiego poziomu bezpieczeństwa cyfrowego w sektorze finansowym. Zasada proporcjonalności oraz przebijające z przepisów podejście oparte na ryzyku stanowią mechanizmy pozwalające dostosować rozwiązania technologiczne i proceduralne wskazane w DORA do kształtu działalności konkretnych instytucji finansowych.
Pozytywnie należy ocenić próbę wdrożenia systemu, który ma pozwolić na sprawną wymianę informacji o incydentach. Dzielenie się wiedzą i odpowiednie reagowanie na problemy na poziomie sektorowym jest istotnym warunkiem zapewnienia stabilności sektora finansowego.
Długo wyczekiwaną nowością jest objęcie przepisami wprost istotnych dostawców technologii IT. Wymusi to niejako podjęcie przez te podmioty określonych działań w zakresie bezpieczeństwa cyfrowego (dostawcy będą bezpośrednimi adresatami przepisów i będą podlegać bezpośrednio nadzorowi finansowemu). Do tej pory obowiązek odpowiednio ukształtowania relacji kontraktowych oraz zapewnienia istnienia pewnych rozwiązań technologicznych spoczywał na instytucjach finansowych. W praktyce często wyegzekwowanie niektórych z tych wymogów od dostawców było skomplikowane lub niemożliwe.
Na razie nie znamy jeszcze odpowiedzi na pytanie jak DORA wpłynie na kształt obecnych regulacji krajowych, w szczególności, czy polski ustawodawca zdecyduje się na zmodyfikowanie przepisów dotyczących outsourcingu regulowanego lub czy utrzymany zostanie komunikat chmurowy KNF. Regulacje te nakładają się bowiem w istotnym zakresie na wymogi DORA. Z drugiej strony, rozpoczęcie stosowania DORA nie sprawi samoistnie, że dotychczasowe regulacje przestaną obowiązywać. Możemy więc spodziewać się działań ze strony ustawodawcy oraz KNF – konsultacji, których zapewne będą potrzebować interesariusze, oraz ewentualnych zmian w ramach regulacyjnych.
Jeśli interesuję cię temat FINTECHÓW zapraszamy na studia podyplomowe Fintech a nowe trendy w sektorze finansowym.
