DORA FAQ

Artykuł bazy wiedzy, 09 listopada 2022

Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.

Poniższy zestaw pytań i odpowiedzi jest podsumowaniem najczęściej pojawiających się kwestii w trakcie szkoleń dotyczących projektowanego Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA). Odpowiedzi mają charakter nieformalny i zostały przygotowane przez prawników Kancelarii w oparciu o aktualny projekt DORA, który może ulegać zmianom.

FAQ będą cyklicznie aktualizowane i poszerzane o dodatkowe pytania.

1. Czy DORA będzie stosowana dla wszystkich podmiotów finansowych jednakowo?

Nie. DORA zawiera kilka wyłączeń podmiotowych w art. 2 ust. 3. Jej przepisy nie znajdą zastosowania m.in. do:

  • zarządzających alternatywnymi funduszami inwestycyjnymi wskazanych w art. 3 ust. 2 dyrektywy 2011/61/UE;
  • „małych ubezpieczycieli” (art. 4 dyrektywy 2009/138/WE);
  • agentów ubezpieczeniowych (pośredników ubezpieczeniowych, pośredników reasekuracyjnych i pośredników oferujących ubezpieczenia uzupełniające) będących mikro, małymi lub średnimi przedsiębiorcami.

Różnice dotyczą też poszczególnych obowiązków. Przykładowo art. 14a wskazuje, że zasady zarządzania ryzykiem związanym z ICT nie będą miały zastosowania do niektórych kategorii podmiotów. Różnice w zakresie obowiązków będą dotyczyły również testów penetracyjnych – właściwe organy wskażą podmioty finansowe zobowiązane do przeprowadzenia takich testów.

Dodatkowo – artykuł 3a wprowadza zasadę proporcjonalności w stosowaniu wymogów DORA. Uwzględnienie tej zasady również może wpływać na sposób spełnienia  wymogów.

2. Czy rejestr informacji o ustaleniach umownych to rejestr poszczególnych postanowień umów?

Nie. Polskie tłumaczenie DORA może sugerować, że rejestr powinien obejmować wszystkie postanowienia umów z zewnętrznymi dostawcami ICT. Jednak uwzględniając sens całego art. 27 ust. 4 oraz angielski tekst rozporządzenia („contractual arrangements”) wydaje się, że chodzi po prostu o poszczególne umowy.

Obowiązek prowadzenia rejestru umów z dostawcami znają już teraz niektóre podmioty finansowe – np. zakłady ubezpieczeń mają obowiązek prowadzenia ewidencji umów outsourcingu.

3. Jakie obowiązki wiążą się z rejestrem ustaleń umownych?

Podmioty finansowe będą zobowiązane do prowadzenia i aktualizacji rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT. Rejestr powinien zawierać rozróżnienie na ustalenia obejmujące funkcje kluczowe lub ważne oraz ustalenia, które takich funkcji nie obejmują.

Dodatkowo co najmniej raz w roku podmioty finansowe będą przedstawiały właściwym organom informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług i obsługiwanych funkcji.

4. Czy po uchwaleniu DORA wszystkie obowiązki podmiotów finansowych będą jasne?

Nie. Kilkanaście miesięcy później mają zostać przyjęte regulacyjne standardy techniczne, które doprecyzują wybrane kwestie.

5. Jakie kwestie będą uregulowane w regulacyjnych standardach technicznych (RTS)?

DORA zawiera upoważnienie do przyjęcia RTS w przepisach odnoszących się do różnych kwestii – najważniejsze z nich to:

  • Elementy, które należy uwzględnić w ramach zarządzania ryzkiem związanym z ICT, czyli o kwestie, które powinny znaleźć się w politykach, procedurach, protokołach i narzędziach w zakresie bezpieczeństwa ICT.
  • Doprecyzowane kryteria progów istotności dla incydentów związanych z ICT, w tym incydentów poważnych podlegających zgłoszeniu organom nadzoru.
  • Treść zgłoszeń dotyczących poważnych incydentów związanych z ICT.
  • Warunki, na jakich podmioty finansowe mogą powierzyć zewnętrznemu dostawcy usług obowiązki sprawozdawcze dotyczące incydentów związanych z ICT.
  • Doprecyzowane kryteria wyboru podmiotów finansowych, które mają przeprowadzić testy penetracyjne.
  • Inne kwestie dotyczące testowania: metodyka i podejście, które należy stosować na każdym etapie testów, zakres pen-testów oraz wymogi dotyczące poszczególnych etapów testów (wyniki, zamykanie, środki naprawcze).
  • Rodzaje informacji, które muszą się znaleźć w rejestrze informacji o ustaleniach umownych.
  • Elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo kluczowych lub ważnych funkcji.
  • Wyznaczenie członków wspólnego zespołu ds. kontroli z odpowiednich właściwych organów, jak również zadania i ustalenia robocze zespołu ds. kontroli. Zespół ds. kontroli będzie ustanowiony dla każdego kluczowego zewnętrznego dostawcy usług ICT.
  • Szczegółowe zagadnienia związane z nadzorem na kluczowymi zewnętrznymi dostawcami usług ICT, m.in. treść i format sprawozdań, których może zażądać organ nadzorczy od takiego dostawcy po zakończeniu działań nadzorczych.
6. Kto będzie tworzył regulacyjne standardy techniczne?

Regulacyjne standardy techniczne (RTS) przyjmie Komisja Europejska, natomiast ich projekt przedstawią Europejskie Urzędy Nadzoru (ESA), czyli Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA).

W niektórych przypadkach Europejskie Urzędy Nadzoru będą w tym zakresie współpracowały w ramach tzw. Wspólnego Komitetu. DORA wskazuje również przypadki, gdy obowiązkowa jest wcześniejsza konsultacja projektu RTS z Europejskim Bankiem Centralnym lub Agencją Unii Europejskiej ds. Cyberbezpieczeństwa.

7. Czy DORA zawiera wzory poszczególnych wymaganych dokumentów?

Nie. Natomiast Europejskie Urzędy Nadzoru będą upoważnione do opracowania projektów wykonawczych standardów technicznych, które mają ustanowić standardowe szablony, formularze i procedury dla podmiotów finansowych na potrzeby zgłaszania poważnych incydentów związanych z ICT oraz szablonów na potrzeby rejestrowania informacji.

Podobnie jak w przypadku RTS – wykonawcze standardy techniczne zostaną następnie przyjęte przez Komisję Europejską.

8. Czy DORA znajduje zastosowanie do dostawców?

Tak – w wybranym zakresie. Jedną najważniejszych zmian wprowadzonych przez DORA jest objęcie nadzorem kluczowych zewnętrznych dostawców usług ICT. DORA określa procedurę uznania danego dostawcy za kluczowego zewnętrznego dostawcę usług ICT.

Dostawcy, którzy zostaną uznani za kluczowych, będą podlegali obowiązkom m.in. w zakresie zarządzania ryzykiem, bezpieczeństwa fizycznego, ciągłości działania, identyfikacji i monitorowania incydentów. Spełnienie tych obowiązków będzie weryfikowane przez wiodący organ nadzorczy, czyli EBA, ESMA lub EIOPA w zależności od dostawcy*.

*Dla każdego kluczowego zewnętrznego dostawcy usług ICT zostanie wyznaczony wiodący organ nadzorczy.

9. Kto jest odpowiedzialny w organizacji za wdrożenie DORA?

DORA będzie wymagała zaangażowania różnych jednostek – zainteresowane działy to przede wszystkim bezpieczeństwo, compliance, procurement, IT oraz dział prawny.

Natomiast zgodnie z art. 4 ust. 2 organ zarządzający (zarząd) podmiotu finansowego ponosi ostateczną odpowiedzialność za zarządzenie ryzykiem związanym z ICT.

10. Lepiej współpracować z kluczowym zewnętrznym dostawcą usług ICT czy „zwykłym”?

Nie ma jednej uniwersalnej odpowiedzi, jednak wydaje się, że współpraca z kluczowym zewnętrznym dostawcą usług ICT będzie wiązała się z mniejszym ryzykiem.

W przypadku kluczowych dostawców poziom bezpieczeństwa świadczonych przez nich usług będzie weryfikowany nie tylko przez podmioty finansowy, lecz przede wszystkim przez organy nadzorcze. Można założyć, że fakt objęcia ich nadzorem „wymusi” dochowanie najwyższych standardów, zatem współpraca z takimi podmiotami co do zasady będzie obarczona mniejszym ryzykiem.

11. Czy kluczowy zewnętrzny dostawca ICT musi mieć siedzibę w UE?

Nie. Natomiast warunkiem możliwości korzystania z usług kluczowego zewnętrznego dostawcy usług ICT jest ustanowienie przez niego jednostki zależnej na terytorium UE w ciągu 12 miesięcy od wyznaczenia dostawcy jako kluczowego.

Pierwsza propozycja tekstu DORA była bardziej restrykcyjna i wykluczała możliwość korzystania z usług zewnętrznego dostawcy usług ICT, który „zostałby wyznaczony jako jeden z kluczowych dostawców usług ICT, gdyby miał siedzibę w UE”.

12. DORA stanowi, że niezależni testerzy prowadzący testy penetracyjne pod kątem wyszukiwania zagrożeń mogą być wewnętrzni lub zewnętrzni. Czy oznacza to możliwy outsourcing w tym zakresie?

Tak. DORA dopuszcza możliwość zatrudnienia zewnętrznych testerów, jednak wiąże się to z pewnymi obowiązkami – przede wszystkim zapewnieniem należytej ochrony informacji poufnych podmiotu finansowego oraz posiadaniem odpowiedniego ubezpieczenia OC przez testerów.

13. Czy DORA uchyli Komunikat Chmurowy i Rekomendację D?

Uchwalenie ani wejście w życie DORA nie wiąże się z automatycznym uchyleniem innych aktów, szczególnie wytycznych i rekomendacji polskiego nadzoru.

Natomiast DORA będzie aktem bezwzględnie obowiązującym (tak jak ustawy) i będzie w dużej mierze pokrywała ten sam zakres co wytyczne KNF / UKNF dot. wykorzystywania technologii w sektorze finansowym. Dlatego zmiany lub nawet uchylenie niektórych wytycznych nadzorcy są prawdopodobne.

14. Czy DORA ma zastosowanie do korzystania z chmury?

Tak. Wykorzystywanie usług chmurowych wiąże się z obszarem ICT oraz powiązanymi z nim ryzykami, zatem DORA będzie miała zastosowanie również do usług cloud’owych. Wynika to również bezpośrednio z motywu 19 projektowanego rozporządzenia.

15. Czy wszystkie dokumenty wymagane przez DORA trzeba tworzyć od zera?

Nie. Wiele dokumentów wymaganych przez DORA pokrywa się z dokumentami, które podmioty finansowe tworzą już teraz. Z DORA nie wynika obowiązek zastąpienia dotychczasowych procedur. Podmioty finansowe mogą wykorzystać dokumentację funkcjonującą już w organizacjach po upewnieniu się, że uwzględnia ona elementy wymagane przez DORA oraz (w razie potrzeby) uzupełnieniu jej o brakujące kwestie.