Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
24 września 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego („DORA”), który jest elementem „Digital Finance Package” – 5-letniej europejskiej strategii wspierania transformacji cyfrowej, której towarzyszą trzy projekty rozporządzeń. Projekt jest obecnie na etapie prac legislacyjnych, w grudniu 2021 r. rozpoczęło się pierwsze czytanie projektu w Parlamencie Europejskim.
Rozporządzenie kierowane jest do szerokiego grona podmiotów finansowych, w tym między innymi banków, zakładów ubezpieczeń, domów maklerskich, towarzystw funduszy inwestycyjnych, ASI, dostawców usług w zakresie kryptoaktywów czy centralnych depozytów papierów wartościowych, a także do dostawców usług ICT.
DORA zawiera m.in. wytyczne dotyczące zarządzania ryzykiem związanym z wykorzystaniem systemów informatycznych, w tym tych dostarczanych przez dostawców zewnętrznych np. chmurowych. W rozporządzeniu znajdziemy także wymogi, jakie powinna spełniać umowa z takim dostawcą. Projektowana regulacja zawiera również zasady zarządzania incydentami związanymi z ICT i testowania operacyjnej odporności cyfrowej.
DORA odnosi się także do Europejskich Urzędów Nadzoru – Europejskiego Urzędu Nadzoru Bankowego, Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych oraz Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych. Organy te, na gruncie rozporządzenia, upoważnione będą do precyzowania poszczególnych jego wymogów w formie standardów technicznych, które po wejściu w życie rozporządzenia mogą zostać przyjęte przez Komisję Europejską. Co bardzo istotne – uprawnienie przewiduje przyjmowanie takich standardów w drodze rozporządzeń lub decyzji, nadając im status bezpośredniego obowiązywania.
Dla właściwego rozumienia wytycznych zawartych w rozporządzeniu niezbędne jest poznanie celu wprowadzenia takiej regulacji. Ideą DORA jest przede wszystkim ujednolicenie na poziomie europejskim podejścia do ryzyka związanego z wykorzystywaniem systemów ICT przez podmioty sektora finansowego. Wyrazem tego zamiaru jest w szczególności zawarcie w rozporządzeniu szczegółowych przepisów dotyczących całego systemu zarządzania ryzykiem związanym z ICT (które to przepisy stosowane będą bezpośrednio).
Rozporządzenie przewiduje działania Wspólnego Komitetu Europejskich Urzędów Nadzoru, na który składać się będą EBA, ESMA oraz EIOPA. Zgodnie z motywem 60 rozporządzenia „Wspólny Komitet Europejskich Urzędów Nadzoru powinien […] zapewniać ogólną międzysektorową koordynację w odniesieniu do wszystkich kwestii dotyczących ryzyka związanego z ICT”. W wielu regulowanych przez DORĘ obszarach pojawiają się wspomniane we wstępie uprawnienia przewidziane dla Komitetu Europejskich Urzędów Nadzoru do stworzenia szczegółowych wytycznych. Należy więc spodziewać się projektów wytycznych Europejskich Organów Nadzoru między innymi w zakresie standardowych wzorów rejestru informacji dotyczących postanowień umownych z dostawcami ICT, czy też projektów standardów w celu doprecyzowania treści polityk i procedur dot. korzystania przez podmioty sektora finansowego z usług ICT świadczonych przez zewnętrznych dostawców.
Jak zostało wspomniane powyżej, DORA ustanawia ramy zarządzania ryzykiem, w tym ryzykiem związanym z korzystaniem z usług zewnętrznych dostawców usług ICT (o czym mówi art. 25 i 26 DORA). Z uwagi na istniejące już liczne regulacje związane z outsourcingiem (w tym powszechnie wykorzystywane w ostatnim czasie w kontekście usług chmurowych wytyczne UKNF) obszar ten może budzić szczególne zainteresowanie sektora finansowego. Warto zatem przyjrzeć się, jakie podejście w tym zakresie proponuje w rozporządzeniu ustawodawca europejski.
W pierwszej kolejności warto wskazać, że rozporządzenie wyróżnia pojęcie kluczowych lub ważnych funkcji, tj. takich, których zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie może stanowić istotne zagrożenie
Wśród dalszych wytycznych pojawiają się szczególne elementy, które podmiot powinien uwzględnić w odniesieniu właśnie do funkcji kluczowych lub ważnych. Przejawia się to na przykład w obowiązku prowadzenia przez podmiot finansowy rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców, w ramach którego należy rozróżnić ustalenia, które obejmują kluczowe lub ważne funkcje, oraz ustalenia, które takich funkcji nie obejmują. Istotny jest również związany z rejestrem obowiązek przedstawiania właściwym organom, co najmniej raz w roku informacji na temat liczby i rodzaju nowych ustaleń z zewnętrznymi dostawcami ICT oraz kategorii tych dostawców. Dodatkowo podmiot finansowy zobowiązany będzie do każdorazowego udostępnienia takiego rejestru na wniosek właściwego organu.
DORA określa kryteria, jakie należy rozpatrzyć przed zawarciem umowy z dostawcą zewnętrznym. Kluczowym obowiązkiem jest identyfikacja, czy umowa będzie dotyczyła funkcji kluczowej lub ważnej, ale także m.in. czy spełnione zostały warunki dla umowy określone w art. 28 rozporządzenia oraz czy nie występują konflikty interesów. Dokument wskazuje także, że dostawca powinien spełniać wysokie, odpowiednie i najnowsze standardy w zakresie bezpieczeństwa informacji.
Podmioty finansowe powinny także z góry określić częstotliwość audytów i kontroli oraz obszary, które mają one obejmować. Dodatkowo, w przypadku ustaleń wiążących się z wysokim poziomem złożoności technologicznej należy zapewnić odpowiednie kompetencje audytorów.
Kolejnym elementem, na który wskazuje rozporządzenie jest możliwość zakończenia współpracy z zewnętrznym dostawcą. W związku z tym w art. 25 ust. 8 wyszczególnione zostały przypadki, w których podmiot finansowy powinien mieć zapewnioną możliwość wypowiedzenia umowy. Są to okoliczności takie jak naruszenie przez dostawcę przepisów ustawowych lub warunków umowy, czy zidentyfikowanie braków w zarządzaniu ryzykiem przez dostawcę, w szczególności w kwestii bezpieczeństwa i integralności danych. Rozporządzenie stosunkowo szczegółowo odnosi się także do strategii wyjścia, jaką obowiązkowo posiadać ma podmiot finansowy. Strategia powinna zapewniać możliwość wycofania się z usługi bez zakłóceń w działalności, ograniczania zgodności z wymogami regulacyjnymi i bez szkody dla ciągłości i jakości usług. Podmiot finansowy powinien opracować rozwiązania alternatywne, plany przejściowe i środki awaryjne w celu utrzymania ciągłości działania.
Artykuł 26 rozporządzenia odnosi się do kwestii ryzyka koncentracji w obszarze ICT i wskazuje konieczność weryfikacji przez podmioty finansowe, czy zawarcie umowy z konkretnym dostawcą nie spowoduje późniejszych problemów z jego zastąpieniem lub nie doprowadzi do posiadania wielu umów z tym samym zewnętrznym dostawcą ICT. Podmioty finansowe powinny rozważyć korzyści i koszty rozwiązań alternatywnych, takich jak korzystanie z usług różnych zewnętrznych dostawców. W dalszej kolejności art. 26 odnosi się także do kwestii podoutsourcingu, w szczególności w przypadku, gdy poddostawca miałby siedzibę w państwie trzecim. W takiej sytuacji europejski ustawodawca zaleca uwzględnienie między innymi kwestii przestrzegania regulacji w zakresie ochrony danych oraz możliwości skutecznego egzekwowania przepisów prawa. Rozporządzenie nie zawiera konkretnych ograniczeń w kwestii długości łańcucha outsourcingowego, wskazuje natomiast, że podmioty finansowe powinny uwzględnić wpływ złożoności łańcucha na ich zdolność do monitorowania powierzonych funkcji.
W perspektywie ostatnich lat oraz planowanego wejścia w życie przepisów DORA, szczególnie istotne wydaje się również szerokie wykorzystanie usług chmurowych przez podmioty polskiego sektora finansowego. Usługi te, jako szczególnie istotna część usług ICT, niewątpliwie mieszczą się w zakresie stosowania omawianego rozporządzenia. Mamy więc do czynienia z sytuacją, w której polski sektor finansowy posiada już szczegółowe wytyczne dotyczące wdrażania tego typu usług, obejmujące również szczegółowy model zarządzania ryzykiem wymagany przez krajowego nadzorcę. Wytyczne te wynikają z wydanego 23 stycznia 2020 roku Komunikatu Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Powstanie na poziomie wspólnotowym nowej regulacji obejmującej ten obszar rodzi wątpliwości co do wzajemnej relacji tych dokumentów i tego, jak DORA wpłynie na przyjęte w ramach implementacji Komunikatu UKNF podejście polskiego sektora finansowego do szacowania ryzyka związanego z wykorzystaniem usług chmurowych.
Zestawiając ze sobą te dwa podejścia przede wszystkim należy mieć na uwadze, że Komunikat UKNF stanowi podejście krajowe i ogranicza się jedynie do usług chmury obliczeniowej. Jego celem jest zapewnienie bezpieczeństwa wykorzystania cloud computingu w sektorze finansowym, czyni to jednak na poziomie jednostkowym. DORA stanowi podejście ogólnoeuropejskie i reguluje nie tylko wykorzystanie chmury obliczeniowej, ale ogół usług ICT. Jednocześnie, regulacja ta wprowadza w pewnym zakresie zbliżone, jednak istotnie szersze wymogi w zakresie szacowania ryzyka usług ICT.
Bliższe porównanie rozporządzenia DORA z Komunikatem UKNF pozwala dojść do wniosku, że prawdopodobnie konieczna będzie aktualizacja stosowanych do tej pory przez podmioty sektora finansowego metodyk szacowania ryzyka, w szczególności w związku z projektami standardów technicznych, które – zgodnie z DORA – mają opracować Europejskie Organy Nadzoru.
Podmioty finansowe będą także musiały dokonać przeglądu zawartych już z zewnętrznymi dostawcami umów oraz, jeśli zajdzie taka potrzeba, dostosować je wprowadzając odpowiednie mechanizmy umowne. Kluczowym wyznacznikiem skali zmian z jakimi zmierzy się sektor finansowy w ramach dostosowania się do skutków rozporządzenia będą wytyczne opracowane przez EBA, ESMA i EIOPA.
Ostatnio w przestrzeni publicznej coraz więcej mówi się o odporności cyfrowej instytucji finansowych, w szczególności w kontekście rozporządzenia DORA czy dot. sztucznej inteligencji. Pierwsza kwestia, która rzuca się w oczy, to ewolucja w podejściu do analizy ryzyka – europejski ustawodawca nie wprowadza pojęć całkowicie nowych dla podmiotów z sektora finansowego (przesunięcie ciężaru wdrożenia na analizę ryzyka, poznanie ryzyk oraz ich odpowiednią mitygację lub wdrożenie innych środków organizacyjnych).
Mieliśmy ostatnio okazję wykonywać wstępną analizę „dojrzałości organizacji” u kilku naszych klientów z sektora finansowego na rozporządzenie DORA i widzimy pewną prawidłowość – firmy, które – przynajmniej w jakimś zakresie – zmigrowały się lub wdrożyły rozwiązania chmurowe, w tym także w modelu SaaS – będą w dużej mierze zaznajomione z wymogami stawianymi przez rozporządzenie DORA.
Niemniej, zadaniem dla tego typu klientów będzie odpowiednie dostosowanie posiadanych już procedur – w szczególności biorąc pod uwagę, że DORA dotyczy kwestii nie tylko chmurowych. Po drugiej stronie znajdą się klienci przywiązani dotychczas mocno do posiadania rozwiązań on-premowych, którzy nie przywykli do wykonywania cyklicznej weryfikacji ryzyka związanego z wykorzystaniem usług IT lub nie wykonywali szerokich analiz współpracy z dostawcami korzystającymi z rozwiązań np. chmurowych. Ich organizacje czeka większa praca do wykonania w związku z obowiązkiem testowania operacyjnej odporności cyfrowej, który nałoży na nich rozporządzenie DORA .
Warto również pamiętać, że omawiane rozporządzenie trzeba rozpatrywać z uwzględnieniem już obowiązujących w Polsce regulacji sektorowych, ponieważ w pewnym zakresie dotyczą one kwestii, które zostaną uregulowane w rozporządzeniu. Proces przygotowania organizacji do wdrożenia wymogów DORA najlepiej rozpocząć od weryfikacji tzw. „dojrzałości” organizacji as is, czyli wypracowanego na dany moment poziomu spełnienia wspominanych wyżej regulacji.