Ile DORA zmieni w podejściu zakładów ubezpieczeń do ICT?

O zbliżającym się uchwaleniu DORA, czyli Rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (ang. Digital Operational Resilience Act), słyszymy już od dobrych kilkunastu miesięcy. Ostatnio udało się w tej sprawie dojść do porozumienia prezydencji Rady i Parlamentu Europejskiego. To pociągnęło za sobą kolejną rundę newsów o przełomowym dla sektora finansowego akcie prawnym.

Naszym zdaniem, choć przyjęcie Rozporządzenia oczywiście zrobi różnicę, to niektóre grupy np. zakłady ubezpieczeń już teraz są (lub powinny być) przygotowane na znaczną część wymogów DORA [1].

ICT w zakładzie ubezpieczeń – dziś i jutro

Być może respekt, jaki wywołuje DORA w sektorze, wynika z samego jej rozmiaru. Kilkadziesiąt stron przepisów dotyczących samego obszaru ICT robi wrażenie na prawnikach, compliance oficerach, działach bezpieczeństwa, a na koniec również na zarządzających zakładami ubezpieczeń, jeśli wziąć pod uwagę wprowadzenie nadrzędnej zasady pełnej odpowiedzialności organu zarządzającego za zarządzanie ryzykiem ICT.

Jednak czy dla zakładów ubezpieczeń DORA rzeczywiście jest rewolucją w zakresie ryzyka związanego z technologiami informacyjno-komunikacyjnymi? Wbrew przeważającej w przestrzeni medialnej opinii, stawiamy tezę, że niekoniecznie. Przepisy krajowe, europejskie oraz wytyczne organów nadzoru już dotychczas w dużej mierze pokrywają wymogi, które wprowadzi DORA. Mowa odpowiednio o UDUR [2], Rozporządzeniu Delegowanym 2015/35 [3], Wytycznych IT KNF [4], Komunikacie Chmurowym [5] oraz Wytycznych EIOPA – dotyczących systemu zarządzania oraz dotyczących bezpieczeństwa i zarządzania w zakresie ICT (Wytyczne EIOPA dot. ICT).

Patrząc szeroko na zakres wymienionych wyżej aktów prawnych (w tym soft law) i porównując go z regulacją DORA, możemy powiedzieć: zakład ubezpieczeń, który dobrze wdrożył dotychczasowe prawo i wytyczne, nie powinien mieć problemu z dostosowaniem się do nowych wymogów.

Poniżej „konturowa mapka” nowych wymogów, które w regulacjach ubezpieczeniowych można znaleźć już dzisiaj.

Zarządzanie ryzykiem ICT

Na początek kwestia zarządzania ryzykiem związanym z ICT – kluczowa, patrząc na całość regulacji DORA.

Zarządzenie ryzykiem nie jest nowością dla zakładów ubezpieczeń. Systemowi zarządzania jest poświęcone kilkadziesiąt artykułów UDUR – począwszy od art. 45, który jest podstawą funkcjonowania systemu zarządzania w zakładzie, aż po art. 77 wprowadzający obowiązek prowadzenia ewidencji umów outsourcingu. Oczywiście przepisy ustawy nie odnoszą się tak szczegółowo do wykorzystywania technologii informacyjno-komunikacyjnych jak DORA, ale nie pomijają go całkiem.

Obowiązkiem zakładu ubezpieczeń jest sporządzenie na piśmie zasad zarządzania ryzykiem obejmujących m.in. obszar ryzyka operacyjnego. W UDUR nie wybrzmiało, że na ryzyko operacyjne składają się między innymi kwestie związane z technologiami. Takie podejście można było jednak zauważyć np. w Wytycznych IT KNF, w których nadzór podkreślił, że ryzyko związane z obszarami ICT wiąże się z ryzykiem operacyjnym [6].

W motywach DORA widzimy kontynuację tej myśli poprzez wskazanie wprost, że bezpieczeństwo ICT i odporność cyfrowa są częścią ryzyka operacyjnego [7]. Takie podejście jest zresztą znane zakładom ubezpieczeń już z Wytycznych EIOPA dot. ICT, w których europejski nadzorca zasygnalizował szereg kwestii rozwiniętych aktualnie w projekcie DORA.

Projektowane przepisy nowej regulacji przypominają wspomniany wyżej obowiązek sporządzenia zasad zarządzania ryzykiem znany zakładom z UDUR. Idąc dalej, poszczególne obowiązki składające się na gruncie DORA na ramy zarządzania ryzykiem związanym z ICT również nie powinny zaskakiwać. Wymogi posiadania strategii, polityk, procedur, protokołów i narzędzi niezbędnych do właściwej i skutecznej ochrony elementów fizycznych i infrastruktury były już poruszone w Wytycznych EIOPA dot. ICT oraz (w istotnej mierze) w Wytycznych IT KNF. Podobnie obowiązek posiadania systemu zarządzania bezpieczeństwem informacji czy też obowiązek regularnych przeglądów ram zarządzania ryzykiem związanym z ICT są utrzymaniem, ewentualnie rozszerzeniem znanych już zakładom obowiązków.

Wynikające z artykułu 7 DORA obowiązki identyfikowania, klasyfikowania i dokumentowania funkcji biznesowych związanych z ICT, zasobów informacyjnych oraz konfiguracji i wzajemnych połączeń systemów ICT przypominają Wytyczne IT KNF w zakresie klasyfikowanych systemów informatycznych i przetwarzanych w nich informacji.

Kolejnym dokument, który powinien przyjąć zakład ubezpieczeń, to polityka ciągłości działania. Analogiczny wymóg wynika również już teraz z UDUR, Rozporządzenia Delegowanego 2015/35, Wytycznych EIOPA dot. ICT, natomiast w Wytycznych IT KNF mowa jest o planie ciągłości działania.

Tutaj warto zwrócić uwagę, że polski organ nadzoru wskazał również minimalny katalog pytań, na które zakład powinien odpowiedzieć opracowując plan ciągłości działania. W tym kontekście niezwykle ciekawe jest, jak DORA wpłynie na miękkie wytyczne, które KNF przez lata opublikował, wyznaczając podmiotom z sektora podejście do korzystania z technologii. Szczegółowa analiza tekstu projektowanego Rozporządzenia Parlamentu i Rady prowadzi do wniosku, że w niektórych elementach polski nadzór niejako wyprzedził, a czasem nadal wyprzedza pomysły europejskiego ustawodawcy (lub EIOPA) np. w zakresie szerokiego katalogu wymogów do umów z dostawcami (również, gdy nie chodzi o tzw. „outsourcing podstawowy lub ważny”).

Zgłaszanie incydentów ICT

Kolejny obszar regulacji DORA to kwestia incydentów związanych z ICT – zarządzanie nimi, klasyfikacja oraz zgłaszanie. Nowe przepisy będą wymagały m.in. wdrożenia procesów mających zapewnić spójne i zintegrowane zarządzanie takimi incydentami. Podobne obowiązki wynikają już teraz z Wytycznych IT KNF, w których polski regulator określił minimalny katalog kwestii do uwzględnienia przez zakłady ubezpieczeń w zasadach postępowania z incydentami naruszenia bezpieczeństwa. W znacznej mierze pokrywają się one z artykułem 15 DORA, zgodnie z którym proces zarządzania incydentami związanymi z ICT obejmuje m.in. procedury kategoryzowania i klasyfikowania incydentów, przydzielenie ról i obowiązków w odniesieniu do różnych rodzajów i scenariuszy incydentów oraz określenie planów działań informacyjnych – w Wytycznych INT KNF mowa odpowiednio o zasadach kategoryzacji i priorytetyzacji, zakresach odpowiedzialności oraz zasadach komunikacji.

Pomimo że zakłady ubezpieczeń zdecydowanie nie zostaną zaskoczone regulacją DORA w zakresie incydentów związanych z ICT, nieprawdą byłoby stwierdzenie, że Rozporządzenie nie wniesie nic nowego. Dobrym przykładem wyznaczenia pewnych standardów, nieokreślonych do tej pory na takim poziomie, jest artykuł 17 DORA zawierający siedem kryteriów klasyfikacji incydentów (m.in. czas trwania, zasięg geograficzny czy krytyczności objętych usług).

Co ważne, swoją rolę w dalszym doprecyzowaniu kryteriów będą miały również Europejskie Urzędy Nadzoru, które za pośrednictwem wspólnego komitetu opracują projekt tzw. regulacyjnych standardów technicznych określających progi istotności incydentów. Następnie projekt trafi do Komisji Europejskiej, która będzie mogła go przyjąć w drodze uzupełnienia DORA.

Testowanie operacyjnej odporności cyfrowej

DORA szeroko odnosi się do kwestii przeprowadzania testów. Zawiera ogólne wymogi dotyczące testów operacyjnej odporności cyfrowej, ale też bardziej szczegółowe obowiązki w zakresie dokonywania ocen bezpieczeństwa sieci, fizycznych kontroli bezpieczeństwa, otwartego oprogramowania, przeglądów kodu źródłowego oraz różnego rodzaju testów – scenariuszowych, kompatybilności, wydajności, „end-to-end” oraz penetracyjnych.

W kolejnych artykułach DORA reguluje również kwestię częstotliwości przeprowadzania testów, a nawet zasad współpracy z testerami, w tym wymogów, które powinni spełniać, jeśli przeprowadzają testy penetracyjne.  W tym zakresie rzeczywiście regulacja DORA prezentuje szersze podejście względem dotychczasowych regulacji, choć testy nie były w nich całkowicie przemilczane. Przykładowo w Wytycznych IT KNF w punktach od 15.25 do 15.27 nadzór zwrócił uwagę na rolę testowania w procesie zarządzania ciągłością działania.

Wymiana informacji dot. cyberbezpieczeństwa

Ciekawym rozwiązaniem, które przynosi DORA, jest stworzenie możliwości wymiany informacji o cyberzagrożeniach i ich analizach pomiędzy podmiotami finansowymi. Mowa o porozumieniach dotyczących wymiany informacji, które mają określać zasady współpracy podmiotów finansowych w tym zakresie (właściwie polskie tłumaczenie DORA posługuje się pojęciem „ustaleń”, jednak taki przekład angielskiego „information-sharing arrangments” wydaje się nieprecyzyjny, czytając całość przepisu).

Co ciekawe, z perspektywy polskiego zakładu ubezpieczeń zachęta organu nadzoru do wymiany informacji o zagrożeniach oraz wnioskach z analiz naruszeń również nie jest nowością. Wytyczne IT KNF już w 2014 r. w punkcie 18.9 zawierały zalecenie nawiązania pomiędzy zakładami ubezpieczeń stałej współpracy w tym zakresie.

Outsourcing usług ICT

Nowością, jaką wprowadzi DORA, będzie natomiast istotne zaakcentowanie roli outsourcingu ICT. Regulacja outsourcingu w sektorze ubezpieczeniowym nie jest oczywiście novum, ale dotychczasowe przepisy nie poświęcały indywidualnie uwagi kwestii usług technologicznych. Mimo wszystko również w tym zakresie zakłady ubezpieczeń działające w Polsce w dużej mierze mają już pierwsze doświadczenia związane z restrykcyjnymi wymogami regulatora za sprawą Komunikatu Chmurowego. Migracje, które wymagały zapewniania zgodności z Komunikatem, można teraz postrzegać jako „próbę generalną” przed dostosowaniem się do wymogów DORA.

Obowiązki oceny czy umowa dotyczy kluczowej lub ważnej funkcji, czy zostały spełnione warunki nadzorcze dotyczące zawierania umowy, konieczność określenia i ocenienia wszystkich rodzajów istotnego ryzyka przypominają Komunikatowe dokonanie oceny występowania outsourcingu szczególnego, potwierdzenie spełnienia minimalnych wymagań przez dostawcę czy obowiązek prowadzenia szacowania ryzyka.

Wraz z silnym akcentem położonym na outsourcing DORA wprowadza też szereg wymogów co do treści umowy z zewnętrznymi dostawcami usług ICT. Określenie minimalnego katalogu kwestii, które powinny być uregulowane w takiej umowie, zakłady znają już m.in. z Rozporządzenia Delegowanego 2015/35, jednak tak wyczerpującej regulacji dotychczas brakowało. Szczególnie, że reżim przepisów w tym zakresie zostanie zaostrzony i w znacznej mierze dotyczy wszelkich umów z zewnętrznymi dostawcami usług ICT, a nie tylko tych obejmujących powierzenie kluczowej lub ważnej funkcji. Dotychczas tak jednolite podejście do wymogów dla umów z dostawcami było widoczne głównie w Komunikacie Chmurowym, który regulował konkretny wycinek ICT, czyli cloud computing. Jak pisaliśmy wyżej – przejście ścieżki Komunikatowego wdrożenia przygotowało znaczną część zakładów ubezpieczeń na przyjęcie DORA.

Warto również powiedzieć, że niektóre obowiązki wynikające z DORA, np. przyjęcie strategii dotyczącej ryzyka ze strony zewnętrznych dostawców usług ICT, nieco zazębiają się z już obowiązującymi regulacjami outsourcingu. W tym przypadku istniejącym odpowiednikiem jest obowiązek sporządzenia na piśmie zasad outsourcingu wynikający z art. 46 UDUR (choć tutaj obowiązek uwzględnienia zasad zarządzania ryzykiem związanym z powierzeniem został ograniczony jedynie do wykonywania funkcji lub czynności należących do systemu zarządzania).

Wspólny mianownik widać również pomiędzy wprowadzanym w DORA obowiązkiem prowadzenia rejestru umów z zewnętrznymi dostawcami ICT (ponownie – polskie tłumaczenie projektu rozporządzenia posługuje się pojęciem rejestru informacji w odniesieniu do „ustaleń umownych” jako odpowiednika „contractual arrangements”) a obowiązkiem prowadzenia ewidencji umów outsourcingu na gruncie art. 77 UDUR. DORA jest jednak w tej kwestii regulacją szerszą – wprost stanowi o obowiązku corocznego raportowania organom nadzoru m.in. liczby nowych umów, a także kategorii dostawców i rodzaju świadczonych usług, o czym nie stanowi chociażby UDUR. Na zakończenie trzeba podkreślić, że pewne kwestie DORA porusza znacznie szerzej lub głębiej niż dotychczasowe regulacje. Najczęściej nie są to całkowite nowości, lecz pogłębienie dotychczas tylko zasygnalizowanych wątków. W zakresie outsourcingu świetnym przykładem jest kwestia oceniania i uwzględnienia ryzyka koncentracji potencjalnie prowadzącego do vendor lock-in (nadmiernego uzależnienia się od danego dostawcy), której poświęcono artykuł 26 w projekcie rozporządzenia.

Wnioski

Mówiąc o DORA, można sparafrazować „nowość tkwi w szczegółach”. Choć wiele, żeby nie powiedzieć, większość nowych wymogów pokrywa się z dotychczasowymi, to niektóre kwestie zostały teraz uregulowane znacznie szerzej. Przykładowo zasady tworzenia kopii zapasowych zajmują niemal cały artykuł 11 DORA (w tym przypadku to de facto strona A4). Dla porównania – w Wytycznych EIOPA dot. ICT jest o tym jeden ustęp, a w Wytycznych IT KNF poruszono to w kilku zdaniach Wytycznej 15.

Pomimo tego, po analizie obowiązujących już regulacji oraz wytycznych organów nadzoru, chce się powiedzieć: déjà vu. Choć nowa jest forma regulacji (rozporządzenie Parlamentu i Rady), nowy będzie reżim stosowania jej (bezwzględne stosowanie), wreszcie nowy jest poziom szczegółowości i kompleksowości zaopiekowanie się ICT przez prawodawcę, to DORA zasadniczo porusza kwestie już zaadresowane w sektorze ubezpieczeniowym.

Zakłady, które uwzględniały do tej pory Wytyczne IT KNF, realizowały Wytyczne EIOPA dot. ICT, wreszcie zakłady które miały okazję „zderzyć się” z wymogami Komunikatu Chmurowego – tacy ubezpieczyciele nie będą przechodzili rewolucji w związku z dostosowaniem się do wymogów DORA, ponieważ znaczną część z nich już spełniają lub spełniają w dużej części. Uchwalenie Rozporządzenia będzie dla nich oznaczało konieczność zweryfikowania, audytu, a następnie dostosowania procedur i procesów dotyczących korzystania z ICT, a nie tworzenia ich od nowa.

Wychwycenie różnic wobec obecnych regulacji (również wewnętrznych) oraz identyfikacja, elementów do „podrasowania” będą zadaniem zakładów ubezpieczeń na najbliższe miesiące.

[1] Rozporządzenie Parlamentu Europejskiego i Rady w sprawie operacyjnej odporności cyfrowej sektora finansowego.

[2] Ustawa o działalności ubezpieczeniowej i reasekuracyjnej.

[3] Rozporządzenie Delegowane Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II).

[4] Wytyczne KNF z 16 grudnia 2014 r. dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji.

[5] Komunikat Urzędu Komisji Nadzoru Finansowego z 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.

[6] KNF wskazał również na związek ryzyka ICT z ryzykiem prawnym i ryzykiem utraty reputacji.

[7] Motyw 5 DORA.