We wrześniu 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (z ang. Digital Operational Resiliance Act – DORA). Projekt jest konsekwencją wydanej przez Komisję Europejską strategii dla Unii Europejskiej w zakresie finansów cyfrowych, w tym zapowiedzianego w niej pakietu regulacji prawnych dotyczących finansów cyfrowych. Poza rozporządzeniem DORA na pakiet składają się rozporządzenie ws. kryptoaktywów, rozporządzenie ws. infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywa ws. wyjaśnienia lub zmiany niektórych przepisów w zakresie usług finansowych. W czasie pandemii liczba cyberataków na instytucje finansowe wzrosła o 38 proc. W konsekwencji przyjęcie spójnej, kompleksowej i paneuropejskiej regulacji dotyczącej bezpieczeństwa operacyjnego sektora finansowego stało się priorytetem Komisji Europejskiej, którego efektem jest DORA.

DORA jest również efektem swoistej autorefleksji legislacyjnej jej autorów, którzy po kryzysie finansowym w 2008 r. skoncentrowali się wyłącznie na tworzeniu przepisów dotyczących odporności finansowej, zapominając o odporności operacyjnej.

Kolejnym argumentem podnoszonym przez autorów DORA jest wyraźnie widoczne zróżnicowanie w podejściu do uregulowania bezpieczeństwa operacyjnego sektora finansowego przez poszczególne kraje członkowskie. Taki stan rzeczy wpływa negatywnie na utrzymanie zasad swobody przedsiębiorczości i świadczenia usług przez podmioty funkcjonujące na rynku finansowym, szczególnie w obliczu transgranicznego modelu prowadzonej przez nie działalności.

DORA wprowadza zmiany w kilku obszarach bezpieczeństwa operacyjnego. W wielu przypadkach zmiany te mają charakter zasadniczy. Do obszarów tych należą wymagania:

- związane z zarządzaniem ryzykiem ICT,

- zgłaszania incydentów bezpieczeństwa,

- testowania odporności operacyjnej oraz

- relacji z dostawcami usług ICT.

Warto wskazać na dwa obszary, których konsekwencje mogą mieć charakter sejsmiczny dla obszaru bezpieczeństwa operacyjnego instytucji finansowych.

DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej, w tym bezpieczeństwo w obszarze ICT. To nowość względem dotychczasowego podejścia. Co ważne, wprowadzenie w DORA naczelnej zasady odpowiedzialności zarządu za bezpieczeństwo operacyjne polega na uzupełnieniu podejścia ilościowego do zarządzania ryzykiem (zawiązywanie rezerw finansowych na wypadek incydentów), podejściem jakościowym (spełnianie wymogów jakościowych w obszarze bezpieczeństwa operacyjnego). Jednym słowem, nie wystarczy już zawiązanie rezerw. Wymaga się spełnienia konkretnych, powtarzalnych i weryfikowalnych czynności, a za ich realizację odpowiedzialny ostatecznie będzie zarząd.

Zawarte w DORA wymagania związane z relacją z dostawcami usług ICT to najbardziej obszerny i precyzyjny opis regulujący obszar współpracy z dostawcami tych usług w dotychczasowych regulacjach dotyczących sektora finansowego. Wymagania odnoszą się zarówno do etapu wyboru dostawców na etapie procesów zakupowych, przez precyzyjne wymagania co do kształtu postanowień umowy z dostawcami usług ICT, kończąc na opisaniu wymagań co do kształtu scenariusza zakończenia współpracy oraz przeprowadzenia tzw. okresu przejściowego w relacji z dostawcą usług ICT.

Co ważne, DORA nakłada na podmioty finansowe obowiązek przeprowadzenia analizy i oceny ryzyka co do okoliczności, czy zawarcie umowy z konkretnym zewnętrznym dostawcą usług ICT może doprowadzić do nadmiernego uzależnienia się od dostarczanych przez niego usług. DORA jest aktualnie na etapie projektu. Datę jego finalnej publikacji przewidziano na 2022 rok. Po publikacji rozporządzenia podmioty sektora finansowego otrzymają 12–18 miesięcy na dostosowanie się do wymagań. Mamy do czynienia z kierunkową zmianą w podejściu do regulowania obszaru bezpieczeństwa operacyjnego, która w sposób trwały odbije się na sposobie zarządzania bezpieczeństwem sektora finansowego. Przewidziana w DORA naczelna zasada odpowiedzialności zarządu za bezpie- czeństwo operacyjne podmiotów finansowych będzie miała wpływ na rolę i znaczenie osób zarządzających obszarem bezpieczeństwa ICT w strukturach zarządu oraz całej organizacji. Szczególnie, że nie chodzi już tylko o zwiększenie rezerw bezpieczeństwa (podejście ilościowe), ale o realizację szeregu konkretnych wymagań (podejście jakościowe), za które odpowiedzialność ostatecznie ponosi zarząd. Określone przez DORA wymagania względem dostawców usług ICT, w tym wymagania co do kształtu umów zawieranych z tymi podmiotami, wymuszą nowe spojrzenie na kontraktowe uregulowania co do odpowiedzialności za skutki ataków, definicji błędów i podatności, obowiązków informacyjnych czy testowania odporności systemów.

Autor jest partnerem, szefem Praktyki Technologie w Kochański i Partnerzy