Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

We wrześniu 2020 r. Komisja Europejska opublikowała projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (z ang. Digital Operational Resiliance Act – DORA). Projekt jest konsekwencją wydanej przez Komisję Europejską strategii dla Unii Europejskiej w zakresie finansów cyfrowych, w tym zapowiedzianego w niej pakietu regulacji prawnych dotyczących finansów cyfrowych. Poza rozporządzeniem DORA na pakiet składają się rozporządzenie ws. kryptoaktywów, rozporządzenie ws. infrastruktur rynkowych opartych na technologii rozproszonego rejestru (DLT) oraz dyrektywa ws. wyjaśnienia lub zmiany niektórych przepisów w zakresie usług finansowych. W czasie pandemii liczba cyberataków na instytucje finansowe wzrosła o 38 proc. W konsekwencji przyjęcie spójnej, kompleksowej i paneuropejskiej regulacji dotyczącej bezpieczeństwa operacyjnego sektora finansowego stało się priorytetem Komisji Europejskiej, którego efektem jest DORA.

DORA jest również efektem swoistej autorefleksji legislacyjnej jej autorów, którzy po kryzysie finansowym w 2008 r. skoncentrowali się wyłącznie na tworzeniu przepisów dotyczących odporności finansowej, zapominając o odporności operacyjnej.

Kolejnym argumentem podnoszonym przez autorów DORA jest wyraźnie widoczne zróżnicowanie w podejściu do uregulowania bezpieczeństwa operacyjnego sektora finansowego przez poszczególne kraje członkowskie. Taki stan rzeczy wpływa negatywnie na utrzymanie zasad swobody przedsiębiorczości i świadczenia usług przez podmioty funkcjonujące na rynku finansowym, szczególnie w obliczu transgranicznego modelu prowadzonej przez nie działalności.

DORA wprowadza zmiany w kilku obszarach bezpieczeństwa operacyjnego. W wielu przypadkach zmiany te mają charakter zasadniczy. Do obszarów tych należą wymagania:

- związane z zarządzaniem ryzykiem ICT,

- zgłaszania incydentów bezpieczeństwa,

- testowania odporności operacyjnej oraz

- relacji z dostawcami usług ICT.

Warto wskazać na dwa obszary, których konsekwencje mogą mieć charakter sejsmiczny dla obszaru bezpieczeństwa operacyjnego instytucji finansowych.

DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej, w tym bezpieczeństwo w obszarze ICT. To nowość względem dotychczasowego podejścia. Co ważne, wprowadzenie w DORA naczelnej zasady odpowiedzialności zarządu za bezpieczeństwo operacyjne polega na uzupełnieniu podejścia ilościowego do zarządzania ryzykiem (zawiązywanie rezerw finansowych na wypadek incydentów), podejściem jakościowym (spełnianie wymogów jakościowych w obszarze bezpieczeństwa operacyjnego). Jednym słowem, nie wystarczy już zawiązanie rezerw. Wymaga się spełnienia konkretnych, powtarzalnych i weryfikowalnych czynności, a za ich realizację odpowiedzialny ostatecznie będzie zarząd.

Zawarte w DORA wymagania związane z relacją z dostawcami usług ICT to najbardziej obszerny i precyzyjny opis regulujący obszar współpracy z dostawcami tych usług w dotychczasowych regulacjach dotyczących sektora finansowego. Wymagania odnoszą się zarówno do etapu wyboru dostawców na etapie procesów zakupowych, przez precyzyjne wymagania co do kształtu postanowień umowy z dostawcami usług ICT, kończąc na opisaniu wymagań co do kształtu scenariusza zakończenia współpracy oraz przeprowadzenia tzw. okresu przejściowego w relacji z dostawcą usług ICT.