Michał Kulesza, Piotr Filipowski: Sektor finansowy pod skrzydłami Dory

Odporność operacyjna sektora finansowego jeszcze bardziej zyskuje na znaczeniu, bo rośnie wykorzystanie w nim technologii. Związane z tym ryzyko cyberataków i coraz większe uzależnienie od dostawców technologii każe odpowiednio się przygotować na nowe zagrożenia. Pomogą w tym nowe unijne regulacje przyjęte w pakiecie dotyczącym finansów cyfrowych, przede wszystkim rozporządzenie DORA.

Weszło ono w życie 16 stycznia 2023 r., a stosowane będzie od 17 stycznia 2025 r. i jest częścią „Digital Finance Package”. Jest to pięcioletnia europejska strategia wspierania transformacji cyfrowej sektora finansowego mająca zwiększyć konkurencyjność i innowacyjność Unii Europejskiej w tym obszarze, zapewnić konsumentom oraz klientom korporacyjnym lepszy wybór usług finansowych i rozwiązań płatniczych, jak również zapewnić ochronę tych klientów i stabilność finansową całego sektora. Samo rozporządzenie DORA ma jednak przede wszystkim zwiększyć bezpieczeństwo informatyczne podmiotów finansowych.

Czytaj więcej

Opinie Prawne

Łukasz Węgrzyn: Odporność cyfrowa na wyższym poziomie - o unijnym rozporządzeniu DORA

Unijne rozporządzenie DORA wprowadza naczelną zasadę odpowiedzialności zarządu za bezpieczeństwo operacyjne instytucji finansowej.

Kontekst i główne cele

W opublikowanym tekście rozporządzenia (a dokładniej jego motywach), unijny prawodawca zwraca uwagę na kilka istotnych faktów dotyczących zarówno samej operacyjnej odporności cyfrowej, jak i dotychczasowych regulacji.

Po pierwsze, że reformy przeprowadzone po kryzysie z 2008 r. miały przede wszystkim wzmocnić odporność finansową całego sektora. W związku z tym jedynie pośrednio wpływały one na ograniczenie ryzyk związanych z technikami informacyjnymi (ICT). Przyjęto wówczas środki mające ograniczyć ryzyko operacyjne, jednak dość ogólne. W motywach zaznaczono również, że dotychczasowe środki wprowadzone na szczeblu unijnym nie były wystarczająco skuteczne, m.in. dlatego, że często przewidziane były w dyrektywach minimalnej harmonizacji. Co więcej, ryzyko związane z ICT nie stanowiło ich głównego przedmiotu – zwracały one uwagę na to zagadnienie jedynie ogólnie, przede wszystkim w przepisach dotyczących outsourcingu.

Dotychczasowe regulacje nie zapewniały również odpowiednich kompetencji nadzorczych właściwym organom, by mogły skutecznie monitorować potencjalne ryzyka operacyjne mogące obniżyć stabilność finansową sektora. Takie podejście w europejskich regulacjach o zarządzaniu ryzykiem w sektorze finansowym doprowadziło do licznych inicjatyw regulacyjnych w poszczególnych państwach członkowskich i wypracowania różnych podejść na poziomie organów nadzoru poszczególnych państw. To z kolei – biorąc pod uwagę transgraniczny charakter ryzyk związanych z technologią – nie jest w ocenie unijnego prawodawcy podejściem optymalnym i tworzy przeszkody w funkcjonowaniu rynku wewnętrznego usług finansowych.

Jednolite zasady dla odporności cyfrowej

Głównym celem rozporządzenia DORA jest więc wprowadzenie jednolitych ram operacyjnej odporności cyfrowej dla sektora finansowego na poziomie UE. Unijny prawodawca zdecydował się na formę rozporządzenia, a więc nowe przepisy będą miały bezpośrednie zastosowanie we wszystkich państwach członkowskich.

Regulacja określa kompleksowo m.in.: zasady zarządzania ryzykiem związanym z ICT, obowiązki związane z testowaniem systemów ICT, szczegóły umów zawieranych przez podmioty finansowe z dostawcami ICT, zasady wymiany informacji o cyberzagrożeniach między podmiotami z sektora, jak również wymagania stawiane organom nadzoru oraz ich uprawnienia związane z przedmiotem rozporządzenia DORA.

Kogo obejmie DORA?

DORA znajdzie zastosowanie do wielu podmiotów sektora finansowego – od instytucji kredytowych przez zarządzających alternatywnymi funduszami inwestycyjnymi po dostawców usług finansowania społecznościowego i dostawców usług udostępniania informacji. Zatem do „klasycznych” podmiotów sektora finansowego i do tzw. szeroko rozumianych fintechów.

Co szczególnie ciekawe – i zdaje się przełomowe w kontekście dotychczasowych regulacji rynku finansowego – rozporządzenie to obejmie również zewnętrznych dostawców usług ICT dla sektora finansowego, przede wszystkim tych wyznaczonych jako kluczowi w myśl rozporządzenia. Z dużym prawdopodobieństwem za takich uznani zostaną dostawcy IT świadczący swoje usługi na większą skalę, m. in. globalni dostawcy chmury.

Warto również zaznaczyć, że DORA wyróżnia mikroprzedsiębiorców, dla których w pewnych przypadkach przewiduje łagodniejsze obowiązki. Takie podejście wydaje się spójne z przywołaną w rozporządzeniu zasadą proporcjonalności.

Szacowanie ryzyka usług

Rozporządzenie DORA wprowadza także bardzo istotny – jak się wydaje – obowiązek opracowania strategii odporności cyfrowej, w której określony ma być sposób wdrożenia kompleksowych ram zarządzania ryzykiem. Ramy te mają obejmować metody przeciwdziałania ryzyku i osiągania celów ICT – wytyczne, jakie stawia względem ich treści samo rozporządzenie, to m. in.: określenie, jak mają wspierać strategię biznesową i cele podmiotu finansowego w obszarze ICT. W DORA można więc zaobserwować tendencję charakterystyczną dla nowych regulacji dotyczących technologii – tj. oparcie całej regulacji na podejściu „risk based approach”.

Rozporządzenie to w wielu miejscach wprost dopuszcza występowanie określonego poziomu ryzyka, które jest nieodłącznym elementem celów biznesowych podmiotu finansowego. Zgodnie z wymogami DORA musi ono jednak być odpowiednio zarządzane na poziomie wewnętrznym, po uprzednim określeniu tzw. apetytu na ryzyko danego podmiotu. Co bardzo istotne dla osób pełniących funkcje zarządcze w instytucjach finansowych – odpowiedzialność za określenie i zatwierdzenie strategii operacyjnej odporności cyfrowej zgodnie z wymogami rozporządzenia spoczywa właśnie na organie zarządzającym podmiotu finansowego.

DORA wprowadza również bardzo konkretne obowiązki, które muszą zostać wykonane przed zawarciem jakiejkolwiek umowy ICT (znane już niekiedy z „miękkich” wytycznych organów nadzoru finansowego). Wskazuje takie elementy jak ocena, czy umowa dotyczy kluczowej lub ważnej funkcji, ocena spełnienia warunków nadzorczych czy identyfikacja konfliktów interesów.

Przede wszystkim jednak – co wynika wprost z art. 28 DORA – podmioty finansowe zobowiązane będą określić i ocenić wszystkie rodzaje istotnego ryzyka związane z daną umową ICT, ze szczególnym uwzględnieniem ryzyka koncentracji. Oznacza to proces kompleksowego szacowania ryzyka danej usługi. Podmioty finansowe będą więc musiały wypracować pewne wzorce postępowania (w tym niezbędne procedury, matryce szacowania ryzyka) przeznaczone dla wszelkich umów ICT.

Należy mieć na uwadze, że również procesy zawierania umów dotyczących zakupu usług ICT w instytucjach finansowych muszą zostać dostosowane do brzmienia nowych unijnych wymogów.

Nowe wymagania dla umów z dostawcami IT

Po szczegółowej lekturze rozporządzenia trudno oprzeć się wrażeniu, że bardzo koncentruje się ono na relacjach umownych z dostawcami. Wydaje się więc, że prawodawca europejski dostrzega istotną rolę kontraktów w procesie zarządzania ryzykiem wykorzystania zewnętrznych usług ICT. W rozporządzeniu znajdziemy nowe, choć nadal dość standardowe wymagania stawiane treści umów z dostawcami – znane z dotychczasowych regulacji sektorowych – od rozporządzeń delegowanych wydawanych na podstawie dyrektyw MIFID II, Solvency II przez rekomendację D i wytyczne IT KNF dla pozostałych sektorów po wytyczne ESAs, kończąc na regulacji relatywnie najnowszej – tzw. komunikacie chmurowym UKNF.

W związku z nowymi, jednolitymi wymaganiami stawianymi wszelkim umowom na usługi ICT, konieczne będzie dokonanie przeglądu aktualnie zawartych kontraktów i – prawdopodobnie – szeroki proces ich aneksowania.

Przydatne może się okazać opracowanie przez podmiot finansowy własnych, wzorcowych klauzul mających zapewnić zgodność z DORA. Taki szablon może posłużyć zarówno do zmiany aktualnych, jak i zawierania (zgodnie z wymaganiami DORA) przyszłych kontraktów IT. Taki schemat postępowania znany jest przedstawicielom sektora choćby z wdrożeń RODO, czy też wytycznych EBA ws. outsourcingu, a także komunikatu UKNF dotyczącego przetwarzania w chmurze.

Rozporządzenie DORA wywoła wiele praktycznych konsekwencji dla podmiotów nadzorowanych. Zarówno dla relacji zewnętrznych – rozporządzenie, jak się wydaje, istotnie wpłynie na relacje podmiotów finansowych z dostawcami ICT, jak i stricte wewnętrznych – bo znaczna część wymogów DORA odnosi się wyłącznie do „wewnątrzorganizacyjnych” obowiązków.

Warto zwrócić uwagę na objęcie nadzorem tzw. kluczowych zewnętrznych dostawców usługi ICT, czy też dużo większy nacisk na wymianę informacji o cyberzagrożeniach między samymi podmiotami sektora finansowego.

W przeważającej mierze jednak – co może nie jest widoczne na pierwszy rzut oka – DORA modyfikuje istniejące już wymogi (znane przynajmniej istotnej części podmiotów z sektora), z którymi wiążą się funkcjonujące już w podmiotach sektora finansowego procedury i procesy. Należy więc uznać, że nie będzie absolutną rewolucją dla sektora finansowego, choć regulacja ta przewiduje kilka nowych i istotnych obowiązków.