DORA, sektor finansowy oraz dostawcy IT.
Digital Operational Resilience Act (#DORA) By: przetrwać, reagować i odzyskać sprawność:
Albo, jeśli ktoś woli, na kwestie cyfrowej odporności możemy spojrzeć także słowami przewodniczącej KE:
Jeśli wszystko jest połączone, to wszystko może być podatne – na ataki.
Na stronie Rady UE i Rady Europejskiej (consilium) 11 maja 2022 opublikowano informację, że Rada UE i Parlament Europejski osiągnęły porozumienie w sprawie DORA. 11 lipca 2022 w pierwszym czytaniu w Komisji zatwierdzono tekst aktu.
Na 9 listopada 2022 zaś zaplanowano kolejne posiedzenie plenarne Parlamentu Europejskiego w tej sprawie.
Po co w ogóle nam ten akt?
DORA ma stanowić podstawy dla stworzenia przejrzystych podstaw dla unijnych organów nadzoru. Cel to utrzymanie stabilnej działalności rynku finansowego w przypadku zakłóceń.
Kto winien się przejmować?
DORA powinna szczególnie interesować sektor finansowy: od banków, przez instytucje pożyczkowe, dostawców usług płatniczych aż po firmy inwestycyjne.
Ale czy tylko sektor finansowy?
Z drugiej strony ktoś będzie musiał dostarczać rozwiązania dla nowych polityk i procedur, dlatego DORA powinna również interesować dostawców ICT. A w tym dostawców chmury, dostawców usług z zakresu cyberbezpieczeństwa, czy dostawców narzędzi zaprojektowanych do wspierania systemów #compliance
Powyżej wspomniana rola dostawców ICT będzie wymagała od nich przygotowania na jeszcze większe wytyczne ich klientów. Dostawcy tacy będą podlegać ocenie pod kątem oznaczenia ich jako krytycznych dostawców zewnętrznych usług ICT (critical ICT third-party service providers). Dostawców będą oznaczać europejskie urzędy nadzoru (ESAs). A jednym z kryteriów będzie, np. ocena systemowego wpływu na stabilność, ciągłość lub jakość świadczenia usług finansowych w przypadku, gdyby u danego dostawcy wystąpiła poważna awaria operacyjna uniemożliwiająca świadczenie przez niego usług. W tej ocenie względniana ma być ponadto liczba klientów – instytucji finansów takiego dostawcy oraz wartość aktywów tych instytucji.
Co jeszcze będzie brane pod uwagę?
Dla oceny dostawcy usług ICT będzie brany pod uwagę także stopień zastępowalności danego dostawcy oceniany, między innymi, wedle:
♦️ liczby innych dostawców, co pozwolić ma oszacować ryzyko całkowitej albo częściowej braku alternatywy dla jego usług; brany tutaj będzie pod uwagę także udział w rynku takiego dostawcy oraz techniczna złożoność jego usług,
♦️ stopnia trudności w migracji danych ze środowiska jednego dostawcy do środowiska dostawcy zastępczego; brany tutaj będzie pod uwagę: koszt oraz czas takiej migracji, a także inne ryzyka operacyjne związane z migracją danych.
DORA z pewnością przenikać się będzie z istniejącymi już wytycznymi organów nadzoru oraz może być podstawą dla nowych wytycznych. Nie wyobrażam sobie byśmy nie spotkali się w tym temacie z wytycznymi UKNF.
Na jakie dokumenty instytucji finansowych wpływ może mieć DORA?
W polityce wewnętrznej organizacji DORA może mieć wpływ na procedury takie jak:
♦️ Polityka Prywatności,
♦️ Polityka Bezpieczeństwa Informacji,
♦️ Plan ciągłości działania (BCP),
♦️ Polityki reakcji na incydenty,
♦️czy plany testowania cyfrowej odporności.
Co może zmienić się w umowach z dostawcami ICT?
Już dzisiaj w umowach z dostawcami IT wyraźnie widać wpływ regulacji na treść konkretnych praw i obowiązków stron kontraktu. Są to zagadnienia związane z outsourcingiem, czy usługami chmurowymi, na które patrzy nadzór finansowy oraz co do których ma on określone wymagania. To niejednokrotnie skutkuje tym, że dostawcy w umowach przyjmują na siebie coraz to nowe obowiązki oraz przygotowują w tym celu rozwiązania techniczne i operacyjne.
Podobnie w przypadku DORy to instytucje finansowe (ale i dostawcy krytycznych usług ICT) będą zobowiązani do przestrzegania nowych regulacji. W umowach najprawdopodobniej ujrzymy ten wpływ poprzez jeszcze bardziej zaawansowane postanowienia dotyczące w szczególności zagadnień takich jak:
- opis funkcjonalności oraz usług, być może wraz z oceną ich krytycznej roli,
- lokalizacja dostawcy, jurysdykcja, której dostawca podlega (zobacz mój ostatni text na shadowtech o Cloud act i transgranicznym transferze danych – tutaj),
- rozwiązania techniczne, np. w zakresie szyfrowania czy back-upowania danych,
- obowiązki i gwarancje w zakresie przetwarzanych danych, znana triada CIA, zapewnienie poufności, integralności oraz dostępności danych,
- czas i zasady wypowiadania umowy,
- strategia wyjścia z wyraźnym określeniem wsparcia po stronie dostawcy, tzw. exit plan.
Cybersecurity by design
Znacie pewnie z RODO: privacy by design. Teraz warto zapamiętać cyberbezpieczeństwo – już na etapie projektowania. Rozporządzenie wprowadzi nową zasadę, gdzie dostawcy usług ICT, kwestie bezpieczeństwa powinni uwzględniać już na etapie projektowania produktu oraz w całym cyklu życia produktu.
Jeśli spojrzymy także na opisywane na konferencjach #cybersec przypadki potężnych podatności w urządzeniach IOT (tutaj techniczny przykład, jak jedna luka może mieć wpływ na 35 miliardów urządzeń!), to zrozumiemy dlaczego prawodawca unijny chce wzmocnić obowiązki z zakresu projektowania bezpiecznych produktów, ale także zobowiązać producentów do opieki nad produktami. Innymi słowy, chodzi o wsparcie produktu nie tylko w czasie projektowania, ale i po sprzedaży. Celem takiego rozwiązania jest zapewnienie klientom bezpiecznych produktów w całym cyku życia tych produktów.
*DORZe powinni przyglądać się także dostawcy usług opartych o kryptoaktywa (crypt assets service provider lub mówiąc językiem AML – VASP – virtual assets service provider) oraz platformy crowdfundingowe.