DORA nie tylko dla instytucji finansowych
DORA – Digital Operational Resilience Act. By przetrwać, reagować i odzyskać sprawność. A być może również, by ujednolicić podejście. W tym tekście o tym, że DORA to nie tylko regulacja dla instytucji finansowych. Zastanówmy się również wspólnie kto i jak może się przygotować.
DORA będzie to rozporządzenie, a zatem podobnie jak RODO będzie obowiązywać bezpośrednio. Nie znaczy to jednak, że DORA nie zostanie nadpisana stanowiskami organami nadzoru lub rozporządzeniami technicznymi.
Czy to punkt przełomowy w unijnych regulacjach dla sektora finansowego?
Nie mam zielonego pojęcia, nie odważę się na taką tezę. Bezpieczniej za to można stwierdzić, że jest to rzeczywiście regulacja, kóra odpowiada na widoczne na rynku problemy bezpieczeństwa produktów, jak np. brak wsparcia poprzez update oprogramowania dla IoT. Czy problemy prawne, jak przenikające się regulacje, czy zróżnicowane wytyczne krajowych organów nadzoru.
Zaplanuj cyberodporność zamiast wykrywaj i łataj po fakcie
DORA to równie cenna próba zmiany optyki z:
„łataj po wykryciu”, zachęcaj do wykrycia (np. programy bugbounty, których wartość, w odróżnieniu od pentestów, polega na stałym testowaniu różnych warstw i wynagradzaniu za „efekt”, więcej o roli bugbounty dla sektora finansowego tutaj) czy napraw po katastrofie, na:
podejście cybersecurity by design.
Warto zwrócić także uwagę, że w tym przypadku nie tylko przez ten konkretny akt prawny (a generalnie pakiet regulacji cyfrowych), prawodawca unijny planuje ujednolicić rozproszone przepisy. Ujednolicenie to ma odbyć się poprzez stworzenie regulacyjnych ram dla nadzoru obejmującego: [1] zarządzanie ryzykiem ICT, [2] zgłaszanie incydentów [3] ciągłość działania i [4] outsourcing.
Vendor lock-in
DORA ma również w swoim założeniu adresować wyzwania związane z postępującą coraz to bardziej cyfryzacją i zarządzać problemem skazania na jednego giga-dostawcę (tzw. vendor lock-in). A ma to robić między innymi przez:
- wpływ na dostosowanie strategii biznesowych do zarządzania ryzykiem ICT,
- wzmacnianie nadzoru nad zarządzaniem ryzykiem ICT oraz motywowanie firm do identyfikacji słabych punktów ich strategii oraz oceny ich cyberodporności,
- usprawnienie mechanizmów zgłaszania incydentów oraz rozszerzenie roli organu nadzoru poprzez zapewnienie mu dostępu do informacji z rynku,
- proporcjonalnie stosowanie wymogów kontroli cyberodporności, poziom kontroli zależeć ma od wielkości przedsiębiorstwa, profilu działalności oraz oceny ryzyka,
- wzmocnienie nadzoru usług ICT świadczonych przez strony trzecie,
- zwiększenie poziomu cyberświadomości oraz ryzyka ICT poprzez wymianę informacji pomiędzy przedsiębiorcami, sektorem prywatnym oraz publicznym.
To ostatnie postulowane jest w wielu obszarach, przykład wyzwań związanych ze zwalczaniem cyberprzestępczości i potrzebą współpracy public-private – tutaj.
DORA to nie tylko instytucje finansowe
Poza ogólnym skojarzeniem, że DORA dotyczy cyberodporności w sektorze finansowym i tym samym instytucji finansowych, to właściwe znaczenie chciałbym nadać roli dostawców IT. Zaakcentowania wymaga, że DORA to nie będą wyłącznie wyzwania dla sektora finansowego. Jak to zwykło bywać w przypadku regulacji unijnej – regulacje dla regulowanego w sposób zaawansowany sektora finansowego będą bezpośrednio stosowały się do krytycznych dostawców ICT albo będą miały pośredni wpływ na tych dostawców oraz dalsze podmioty występujące w łańcuchu dostaw. Wpływ na dostawców będzie uwidaczniał się w opisach przedmiotów zamówień oraz wymaganiach umownych. Postanowienia, na które szczególnie będzie należało zwracać uwagę mogą dotyczyć, między innymi, następujących elementów umowy:
Dostawca również pod okiem nadzoru
To wynika z podejścia polegającego na przyjęciu, że to podmiot nadzorowany odpowiada za zgodność i to on odbiera od dostawcy zapewnienia i gwarancje. Przed podjęciem decyzji o współpracy zamawiający przeprowadza audyt, bo znowu to on odpowiada za to, że rozwiązania dostawcy zapewnią mu zgodność i bezpieczeństwo.
DORA ten stan rzeczy może trochę zmienić. Dyrektywa bowiem opisuje wymogi dla postanowień umów, a elementy krytyczne usług chce objąć nadzorem organów unijnych (ESA). A zatem dostawcy infrastruktury w myśl DORA (np. rozwiązań chmurowych, bądź rozwiązań służących do zarządzania cyber – SOC) będą również podlegali nadzorowi.
Potencjalne ryzyka:
Zarządzanie ryzykiem ICT. Obowiązki, które sektorowi finansowemu znane są już wskutek realizacji wytycznych organów nadzoru (EBA czy KNF), realizacji polityk bezpieczeństwa czy planów BCP – znajdą odzwierciedlenie w wymogach prawnych. I tak na przykład: będzie to wymóg prowadzenia dokumentacji działań instytucji finansowej przed oraz w trakcie incydentu ICT (art. 10 DORA),
ALBO:
Wymóg przywrócenia danych z kopii zapasowej w odrębnym środowisku operacyjnym (art. 11 DORA).
To wszystko potwierdza nam wcześniejszą obserwację. DORA wymaga przygotowania tak samo od dostawców IT, jak i instytucji finansowych.
Podajmy jeszcze przykład: dane związane z działalnością instytucji finansowych hostowane są przez dostawców. W myśl DORA dostawcy tacy mogą zostać zakwalifikowani jako krytyczni, co będzie równało się z objęciem ich bezpośrednim nadzorem, a nie jak dotąd pośrednim, którym niejako zarządzała instytucja finansowa. Zarządzała w tym sensie, że audytowała dostawcę oraz nakładała na niego określone obowiązki umowne.
To winno sprowadzić nas do stanu, w którym dostawca dokonuje przeglądu własnych procesów dokumentacji i przygotowuje się w ten sposób na zgodność z DORA. Poniżej przykładowe dokumenty, które mogą wymagać weryfikacji:
Zgłaszanie incydentów + nowe wytyczne
DORA to również wytyczne, podobne do tych znanych już z NIS oraz polityk bezpieczeństwa. Incydenty będą musiały być monitorowane, a bardziej znaczące naruszenia będą zgłaszane do właściwych organów krajowych. Jest to rozwinięcie istniejącego już TIBER-EU, czyli systemu dla gromadzenia ostrzeżeń o zagrożeniach, który znany jest redteamom. Kompatybilność DORA z NIS zapewnia instytucjom pewien zestaw standardów i możliwość stałego zwiększania poziomu cyberświadomości. Pewnie zastanawiasz się, jakie będą kryteria klasyfikacji incydentów. Zostały one przybliżone w art. 16 DORA, określając jednocześnie, że ESA wraz z Europejskim Bankiem Centralnym (EBC) i Agencją Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego (ENISA) stworzy spójny regulacyjny standard techniczny do wykorzystania w przyszłości.
Jak można zacząć się przygotowywać?
Przyjąć optykę, że zmiana wpływie zarówno na sektor finansowy, jak i ICT. Rzecz jasna, że realizując dotychczasowe zalecenia nadzorcze, np. co do wykorzystywania chmury czy outsourcingu, czy tez wdrażając środki techniczne i organizacyjne na potrzeby wymagań przetwarzania danych – część zmiany technologicznej w organizacjach już nastąpiła. Będzie to jednak wymagało oceny na nowo i ewentualnego dostosowania. To dostosowanie powinno być łatwiejsze, bo DORA za zadanie ma ujednolicać; nie zaś wprowadzać dodatkowy reżim.
W cenie powinna być również interdyscyplinarna optyka. Podobna do tej prezentowanej przez EBA w wytycznych dla zarządzania ryzykiem ICT i bezpieczeństwa.
W wytycznych EBA mowa jest wprost o potrzebie współpracy ze specjalistami, okresowymi szkoleniami pracowników oraz wygospodarowaniu na to specjalnego budżetu. Nowe regulacje mogą być solidnym argumentem w rozmowach o tym, że nie ma środków pieniężnych na bezpieczeństwo. I powiedzieć trzeba więcej: w istocie rzeczy to nie o regulacje chodzi, a o zmianę optyki na cybersecurity by design. To realnie pozwala zarządzać ryzykiem bezpieczeństwa, projektować bezpieczniejszą architekturą, dbać o utrzymanie bezpieczeństwa architektury przez cykl jej życia, a w konsekwencji: zamiast gasić pożar, zapobiegać jego wybuchowi.
Ważne jest jeszcze potraktowanie regulacji, które i tak będą obowiązywać oraz za nieprzestrzeganie których i tak groziłyby sankcje jako elementu wspomagającego zmianę. Zmianę ukierunkowaną na: [1] synergię pomiędzy procesami zarządzania ryzykiem operacyjnym a osiągnięciem stanu zaopiekowanego compliance, [2] zwiększanie poziomu cyberświadomości oraz [3] pozytywny wpływ na cały rynek (tak na podmioty regulowane, dostawców oraz ich klientów). Takie spojrzenie powinno być bliskie tak uczestnikom rynku, jak i organom nadzoru.
Nadzieja na ujednolicenie
Biorąc pod uwagę rozproszony system regulacji w zakresie bezpieczeństwa (NIS, GDPR, rozporządzenia techniczne takie jak RTS) oraz zróżnicowane wytyczne organów nadzoru (EBA czy EIOPA), przynajmniej dla rynku finansowego w DORA można widzieć szansę na ujednolicenie tego systemu. W gąszczu regulacji takie ujednolicenie wydaje się być stanem pożądanym.
Jeśli jednak oczekujecie klasycznego i towarzyszącego nowym regulacjom twierdzenia o tym, że ta regulacja z całą pewnością przyczyni się do bezpieczeństwa całego rynku finansowego, w tym jego uczestników, to takiego twierdzenia zaserwować nie mogę. Mam jedynie nadzieję, że ta regulacja nieco uporządkuje wymagania nadzoru. Być może w niektórym aspektach pozwoli nadzorowi zaprzestać dalszego „doregulowywania”, a przedsiębiorcy zapewni większą stabilność co do nakładanych na niego wymagań.