compliance,  cybersecurity,  DORA

DORA – dziwny przypadek całkowitej zgodności

Zacznę od wyjaśnienia, co mam na myśli pisząc o DORA jako dziwnym przypadku całkowitej zgodności. Odnoszę ostatnio wrażenie, że wszyscy już ją gwarantują albo przynajmniej oczekują. Dostawcy ICT zgłaszają gotowość na DORĘ – w sensie technologicznym oraz regulacyjnym. Podmioty nadzorowane mówią o gotowości, bo mają rekomendację D, mają komunikat chmurowy, polityki outsourcingowe, BCP, czy odpowiednie gwarancje umowne. Nadzór komunikuje zaś, że będzie gotowy do kontroli od 17 stycznia 2025 r. (to dzień, od którego rozporządzenie DORA będzie stosowanie) i będzie tej zgodności oczekiwał.

A teraz zapraszam na wejście nieco głębiej… i przyjrzenie się kilku wyimaginowanym ujęciom zgodności.

Podejście – zróbmy zgodność dokumentami

Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego niektórzy chcieliby potraktować konserwatywnie. Objawia się to w sposobie zarządzania zgodnością i kończy się to, np. w ten sposób:

dajmy to temu naszemu specowi od zgodności, temu compliance officerowi. Albo dajmy to prawnikowi, niech przygotuje aneksy do umów, zmieni procedury i niech zaraportuje: OK, jesteśmy zgodni z DORA.

Tylko w tym wszystkim zapomniano, że dzisiaj instytucja finansowa raczej nie może funkcjonować bez technologii, bez systemów IT i bez wsparcia tego IT. Również w zarządzaniu zgodnością, czy to w zakresie AML, czy monitorowania incydentów bezpieczeństwa organizacje opierają się o systemy IT.

Może więc okazać się, że wyzwań, które stoją przed sektorem finansowym nie da się załatwić starymi metodami polegającymi na zmianie dokumentów. A z pewnością nie da się tego zrobić – jeśli chce budować się organizację cyberodporną i taką, która ma ambicje, by przetrwać w świecie cyfrowym.

Podejście – niech dostawca da gwarancje

Inni za to chcieliby zapewnić zgodność z DORA poprzez duże zaangażowanie dostawcy. Jeśli dostawcy komunikują, że oferują produkty oraz usługi, które dostosowane są do regulacji, to może nie powinniśmy dziwić się temu , że takie podejście właśnie sobie wyobrażamy. Z tego ujęcia wynika, że lepiej oddać IT profesjonaliście od IT. To oczywiście stan pożądany, kiedy dostawca rozumie swoich klientów oraz regulacje, które ich dotyczą. Więcej, rozumie i działa zgodnie z regulacjami, które dotyczą jego samego. I jeszcze więcej, aktywnie wspiera w swoich klientów w dostosowaniu do nowych regulacji- już niezależnie od tego, czy wymogi nałożono na niego bezpośrednio w prawie, czy spełnienia określonych standardów wymaga klient. Pożądane jest również, aby dostawca mógł przedstawić certyfikację z obszarów takich jak bezpieczeństwo informacji, czy zarządzanie ciągłością działania (tak to miejsce na hasło ISO). Certyfikacja może pomóc w badaniu każdego dostawcy ICT przez instytucję finansową, ale także może być pomocna, kiedy kluczowego dostawcę ICT o certyfikację zapyta nadzór. Uwzględnienie certyfikatów przez nadzór – dopuszcza ust. 4 art. 40 DORA. To może pomóc, ale bynajmniej nie załatwia sprawy za podmiot nadzorowany.

Nie tylko gwarancje i oświadczenia

Podpowiem też, że nie chodzi o to, by zgodność załatwić na poziomie deklaracji, wpisać oświadczenia do umowy i zachwycić się możliwościami technologii. Przywołajmy tutaj wątek wdrażania chmury. Czasami może nam się wydawać, że jeśli przedsiębiorca skorzystał z usług chmurowych jednego z największych dostawców i dostał od tego dostawcy przeznaczony dla instytucji finansowych załącznik do regulaminu usługi, to podobnie może postąpić w przypadku DORY. Wydaje się za proste, prawda?

Dostawcy swoimi deklaracjami potwierdzają oczywiście, że dostrzegają regulacje oraz, że być może zostaną wyznaczeni jako kluczowi dostawcy usług ICT. I wszystko w porządku – tylko że to nie zmienia stanu rzeczy, w którym to podmioty nadzorowane odpowiedzialne są za spełnianie wymogów nowej regulacji dotyczącej cyberodporności.

Podmioty finansowe, do których stosować będzie się rozporządzenie, powinny widzieć cały obrazek. Dobrze, aby poczynając od samej góry struktury i kończąc na dole – rozumiały infrastrukturę IT, z której korzystają. Rozumiały jaki wpływa ma ta infrastruktura na świadczone przez nie usługi regulowane. Trzeba znać dostawcę, jego poddostawców, badać dostawcę przed zawarciem umowy, ale i w jej trakcie.

Należałoby mieć plan współpracy z dostawcą oraz plan wyjścia z tej współpracy. Dobrze byłoby widzieć jaki wpływ usługi świadczone przez dostawcę mogą mieć na usługi innych dostawców. I to wszystko powinno wynikać z regulacji wewnętrznych, role oraz zakresy odpowiedzialności muszą być jasne, a cyberodporność nie jest gorącym kartoflem, którego należy się jak najszybciej pozbyć.

A co jeśli uznamy, że jednak nie chcemy dbać o zgodność z DORA?

Zacznijmy od tego, że nadzór będzie komunikował się z kluczowymi dostawcami ICT. Będzie im wydawał zalecenia, a dostawcy będą musieli wypowiedzieć się co do ich stosowania.

Wiodący nadzór o ryzyku zidentyfikowanym w zaleceniach z art. 42 ust. 1 DORA, poinformuje również same podmioty finansowe. I to te podmioty powinny uwzględniać ryzyko, o którym mowa w zaleceniach. Kolejno, jeśli podmiot ich nie uwzględni albo uwzględni w stopniu niewystarczającym –  właściwy organ wysyła uprzejmie powiadomienie o tym, że w razie braku odpowiednich ustaleń umownych skierowanych na zwalczanie ryzyka – może podjąć decyzję.

A decyzja ta określona jako środek ostateczny może nakazać podmiotowi finansowemu tymczasowe zawieszenie w części albo w całości korzystania z usługi dostawcy. Organ może także nakazać podmiotowi finansowemu, aby ten wypowiedział w części lub całości niektóre postanowienia umowne.

Poza tym, możemy spodziewać się w prawie krajowym kar administracyjnych, które powinny być skuteczne, proporcjonalne i odstraszające.

Za to kluczowi dostawcy ICT muszą pamiętać, że wiodący organ nadzoru (czyli ten na poziomie unijnym) będzie mógł nakładać okresowe kary pieniężne do wysokości 1% średniego dziennego światowego obrotu dostawcy z poprzedniego roku. Kara taka będzie nakładana za każdy dzień aż do czasu zastosowania się do środków. W dużym skrócie – chodzi o środki, które służą organowi do sprawowania kontroli, np. są to wnioski o udzielenie informacji lub dokumentów.

Czy zatem potrzebny nam ten prawnik?

Zwracałem wcześniej uwagę, że konserwatywne metody raczej nie zadziałają. Co więcej, w ostatnim tekście na shadowtech pisałem, że mówi się o tym, że IT i cyberbezpiecznicy o cyberbezpieczeństwo dbają cały czas, a prawnicy tylko na koniec piszą procedury. To niezły moment, by znowu przypomnieć, że cyberec to gra zespołowa.

Ani samo IT, a tym bardziej sam compliance, ani jedno i drugie nie są w stanie zadbać o cyberbezpieczeństwo organizacji. Trzeba nam tutaj kapitana i interdyscyplinarnego zespołu. I dobrze, aby w tym zespole znalazło się miejsce dla prawnika, tak by tłumaczył on język regulacji, wymagania nadzoru, a jednocześnie był otwarty na tłumaczenia dotyczące infrastruktury IT. Czasami może okazać się, że technologicznie organizacja jest gotowa, ale nijak nie wynika to z dokumentów albo dokumenty te w ogóle nie służą nadzorowi i doskonaleniu przyjętych rozwiązań.

Spróbujmy zebrać drużynę pierścienia

Kompletowanie kompetentnego zespołu może wcale nie być łatwe. Jak dotąd w organizacji mogło takiego nie być. Administrator IT działał jako dostawca i trochę poza kontekstem organizacji, a compliance robił swoje niezależnie – dbając o aktualność dokumentacji, nie mając wpływu na jej wdrożenie w konkretnych systemach, które organizacja wykorzystuje. Może okazać się, że jednak wszyscy powinni współpracować. Coś trzeba udoskonalić i sprawić, by systemy i ciągłość ich działania były uwzględnione  w ocenie ryzyka. Architekci systemów powinni zacząć rozumieć, czego i dlaczego się od nich wymaga.  A zatem zarządzanie cyberbezpieczeństwem jawi się tutaj w całej okazałości. Czy to już moment, aby osoby odpowiedzialne za te sfery wchodziły w skład zarządu instytucji finansowej?

Cel DORA

Nie zapominajmy o celu, bo to, co rozważamy powinno służyć całemu rynkowi. Pamiętajmy o bezpieczeństwie organizacji i jej klientów. Takie podejścia do DORY może pomóc w uzasadnieniu przyjęcia określonej strategii cyberbezpieczeństwa. Może pomóc w spotkaniu celów takich jak: rozwój biznesu, innowacyjność, czy zaufanie klientów. Mam na myśli, że to nie tylko zgodność z wytycznymi regulatora.

Usługi finansowe wydają się tak bliskie naszej codzienności, pozwalają na tak wiele, a jednocześnie mówią tak wiele o ich użytkownikach, że zaryzykuję tezą, że ujednolicony w tym względzie standard nie tylko należy się klientowi, ale też biznesowi może się opłacić. W szerszej perspektywie także korzystny będzie dla państwa – jeśli idzie o zarządzanie cyberbezpieczeństwem, czy pracę organów odpowiadających za interesy konsumentów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *