To co jeszcze kilka lat temu wydawało się nowoczesną perspektywą w cyfrowym środowisku pracy korporacji oraz interakcji z klientem, pandemia COVID-19 przekształciła w codzienność. Całkowity lockdown zmusił biznes, w tym instytucje finansowe, takie jak np. banki, zakłady ubezpieczeń, firmy inwestycyjne czy TFI do natychmiastowego przejścia na pracę zdalną. Zmienił się również sposób korzystania przez klientów instytucji finansowych z oferowanych im produktów i usług, które podobnie jak inne dziedziny gospodarki, poddają się narastającej cyfryzacji. W trzeciej dekadzie XXI wieku dostrzegł to i polski ustawodawca. Nowelizacja ustawy o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi, która weszła w życie 27 stycznia br. zmieniła regulacje dotyczące składania zleceń związanych z nabywaniem i odkupywaniem jednostek uczestnictwa FIO oraz SFIO, ale również innych oświadczeń woli związanych z uczestnictwem tych w funduszach, w tym doprecyzowała zasady dotyczące możliwości składania ich w postaci elektronicznej. Novum stanowiło natomiast, postulowane od dawna przez branżę, odniesienie analogicznych rozwiązań do funduszy inwestycyjnych zamkniętych.
Cyfrowa odporność albo złoto dla zuchwałych…
Upowszechniająca się cyfryzacja w sektorze finansowym to jednak nie tylko wygoda i nowoczesność, ale także potencjalnie wyższe ryzyko związane z podatnością technologii informacyjno-komunikacyjnych (ang. information and communications technology, ICT) towarzyszących digitalizacji usług i produktów na cyberzagrożenia lub inne zakłócenia w ich funkcjonowaniu. W ślad za postępującą globalizacją i cyfryzacją systemu finansowego, w tym z uwagi na oparcie przez niektóre spośród instytucji finansowych swojego modelu biznesowego wyłącznie na cyfrowych kanałach dostępu, wzmaga się również ryzyko wynikające z wzajemnych powiązań technologicznych oraz rosnącej zależności instytucji finansowych od usług dostarczanych przez podmioty infrastruktury zewnętrznej czy dostawców ICT. W aktualnym stanie rzeczy technologie informacyjno-komunikacyjne mają znaczenie krytyczne dla utrzymania ciągłości działania instytucji finansowych. W tym kontekście kwestie związane z zarządzaniem ryzkiem związanym z ICT, identyfikowanym jako kategoria ryzyka operacyjnego, stało się przedmiotem szczególnego zainteresowania nie tylko na poziomie międzynarodowym, ale także z perspektywy regulatorów i organów nadzoru zarówno w skali całej UE, jak i w ramach państw członkowskich.
W powyższe działania wpisuje się regulacja przewidziana w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act, DORA). W motywach rozporządzenia jako ratio legis, wskazuje się m.in. że brak pełnej i spójnej harmonizacji na poziomie UE kwestii odnoszących się do odporności cyfrowej (ang. digital resilience) sektora finansowego, przy jednoczesnym nakładaniu się różnych grup przepisów normujących to zagadnienie oraz niejednolitym podejściu regulacyjnym i nadzorczym do ryzyka związanego z ICT, nie służy zapewnieniu stabilności oraz integralności sektora finansowego w epoce cyfrowej. Obecny stan regulacji odnoszący do kwestii digital resilience kreuje natomiast istotne bariery dla funkcjonowania rynku wewnętrznego usług finansowych, zakłócając konkurencję i utrudniając np. świadczenie usług ICT podmiotom finansowym prowadzącym działalność transgraniczną w Unii Europejskiej.
Kto zostanie objęty DORA?
Zgodnie z treścią komunikatu prasowego Rady UE, rozporządzenie kreuje ramy prawne normujące operacyjną odporność cyfrową, zgodnie z którymi wszystkie przedsiębiorstwa muszą upewnić się, że są w stanie wytrzymać wszelkiego rodzaju zakłócenia i zagrożenia związane z ICT, reagować na nie i przezwyciężać ich skutki. DORA, stanowić ma w założeniu jednolity zbiór przepisów, obowiązujący bezpośrednio w porządkach prawnych państw członkowskich. Akt ten będzie miał zastosowanie zarówno w odniesieniu do podmiotów finansowych (ich liczbę szacuje się na ponad 22 tys.), niemniej jednak wpłynie również znacząco na działalność zewnętrznych dostawców usług ICT.
Lista podmiotów finansowych zobligowanych do stosowania DORA jest długa. Obejmuje m.in.: instytucje kredytowe, instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, ZAFI
– zarządzających alternatywnymi funduszami inwestycyjnymi (takimi jak np. SFIO czy FIZ), spółki zarządzające funduszami inwestycyjnymi UCITS (w tym FIO), zakłady ubezpieczeń i reasekuracji, pośredników ubezpieczeniowych, administratorów kluczowych wskaźników referencyjnych działających na podstawie rozporządzenia BMR, czy dostawców usług finansowania społecznościowego. Rozporządzenie nie znajdzie natomiast zastosowania do ZAFI zarządzających portfelami alternatywnych funduszy inwestycyjnych (AFI), o ile łączna wartość zarządzanych przez nich aktywów, w tym aktywów nabytych za pomocą dźwigni finansowej, ogółem nie przekracza progu 100 mln EUR, albo progu 500 mln EUR, jeśli portfele zarządzanych AFI składają się z innych AFI, które nie stosują dźwigni finansowej, i w których prawa do umorzenia nie mogą być wykonywane przez okres pięciu lat od daty początkowej inwestycji w każdy AFI.
Zewnętrzni dostawcy usług ICT poddani zostaną bezpośredniemu nadzorowi właściwych krajowych i europejskich organów nadzoru, w sytuacji w której zakwalifikowani zostaną jako „kluczowi”, zgodnie z art. 31 DORA. Kryteria identyfikacji kluczowych zewnętrznych dostawców usług ICT uwzględniają m.in. systemowy wpływ danego dostawcy na stabilność, ciągłość lub jakość świadczenia usług finansowych, w przypadku gdy dany zewnętrzny dostawca musiałby sprostać awarii operacyjnej na dużą skalę w zakresie świadczenia swoich usług, rozpatrywany w kontekście liczby podmiotów finansowych i łącznej wartości aktywów podmiotów finansowych, na rzecz których dany zewnętrzny dostawca usług ICT świadczy usługi. Odpowiada temu również ocena systemowego charakteru lub znaczenia podmiotów finansowych, które korzystają z usług takiego zewnętrznego dostawcy usług ICT.
Bez DORAźnych rozwiązań…
Wymogi DORA adresowane do podmiotów finansowych można podzielić na pięć głównych obszarów, odnoszących się do następujących zagadnień: zarządzanie ryzykiem związanym z wykorzystaniem ICT, zgłaszanie poważnych incydentów dotyczących ICT, testowanie operacyjnej odporności cyfrowej, wymogi w odniesieniu do ustaleń umownych z zewnętrznymi dostawcami ICT oraz zarządzanie ryzykiem outsourcingu ICT, a ponadto współpraca i wymiana informacji. Obowiązki kreowane na mocy rozporządzenia będą jednak stosowane przy uwzględnieniu zasady proporcjonalności, zgodnie z którą podmioty finansowe przy realizacji określonych tam obowiązków, powinny brać pod uwagę swoją wielkość i ogólny profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji.
W zakresie pierwszego ze wskazanych obszarów na podmiotach finansowych spoczywa obowiązek posiadania solidnych, kompleksowych i dobrze udokumentowanych ram zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT. Za realizację wymogów związanych z zarządzaniem ryzykiem ICT ostateczną odpowiedzialność ponosi organ zarządzający podmiotu finansowego, a do jego zadań należy w szczególności: (1) wprowadzenie polityk ukierunkowanych na utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych, w tym dla ochrony zasobów ICT, włączając w to oprogramowanie, sprzęt komputerowy, serwery lub elementy fizyczne infrastruktury przed uszkodzeniem i nieuprawnionym dostępem lub użytkowaniem; (2) wyraźne ustalenie ról i obowiązków w odniesieniu do wszystkich funkcji związanych z ICT, w tym poprzez odpowiednie rozdzielenie i niezależność funkcji zarządzania ryzykiem związanym z ICT, funkcji kontroli oraz funkcji audytu wewnętrznego; (3) określenie i zatwierdzenie strategii operacyjnej odporności cyfrowej (art. 6 ust. 8 DORA), w tym określenie odpowiedniego poziomu tolerancji ryzyka związanego z ICT dla danego podmiotu finansowego; (4) zatwierdzenie i nadzorowanie wdrażania strategii na rzecz ciągłości działania podmiotu finansowego w zakresie ICT oraz planów reagowania i przywracania sprawności ICT, tzw. Business Continuity Management oraz Disaster Recovery Plan (art. 11 ust. 1 i 3 DORA), w tym w ramach ogólnej strategii na rzecz ciągłości działania oraz planu reagowania i przywracania sprawności podmiotu finansowego, jak również okresowe przeglądy wdrażania wspomnianej strategii i planów; (5) zatwierdzanie planów dotyczących wewnętrznych audytów ICT oraz dokonywanie ich okresowego przeglądu; (6) przydzielanie odpowiedniego budżetu na realizację zadań podmiotu finansowego oraz szkoleń w zakresie operacyjnej odporności cyfrowej; (7) zatwierdzanie polityki podmiotu finansowego dotyczącej korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT i dokonywanie jej okresowego przeglądu.
Obowiązek zarządzania incydentami ICT będzie się wiązać dla podmiotów finansowych m.in. z koniecznością ustanowienia i wdrożenia odpowiedniego procesu w celu wykrywania takich incydentów, reagowania na nie oraz zgłaszania ich wystąpienia. Wspomniany proces powinien obejmować m.in.: (1) ustanowienie wskaźników wczesnego ostrzegania; (2) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ; (3) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy; (4) określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci; (5) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego o ich wystąpieniu; (6) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
DORA określa również wymóg ustanowienia i utrzymywania programu testowania operacyjnej odporności cyfrowej, jako integralną część ram zarządzania ryzykiem związanym z ICT. Taki program powinien obejmować szereg ocen, testów, metodyk, praktyk i narzędzi, przy czym należy zapewnić co najmniej raz w roku, przeprowadzenie odpowiednich testów wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje, a nie rzadziej niż co trzy lata wykonanie zaawansowanych testów penetracyjne pod kątem wyszukiwania zagrożeń (TLPT). Agenda działań związanych z testowaniem narzędzi i systemów ICT powinna uwzględniać również m.in. ocenę podatności, analizy otwartego oprogramowania, ocenę bezpieczeństwa sieci, analizę braków, fizycznych kontroli bezpieczeństwa, odpowiednie kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, przeglądy kodu źródłowego, gdy jest to wykonalne, testy scenariuszowe, testy kompatybilności oraz testy wydajności.
Korzystanie przez podmioty finansowe z zewnętrznych dostawców usług ICT nie zwolni ich z odpowiedzialności za wypełnianie i wywiązywanie się ze wszystkich obowiązków wynikających z rozporządzenia. Z tej perspektywy w przypadku outsourcingu niezwykle ważne będzie aby umowa z zewnętrznym dostawcą ICT w sposób pełny adresowała realizację przy udziale takiego dostawcy wymogów spoczywających na podmiocie finansowym na mocy DORA. Rozporządzenie określa również wymagania dotyczące treści klauzul, które powinny stać się elementem umów outsourcingowych, zarówno w przypadku „zwykłego” outsourcingu ICT, jak i korzystania z usług ICT wspierających krytyczne lub istotne funkcje podmiotu finansowego. DORA przewiduje także możliwość stosowania standardowych klauzul umownych opracowanych przez organy publiczne lub instytucje unijne dla określonych usług (dotyczy to np. korzystania z usług chmurowych). W odniesieniu do outsourcingu usług ICT wspierających krytyczne lub istotne funkcje, podmioty finansowe zobligowane będą również do wprowadzenia strategii wyjścia, uwzględniającej ryzyko, które może pojawić się m.in. w razie wypowiedzenia ustaleń umownych z zewnętrznymi dostawcami takich usług, zgodnie z art. 28 ust. 7 DORA.
Ostatni z obszarów regulacyjnych DORA stanowi określenie jednolitych ram dla funkcjonowania nadzoru nad kluczowymi zewnętrznymi dostawcami usług ICT świadczącymi usługi na rzecz podmiotów finansowych, jak również zasad nadzoru i egzekwowania przepisów przez właściwe organy w odniesieniu do wszystkich podmiotów objętych rozporządzeniem. Warto wskazać, że DORA tworzy również instrumenty prawne dla wymiany przez podmioty finansowe informacji o cyberzagrożeniach i wynikach analiz w tym zakresie.
Tempus fugit…
Regulacje przewidziane w DORA znajdą zastosowanie od dnia 17 stycznia 2025 r. Jakkolwiek może wydawać się, że na dostosowanie do wymogów rozporządzenia zostało relatywnie dużo czasu, to należy mieć na uwadze, że DORA jest regulacją złożoną. Wdrożenie i stosowanie rozporządzenia będzie wiązało się z koniecznością odpowiedniego odniesienia również do regulacji sektorowych dedykowanych działalności danego podmiotu finansowego. Dla przykładu – do kwestii związanych z zarządzaniem ryzykiem dotyczącym ICT, w tym do kwestii korzystania z usług podmiotów zewnętrznych w zakresie ICT, odnoszą się aktualnie m.in. wydane przez Komisję Nadzoru Finansowego (KNF) Wytyczne IT dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych oraz Komunikat Urzędu KNF z dnia 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
Kompleksowy charakter DORA, która z jednej strony kreuje nowe obowiązki i podejście w zakresie szczegółowych kwestii związanych ze stosowaniem ICT, a z drugiej strony modyfikuje rozwiązania obowiązujące podmioty finansowe w aktualnym stanie prawnym, sprawia że wiele obszarów, regulacji wewnętrznych i procesów podmiotów finansowych będzie wymagało kompleksowej analizy oraz istotnych zmian. Wobec tego prace związane z dostosowaniem powinny zostać zainicjowane z na tyle dużym wyprzedzeniem, aby wdrożenie DORA w wymiarze technologicznym, regulacyjnym i kontraktowym nastąpiło w terminie.
Mariusz Biały, Counsel w Krzysztof Rożko i Wspólnicy Kancelaria Prawna