Rocznica DORA – jak nowe przepisy wpłynęły na cyberodporność sektora finansowego?

Rozporządzenie DORA (rozporządzenie Parlamentu Europejskiego i Rady [UE] 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego) stanowi jeden z kluczowych elementów unijnego pakietu regulacyjnego ukierunkowanego na wzmocnienie bezpieczeństwa i operacyjnej odporności cyfrowej systemu finansowego w warunkach postępującej cyfryzacji. Akt ten został przyjęty w odpowiedzi na rosnącą zależność instytucji finansowych od technologii informacyjno-komunikacyjnych (ICT) oraz narastające ryzyka związane z cyberbezpieczeństwem, awariami systemów informatycznych i zakłóceniami ciągłości działania.

Rozporządzenie DORA obejmuje kompleksowe ramy zarządzania ryzykiem ICT, w tym m.in. obowiązki w zakresie: identyfikacji i klasyfikacji incydentów związanych z ICT, ich raportowania do właściwych organów, testowania operacyjnej odporności cyfrowej, zarządzania ryzykiem związanym z dostawcami usług ICT oraz wymiany informacji o zagrożeniach cybernetycznych. Regulacja ta wprowadza jednolite standardy w całej Unii Europejskiej, zastępując dotychczasowe, często rozproszone i sektorowe podejście do kwestii odporności cyfrowej.

Pierwsze doświadczenia

Rozporządzenie DORA weszło w życie 16 stycznia 2023 r., natomiast jego stosowanie rozpoczęło się 17 stycznia 2025 r. Rocznica rozpoczęcia stosowania rozporządzenia DORA stanowi naturalny moment do podsumowania pierwszych doświadczeń związanych z wdrażaniem i praktycznym funkcjonowaniem nowych obowiązków regulacyjnych.

Pomimo że instytucje finansowe zobowiązane są do stosowania wymogów rozporządzenia DORA od niemal roku, a w związku z tym teoretycznie nowe obowiązki w zakresie cyberodporności powinny być już doskonale znane, w rzeczywistości w pierwszym roku stosowania nowych przepisów dalej krystalizowały się ostateczne ramy prawne wymogów dotyczących zarządzania ryzykiem ICT.

Z perspektywy przebiegu procesów dostosowania instytucji finansowych do nowych wymogów była to oczywiście sytuacja daleka od optymalnej. Nadzieje części uczestników rynku na odroczenie terminu, w którym trzeba będzie dostosować się do nowych wymogów, ostatecznie rozwiały europejskie organy nadzoru, które w grudniu 2024 r. we wspólnym komunikacie wezwały do przyspieszenia prac związanych z przygotowaniem się na nowe obowiązki.

Tymczasem dopiero na tydzień przed początkiem stosowania nowych wymogów Komisja Nadzoru Finansowego podjęła zapowiadaną od dłuższego czasu decyzję o uchyleniu rekomendacji i wytycznych dotyczących zarządzania obszarami technologii informacyjnej oraz o odwołaniu komunikatu dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej, które to dokumenty przez ostatnie lata miały fundamentalne znaczenie dla określenia zasad zarządzania ryzykiem ICT przez podmioty finansowe.

Co bardziej istotne, dopiero w trakcie roku 2025 r. w Dzienniku Urzędowym została opublikowana część aktów wykonawczych do rozporządzenia DORA, w tym rozporządzenie określające treść i terminy przedłożenia powiadomień i sprawozdań w związku z wystąpieniem poważnego incydentu ICT oraz rozporządzenie precyzujące zasady zlecenia podwykonawstwa usług ICT, pomimo że instytucje finansowe były zobowiązane do zgłaszania poważnych incydentów ICT, jak i do aneksowania umów z zewnętrznymi dostawcami usług ICT od 17 stycznia ubiegłego roku.

Również na rynku lokalnym przedłużał się proces dostosowania przepisów krajowych do nowego rozporządzenia. Ostatecznie ustawa o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji została opublikowana dopiero w sierpniu 2025 r., a zatem ponad pół roku od pierwszego dnia stosowania rozporządzenia DORA.

Nowe obowiązki

Niezależnie od powyższych perturbacji należy stwierdzić, iż rozpoczęcie stosowania rozporządzenia DORA w sposób zasadniczy odmieniło krajobraz regulacyjny dotyczący cyberbezpieczeństwa i operacyjnej odporności cyfrowej podmiotów regulowanych. Podmioty objęte DORA w ciągu pierwszego roku stosowania nowej regulacji zobowiązane były do realizacji wielu nowych obowiązków, w tym również do przekazywania nowych rodzajów sprawozdań z funkcjonowania ich ram zarządzania ryzykiem związanym z ICT.

W pierwszym roku stosowania rozporządzenia DORA podmioty nadzorowane wezwane zostały do przekazania sprawozdań, takich jak:

- SPR-PF-00 – Sprawozdanie zawierające podstawowe informacje na temat podmiotu finansowego;

- SPR-PF-01 – Sprawozdanie dotyczące informacji na temat ryzyka ICT oraz ram zarządzania ryzykiem ICT;

- SPR-PF-18 – Sprawozdanie dotyczące pełnego rejestru informacji lub innego zakresu informacji zgodnie z żądaniem;

- SPR-PF-26 – Sprawozdanie kwartalne dotyczące kluczowych wskaźników ryzyka dla obszaru ICT (ankieta KRI kwartalna);

- SPR-PF-27 – Sprawozdanie roczne dotyczące kluczowych wskaźników ryzyka dla obszaru ICT (ankieta KRI roczna).

Wezwanie do uzupełnienia ankiety KRI kwartalnej zostało po raz pierwszy przesłane za kwartał III 2025 r. Obecnie trwają prace nad pozyskaniem informacji za kwartał IV 2025 r. Od teraz podmioty nadzorowane mogą spodziewać się cykliczności w raportowaniu stanu za kolejne okresy sprawozdawcze.

Największe trudności i wyzwania, z jakimi spotykały się podmioty nadzorowane w pierwszym roku stosowania rozporządzenia DORA, dotyczyły w szczególności wdrożenia się w nową rzeczywistość regulacyjną oraz zmiany podejścia w zarządzaniu bezpieczeństwem informacji. Dotychczas przyjęte metody zarządzania bezpieczeństwem informacji często okazywały się niewystarczające, aby móc wykazać pełną zgodność z wymaganiami rozporządzenia DORA, a największa i najbardziej zasadnicza zmiana dotyczyła oparcia podejmowania decyzji w zakresie ICT na wynikach analizy ryzyka związanego z ICT.

Zarządzanie ryzykiem ICT oraz wyniki ocen i analiz stały się podstawą dla prawidłowego funkcjonowania systemu zarządzania bezpieczeństwem informacji oraz doboru odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie operacyjnej odporności cyfrowej podmiotów regulowanych.

Podmioty nadzorowane stanęły również przed wyzwaniem skatalogowania informacji o różnych obszarach swojej działalności, m.in. w zakresie zawartych umów z zewnętrznymi dostawcami usług ICT, realizowanych procesów biznesowych oraz funkcji, wykorzystywanych zasobów ICT, a także zasobów informacyjnych. Informacje te były niezbędne do skutecznej realizacji procesów związanych z operacyjną odpornością cyfrową, ale również do przekazania prawidłowo uzupełnionych sprawozdań do Komisji Nadzoru Finansowego.

Podmioty nadzorowane stanęły przed wyzwaniem przeprowadzenia analizy, jakie podmioty należy określić jako zewnętrznych dostawców usług ICT, oraz aneksowania umów z tymi dostawcami w taki sposób, aby zapewnić sobie możliwość realizacji obowiązków wynikających z rozporządzenia DORA. Pierwszy rok stosowania rozporządzenia DORA stał się zatem wyzwaniem nie tylko dla podmiotów nadzorowanych, lecz również dla wielu podmiotów świadczących usługi ICT na rzecz podmiotów regulowanych. Zewnętrzni dostawcy usług ICT również podejmowali wiele starań, aby dostosować wewnętrzne procesy do nowej rzeczywistości regulacyjnej oraz wielu, często bardzo restrykcyjnych wymagań ze strony podmiotów nadzorowanych.

Sprostanie wyzwaniom związanym z realizacją nowych obowiązków wynikających z rozporządzenia DORA wymusiło na podmiotach nadzorowanych oraz na ich zewnętrznych dostawcach usług ICT powołanie interdyscyplinarnych zespołów oraz zacieśniło współpracę między nimi. Prawidłowa realizacja m.in. procesów obsługi incydentów związanych z ICT, przeprowadzenia oceny ryzyka ICT czy też zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT wymusiła ścisłą współpracę pomiędzy osobami zajmującymi się compliance, bezpieczeństwem, obsługą informatyczną, audytami i kontrolami. Aby prawidłowo skatalogować informacje oraz przygotować odpowiednie rejestry, wymagana była często wiedza z różnych obszarów funkcjonowania podmiotu, a dla prawidłowego przeprowadzenia oceny ryzyka i zaplanowania dalszych działań w celu mitygacji zidentyfikowanych ryzyk konieczna była nie tylko wiedza z zakresu ogólnych metod oceny ryzyka, lecz również techniczna i prawna.

Prognozy na kolejne lata

Każdy kolejny rok stosowania rozporządzenia DORA powinien być coraz łatwiejszy dla podmiotów objętych przepisami dotyczącymi zapewnienia operacyjnej odporności cyfrowej sektora finansowego. Podmioty stale nabywają większej biegłości w realizacji procesów związanych z bezpieczeństwem ICT oraz zdobywają bardziej pogłębioną wiedzę dotyczącą cyberbezpieczeństwa.

Niemniej nadchodzący rok przyniesie ze sobą kolejne wyzwania związane z realizacją obowiązków, które w pierwszym okresie schodziły na dalszy plan, takich jak m.in. cykliczne audyty, przeglądy, szkolenia i działania uświadamiające czy kontrole zewnętrznych dostawców usług ICT. Z uwagi na wymóg zawarty w art. 6 ust. 5 rozporządzenia DORA (tj. obowiązek co najmniej raz w roku poddawania przeglądowi ram zarządzania ryzykiem ICT) następnym prognozowanym sprawozdaniem, jakie będzie należało przekazać do KNF, będzie najprawdopodobniej SPR-PF-02 dotyczący przeglądu ram zarządzania ryzykiem ICT. Wielkimi krokami zbliża się również termin złożenia sprawozdania SPR-PF-17 na temat liczby nowych ustaleń dotyczących korzystania z usług ICT.

Stosując wszystkie wyżej wymienione obowiązki wynikające z rozporządzenia DORA, pamiętać należy, iż nadrzędnym celem niniejszego aktu prawnego jest zapewnienie odporności cyfrowej instytucji finansowej. Wymaga to stałego utrzymywania i doskonalenia przyjętych ram zarządzania ryzykiem ICT, co jest tym bardziej istotne w sytuacji, w której z każdym rokiem rośne liczba cyberzagrożeń.

Adw. Tomasz Kamiński

wspólnik w Kancelarii Krzysztof Rożko i Wspólnicy

Daniel Niwiński