Po pierwszym filarze (zarządzanie ryzykiem ICT) drugim obszarem regulowanym przez rozporządzenie 2022/2554 jest zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie. Materia ta zawarta jest w rozdziale III DORA (art. 17–23). Z naszego doświadczenia drugi filar jest tym, w którym najczęściej wychodzą luki w istniejącej dokumentacji — bo dotyczy procesów uruchamianych w warunkach kryzysowych, a takie procesy najtrudniej testuje się „na sucho". Drugi filar wyrasta wprost z bloku ochrony i wykrywania w ramach zarządzania ryzykiem ICT.
Co reguluje rozdział III DORA?
Rozdział III DORA reguluje siedem obszarów obsługi incydentu — od ramowego procesu zarządzania, przez klasyfikację, raportowanie i informacje zwrotne, po incydenty płatnicze.
- Art. 17 DORA
- Proces zarządzania incydentami związanymi z ICT — sześć obowiązkowych elementów.
- Art. 18 DORA
- Klasyfikacja incydentów związanych z ICT i cyberzagrożeń — sześć kryteriów klasyfikacji.
- Art. 19 DORA
- Zgłaszanie poważnych incydentów ICT i dobrowolne powiadamianie o znaczących cyberzagrożeniach.
- Art. 20 DORA
- Harmonizacja treści i wzorów zgłoszeń (zadanie EUN).
- Art. 21 DORA
- Centralizacja zgłaszania (zadanie EUN).
- Art. 22 DORA
- Informacje zwrotne od organów nadzoru.
- Art. 23 DORA
- Incydenty operacyjne lub incydenty bezpieczeństwa związane z płatnościami.
W tym wpisie omawiamy art. 17, art. 22 i art. 23 — czyli ramowy proces, sprzężenie zwrotne i specyfikę incydentów płatniczych. Klasyfikacji i zgłaszaniu poświęcony jest kolejny artykuł cyklu.
Co dokładnie wymaga art. 17 DORA?
Art. 17 DORA wymaga ustanowienia procesu zarządzania incydentami ICT obejmującego sześć obowiązkowych elementów (lit. a–f).
Zgodnie z art. 17 ust. 1 DORA: „Podmioty finansowe określają, ustanawiają i wdrażają proces zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania". Zgodnie z art. 17 ust. 2 DORA: „Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia".
Zgodnie z art. 17 ust. 3 DORA proces zarządzania incydentami obejmuje sześć obowiązkowych elementów:
- Wskaźniki wczesnego ostrzegania (lit. a).
- Procedury identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów (lit. b).
- Przydzielenie ról i obowiązków (lit. c).
- Plany działań informacyjnych (lit. d).
- Zgłaszanie poważnych incydentów kadrze kierowniczej i organowi zarządzającemu (lit. e).
- Procedury reagowania na incydenty (lit. f).
Kogo zarząd musi informować o incydencie?
Art. 17 ust. 3 lit. e DORA wymaga raportowania poważnych incydentów do właściwej kadry kierowniczej wyższego szczebla i organu zarządzającego.
Pełne brzmienie wymaga „informowania organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych mechanizmów kontrolnych". Z naszego doświadczenia wiele organizacji ma proces operacyjny (na poziomie zespołu IT/SOC), ale nie ma sformalizowanego mechanizmu raportowania na poziom zarządczy. To jedna z najczęściej wykrywanych luk w pre-DORA audytach.
Czym różnią się „incydent ICT" i „znaczące cyberzagrożenie"?
Incydent ICT to zdarzenie, które już się wydarzyło i naruszyło bezpieczeństwo systemów; znaczące cyberzagrożenie to zagrożenie, które może się zmaterializować.
- Incydent związany z ICT (art. 3 pkt 8 DORA)
- Pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez podmiot finansowy, które naruszają bezpieczeństwo sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi.
- Cyberzagrożenie znaczące (art. 18 ust. 2 DORA)
- Cyberzagrożenie ocenione jako znaczące na podstawie krytyczności usług zagrożonych, liczby lub znaczenia klientów oraz zasięgu geograficznego.
Oba musi obejmować rejestr (art. 17 ust. 2 DORA). Zgłoszenie obowiązkowe dotyczy poważnych incydentów (art. 19 ust. 1 DORA), powiadomienie o cyberzagrożeniu jest dobrowolne (art. 19 ust. 2 DORA).
Co z incydentami płatniczymi?
Art. 23 DORA rozszerza zakres rozdziału III na incydenty operacyjne lub bezpieczeństwa związane z płatnościami — w bankach, instytucjach płatniczych, AISP i instytucjach pieniądza elektronicznego.
Zgodnie z art. 23 DORA: „Wymogi określone w niniejszym rozdziale mają również zastosowanie do incydentów operacyjnych lub incydentów bezpieczeństwa związanych z płatnościami […], w przypadku gdy dotyczą one instytucji kredytowych, instytucji płatniczych, dostawców świadczących usługę dostępu do informacji o rachunku i instytucji pieniądza elektronicznego".
Z naszego doświadczenia wymaga to przeglądu wewnętrznych procedur — często równolegle prowadzone były dwa odrębne procesy raportowe (PSD2 i ICT) i pod DORA naturalnym ruchem jest ich konsolidacja. Pakiet PSD3/PSR dodatkowo zmienia zasady raportowania incydentów płatniczych w najbliższych latach.
Czy organ nadzoru daje informację zwrotną po zgłoszeniu?
Tak — art. 22 ust. 1 DORA przewiduje informację zwrotną organu, ale nie zwalnia ona podmiotu z odpowiedzialności za jakość obsługi incydentu.
Art. 22 ust. 1 zdanie ostatnie DORA jednoznacznie wskazuje: „Bez uszczerbku dla otrzymanych informacji zwrotnych podmioty finansowe pozostają w pełni odpowiedzialne za obsługę incydentów związanych z ICT zgłoszonych zgodnie z art. 19 ust. 1 i za konsekwencje tych incydentów".
Co teraz zrobić?
Z naszego doświadczenia projekt zgodności z drugim filarem DORA porządkujemy następująco:
- Sporządzić politykę zarządzania incydentami ICT z sześcioma blokami z art. 17 ust. 3 DORA.
- Uruchomić rejestr wszystkich incydentów ICT i znaczących cyberzagrożeń (art. 17 ust. 2 DORA).
- W instytucjach płatniczych, bankach, AISP i instytucjach pieniądza elektronicznego skonsolidować procesy raportowania ICT i raportowania płatniczego (art. 23 DORA).
- Zdefiniować formalny mechanizm informowania zarządu o poważnych incydentach (art. 17 ust. 3 lit. e DORA).
- Włączyć politykę zarządzania incydentami do strategii ciągłości działania (art. 11 DORA).
W kolejnym wpisie pokazujemy, jak DORA klasyfikuje incydenty i kiedy musisz powiadomić organ nadzoru.
