Po opisie ramowego procesu zarządzania incydentami wracamy do najtrudniejszej operacyjnie części drugiego filaru DORA — klasyfikacji incydentów i obowiązku ich zgłoszenia. Materia jest rozłożona między art. 18 i art. 19 DORA. Z naszego doświadczenia decyzja, czy dany incydent jest „poważny", podejmowana jest w warunkach kryzysowych — i właśnie dlatego musi być wcześniej formalnie udokumentowana w polityce zarządzania incydentami.
Jak DORA klasyfikuje incydenty?
Art. 18 ust. 1 DORA wymienia sześć kryteriów klasyfikacji wpływu incydentu — od liczby klientów po skutki gospodarcze.
| Litera | Kryterium | Co oceniać |
|---|---|---|
| a) | Klienci i kontrahenci | Liczba lub znaczenie klientów lub kontrahentów finansowych, kwota lub liczba transakcji oraz skutki reputacyjne. |
| b) | Czas trwania | Czas trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług. |
| c) | Zasięg geograficzny | Zasięg geograficzny, w szczególności jeżeli dotyczy więcej niż dwóch państw członkowskich. |
| d) | Utrata danych | Utrata danych w kontekście dostępności, autentyczności, integralności lub poufności. |
| e) | Krytyczność usług | Krytyczność usług dotkniętych incydentem, w tym transakcji i operacji. |
| f) | Skutki gospodarcze | Bezpośrednie i pośrednie koszty i straty, w kategoriach bezwzględnych i względnych. |
Konkretne progi istotności określają regulacyjne standardy techniczne (RTS) wydawane przez EUN na podstawie art. 18 ust. 3 DORA — polityka klasyfikacji powinna uwzględniać ostatnie wersje RTS bez wpisywania progów na sztywno.
Kiedy incydent trzeba zgłosić organowi nadzoru?
Obowiązek zgłoszenia powstaje, gdy incydent zostanie zaklasyfikowany jako poważny w rozumieniu art. 18 DORA — wtedy stosuje się art. 19 DORA i wzory zgłoszeń z art. 20 DORA.
Zgodnie z art. 19 ust. 1 akapit pierwszy DORA: „Podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi, o którym mowa w art. 46, zgodnie z ust. 4 niniejszego artykułu". W warunkach polskich „odpowiednim właściwym organem" dla większości podmiotów finansowych jest Komisja Nadzoru Finansowego (KNF). Dla istotnych instytucji kredytowych raportowanie odbywa się dwustopniowo: do krajowego organu, a ten przekazuje EBC (art. 19 ust. 1 akapit trzeci DORA).
Co składa się na zgłoszenie poważnego incydentu?
Art. 19 ust. 4 DORA wprowadza trzy etapy raportowania: wstępne powiadomienie, sprawozdanie śródokresowe i sprawozdanie końcowe.
- Wstępne powiadomienie (art. 19 ust. 4 lit. a DORA)
- Pierwsza informacja o wystąpieniu incydentu, przekazywana po zebraniu i przeanalizowaniu istotnych informacji, według wzorów z art. 20 DORA.
- Sprawozdanie śródokresowe (art. 19 ust. 4 lit. b DORA)
- Sporządzane gdy zmienia się status incydentu lub pojawiają nowe informacje. Po nim mogą następować dalsze aktualizacje.
- Sprawozdanie końcowe (art. 19 ust. 4 lit. c DORA)
- Przekazywane po zakończeniu analizy przyczyn źródłowych i posiadaniu danych dotyczących rzeczywistego wpływu incydentu.
Konkretne terminy poszczególnych raportów są określone w RTS i ITS wydawanych przez EUN na podstawie art. 20 DORA.
Czy klientów też trzeba informować?
Tak — art. 19 ust. 3 DORA wymaga informowania klientów, gdy poważny incydent ma wpływ na ich interesy finansowe.
Zgodnie z art. 19 ust. 3 akapit pierwszy DORA: „W przypadku gdy wystąpi poważny incydent związany z ICT, który ma wpływ na interesy finansowe klientów, podmioty finansowe bez zbędnej zwłoki, gdy tylko się o nim dowiedzą, informują swoich klientów o poważnym incydencie związanym z ICT oraz o środkach, które podjęto w celu złagodzenia negatywnych skutków takiego incydentu".
Z naszego doświadczenia praktyczne sformalizowanie tego obowiązku wymaga zdefiniowania kryterium „wpływu na interesy finansowe klientów", sporządzenia szablonów komunikatów (e-mail, push, komunikat w aplikacji) zatwierdzonych przez compliance i powiązania z procedurą komunikacji kryzysowej z art. 14 DORA.
Czy raportowanie incydentu można zlecić zewnętrznemu dostawcy?
Tak — zgodnie z art. 19 ust. 5 DORA, ale odpowiedzialność prawna pozostaje po stronie podmiotu finansowego.
Pełne brzmienie: „Podmioty finansowe mogą zlecić w drodze outsourcingu, zgodnie z unijnym i krajowym prawem sektorowym, zadania związane z obowiązkami sprawozdawczymi na mocy niniejszego artykułu zewnętrznemu dostawcy usług. W przypadku takiego outsourcingu podmiot finansowy pozostaje w pełni odpowiedzialny za spełnienie wymogów dotyczących zgłaszania incydentów".
Kto otrzymuje raport o incydencie poza KNF?
Z art. 19 ust. 6 DORA wynika, że właściwy organ przekazuje szczegóły incydentu do EUN, EBC, organów wynikających z dyrektywy NIS2, organów restrukturyzacyjnych i innych organów publicznych.
- EUNB, ESMA lub EIOPA — w zależności od sektora (lit. a).
- EBC — w przypadku instytucji kredytowych, instytucji płatniczych i instytucji pieniądza elektronicznego (lit. b).
- Właściwym organom, pojedynczym punktom kontaktowym lub CSIRT z dyrektywy NIS2 (lit. c).
- Organom ds. restrukturyzacji i uporządkowanej likwidacji, w tym SRB (lit. d).
- Innym odpowiednim organom publicznym zgodnie z prawem krajowym (lit. e).
Co teraz zrobić?
Z naszego doświadczenia projekt zgodności z art. 18 i 19 DORA porządkujemy w pięć kroków:
- Sporządzić politykę klasyfikacji incydentów uwzględniającą sześć kryteriów z art. 18 ust. 1 DORA i aktualne RTS.
- Zdefiniować formalną procedurę raportowania trzyetapowego (art. 19 ust. 4 DORA).
- Przygotować szablony komunikatów do klientów (art. 19 ust. 3 DORA).
- Wyznaczyć osobę odpowiedzialną za kontakt z KNF i prowadzenie raportów oraz osobę zastępującą.
- Przeprowadzić tabletop exercise — symulację scenariusza poważnego incydentu i pełnej kaskady raportowania.
W kolejnym wpisie przechodzimy do trzeciego filaru DORA — testowania operacyjnej odporności cyfrowej, w tym testów penetracyjnych TLPT.
