Identyfikacja zasobów ICT pod DORA — od czego zacząć (art. 8)

W tym wpisie pokazujemy, czym powinien rozpocząć się każdy projekt wdrożenia DORA — niezależnie od tego, czy chodzi o krajową instytucję płatniczą, fintech kryptoaktywowy, ASI, czy pośrednika ubezpieczeniowego. Z naszego doświadczenia w pracy z fintechami pierwszy krok jest zaskakująco często pomijany, a od jego rzetelnego wykonania zależy wszystko, co dzieje się dalej. Mowa o art. 8 DORA — „Identyfikacja". Identyfikacja zasobów to fundament ram zarządzania ryzykiem ICT (pierwszy filar).

Co dokładnie nakazuje art. 8 DORA?

Art. 8 DORA wymaga identyfikacji, klasyfikacji i udokumentowania wszystkich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych, zasobów ICT i ich zależności.

Zgodnie z art. 8 ust. 1 DORA: „W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT. Podmioty finansowe dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności tej klasyfikacji i wszelkiej stosownej dokumentacji".

W praktyce art. 8 DORA wymaga, aby podmiot finansowy miał — udokumentowaną i aktualną — odpowiedź na pięć pytań:

• Jakie mam funkcje biznesowe wspierane przez ICT?
• Jakie zasoby informacyjne i zasoby ICT wspierają każdą z tych funkcji?
• Jakie są zależności między tymi zasobami i funkcjami?
• Które zasoby są krytyczne, a które istotne?
• Które procesy zależą od zewnętrznych dostawców usług ICT?

Dlaczego identyfikacja zasobów jest pierwszym krokiem?

Bez znajomości zasobów nie da się przeprowadzić analizy ryzyka ICT z art. 6 DORA ani oceny ryzyka koncentracji z art. 29 DORA — identyfikacja jest fundamentem.

• Po pierwsze — analiza ryzyka, którą wymaga art. 6 i nast. DORA, nie jest możliwa bez znajomości zasobów. Trudno ocenić ryzyko utraty danych, jeśli nie wiem, jakie dane mam, gdzie są przechowywane i kto ma do nich dostęp.
• Po drugie — wymogi związane z dostawcami zewnętrznymi (art. 28–30 DORA) wymagają w pierwszej kolejności rejestru ekspozycji na dostawców ICT. Bez rejestru zasobów taki rejestr ekspozycji jest niemożliwy. Patrz: outsourcing ICT pod DORA.

Co powinno znaleźć się w rejestrze zasobów ICT?

Rejestr musi obejmować wszystkie zasoby informacyjne i zasoby ICT, ich konfigurację, powiązania oraz ewidencję krytyczności.

Z art. 8 ust. 4–6 DORA wynika konkretny zakres ewidencji. Podmiot finansowy:

• „wskazuje wszystkie zasoby informacyjne i zasoby ICT, w tym zasoby zdalne, zasoby sieciowe i sprzęt komputerowy, oraz ewidencjonuje te z nich, które są uznawane za krytyczne" (ust. 4 zdanie pierwsze).
• „ewidencjonuje konfigurację zasobów informacyjnych i zasobów ICT oraz powiązania i współzależności między poszczególnymi zasobami informacyjnymi i zasobami ICT" (ust. 4 zdanie drugie).
• „wskazuje i dokumentuje wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT, oraz wskazuje wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje" (ust. 5).
• „utrzymuje odpowiednie wykazy, które są aktualizowane okresowo i przy każdej większej zmianie" (ust. 6).

Czym są „funkcje krytyczne lub istotne"?

Zgodnie z art. 3 pkt 22 DORA „krytyczna lub istotna funkcja" to funkcja, której zakłócenie miałoby istotny wpływ na wyniki finansowe, ciągłość usług lub warunki zezwolenia podmiotu.

W praktyce dla większości fintechów funkcje krytyczne to: utrzymanie infrastruktury core'owej, autoryzacja transakcji, KYC, płatności, raportowanie regulacyjne, obsługa klienta, kanały elektroniczne. To one wymagają najwyższego poziomu ochrony i podlegają najściślejszej kontroli pod DORA — szczegółowo omówioną w bloku ochrona, wykrywanie i reagowanie.

Jak często aktualizować rejestr?

Art. 8 ust. 1 DORA wymaga aktualizacji co najmniej raz w roku, a art. 8 ust. 6 DORA — przy każdej większej zmianie w infrastrukturze.

Z naszego doświadczenia minimum raz w roku to bardzo niski próg — w większości fintechów rejestr zasobów ICT zmienia się znacznie częściej. Rekomendujemy, aby aktualizacja była procesem ciągłym, a roczny przegląd służył wyłącznie weryfikacji adekwatności klasyfikacji i sprawdzeniu zgodności rejestru z faktycznym stanem.

Co teraz zrobić?

Z naszego doświadczenia projekt identyfikacji zasobów ICT pod DORA porządkujemy w pięć kroków:

• Sporządzić listę funkcji biznesowych wspieranych przez ICT (warstwa biznesowa).
• Dla każdej funkcji opisać wspierające ją procesy oraz zasoby ICT i zasoby informacyjne (warstwa procesowa i techniczna).
• Sklasyfikować zasoby na krytyczne, istotne i pozostałe — z udokumentowaniem kryteriów klasyfikacji.
• Przeprowadzić mapę ekspozycji na dostawców ICT — który dostawca obsługuje który proces krytyczny.
• Zatwierdzić wynik na poziomie organu zarządzającego (art. 5 ust. 2 DORA) i wpiąć go w roczny cykl przeglądu (art. 6 ust. 5, art. 8 ust. 1 DORA).

W kolejnym wpisie cyklu omawiamy art. 9–11 DORA — ochronę, wykrywanie i reagowanie.

Co dalej w cyklu?

• Ramy zarządzania ryzykiem ICT (art. 6)
• Ochrona, wykrywanie i reagowanie (art. 9–11)
• Kopie zapasowe (art. 12)
• Outsourcing ICT pod DORA