Art. 12 DORA jest jednym z bardziej technicznych przepisów rozdziału II. Reguluje wymogi dotyczące kopii zapasowych, odtwarzania danych, oddzielnych systemów ICT i nadmiarowych zdolności. Z naszego doświadczenia większość podmiotów finansowych ma już politykę kopii zapasowych, ale rzadko spełnia wszystkie wymogi szczegółowe art. 12 DORA — w szczególności w zakresie fizycznej i logicznej separacji systemów odtwarzania. Polityka kopii zapasowych jest jednym z bloków ram zarządzania ryzykiem ICT (pierwszy filar) i ściśle łączy się z blokiem ochrony, wykrywania i reagowania (art. 9–11).
Co dokładnie wymaga art. 12 ust. 1 DORA?
Art. 12 ust. 1 DORA wymaga opracowania polityki kopii zapasowych określającej zakres danych, częstotliwość i procedury odtwarzania.
Zgodnie z art. 12 ust. 1 DORA: „W celu zapewnienia przywrócenia systemów ICT i danych przy minimalnej przerwie, ograniczonych zakłóceniach i stratach, w kontekście ram zarządzania ryzykiem związanym z ICT podmioty finansowe opracowują i dokumentują:
- a) polityki i procedury zarządzania kopiami zapasowymi, w których określono zakres danych, które obejmuje kopia zapasowa, oraz minimalną częstotliwość tworzenia kopii zapasowej, w oparciu o krytyczność informacji lub poziom poufności danych;
- b) procedury i metody odtwarzania i przywracania sprawności".
W praktyce art. 12 ust. 1 DORA nakazuje, aby polityka kopii zapasowych odpowiadała na trzy pytania: co, jak często i jak odtwarzamy.
Czy systemy backupu mogą działać na tej samej infrastrukturze co systemy źródłowe?
Nie. Art. 12 ust. 3 akapit pierwszy DORA wymaga, aby systemy ICT do odtwarzania były oddzielone fizycznie i logicznie od systemu źródłowego.
Zgodnie z tym przepisem: „Przywracając dane z kopii zapasowych przy użyciu własnych systemów, podmioty finansowe korzystają z systemów ICT, które są oddzielone fizycznie i logicznie od źródłowego systemu ICT. Systemy ICT są zabezpieczone przed wszelkim nieupoważnionym dostępem lub uszkodzeniem w zakresie ICT i umożliwiają terminowe przywrócenie usług w razie potrzeby przy wykorzystaniu kopii zapasowych danych i systemów".
W praktyce dla wielu organizacji jest to wymóg najbardziej kosztochłonny w art. 12 DORA. Fizyczne i logiczne oddzielenie oznacza, że nie wystarczy izolacja na poziomie sieci wirtualnej (VLAN) lub kontenera — wymagana jest oddzielna fizyczna lokalizacja sprzętu lub odrębne środowisko chmurowe oraz odrębny zestaw poświadczeń, kont, polityk dostępu.
Jakie są wymogi testowania kopii zapasowych?
Art. 12 ust. 2 zdanie ostatnie DORA wymaga okresowego testowania procedur zarządzania kopiami zapasowymi oraz odtwarzania.
Z naszego doświadczenia „okresowo" w warunkach finansowych oznacza minimum raz w roku, a w odniesieniu do najbardziej krytycznych systemów (np. core banking, systemy autoryzacji, systemy KYC) — częściej. Częstotliwość testów warto skorelować z wymogiem testowania ram odporności cyfrowej z art. 24 DORA (zob. trzeci filar — testowanie).
Czy DORA wymaga nadmiarowych zdolności w zakresie ICT?
Tak — art. 12 ust. 4 DORA wymaga utrzymywania nadmiarowych zdolności ICT przez podmioty inne niż mikroprzedsiębiorstwa.
Zgodnie z art. 12 ust. 4 DORA: „Podmioty finansowe inne niż mikroprzedsiębiorstwa utrzymują nadmiarowe zdolności w zakresie ICT posiadające zasoby, zdolności i funkcje, które są odpowiednie do zaspokojenia potrzeb biznesowych. Mikroprzedsiębiorstwa oceniają potrzebę utrzymywania takich nadmiarowych zdolności w zakresie ICT w oparciu o swój profil ryzyka".
DORA nie wskazuje konkretnej technologii redundancji. Może to być infrastruktura aktywna-aktywna, aktywna-pasywna, geograficznie rozproszona, w chmurze publicznej lub w hybrydzie.
Co z lokalizacją zapasową?
Wymóg odrębnej zapasowej lokalizacji przetwarzania danych dotyczy wprost wyłącznie centralnych depozytów papierów wartościowych (art. 12 ust. 5 DORA) — dla pozostałych podmiotów wystarczy realizacja wymogu nadmiarowych zdolności.
Dla pozostałych podmiotów finansowych wymóg „nadmiarowych zdolności" z art. 12 ust. 4 DORA może być spełniony różnymi sposobami — w tym przez zapasową lokalizację, ale też przez inne mechanizmy (replikacja danych w chmurze, georedundancja u dostawcy chmurowego). W naszej ocenie warto jednak udokumentować, że lokalizacja zapasowa lub jej odpowiednik:
- znajduje się w odpowiedniej odległości geograficznej, aby nie być narażony na to samo zdarzenie co główna lokalizacja.
- może zapewnić ciągłość funkcji krytycznych lub istotnych.
- jest dostępna dla personelu w przypadku niedostępności głównego miejsca.
Czym są RTO i RPO pod DORA?
Art. 12 ust. 6 DORA wymaga określenia zakładanego czasu przywrócenia systemów (RTO) i akceptowalnego poziomu utraty danych (RPO) dla każdej funkcji.
Decyzja o RTO/RPO musi uwzględniać:
- czy funkcja jest krytyczna lub istotna;
- potencjalny ogólny wpływ na efektywność rynku.
W praktyce dla naszych Klientów oznacza to, że dokumentacja kopii zapasowych musi zawierać tabelę funkcji z przypisanymi do każdej z nich wartościami RTO i RPO oraz uzasadnieniem.
Co teraz zrobić?
Z naszego doświadczenia projekt zgodności z art. 12 DORA porządkujemy w sześć kroków:
- Sporządzić politykę kopii zapasowych z określeniem zakresu, częstotliwości i metod odtwarzania (art. 12 ust. 1 DORA).
- Zweryfikować faktyczną fizyczną i logiczną separację systemów backupu od systemów źródłowych (art. 12 ust. 3 DORA).
- Określić RTO i RPO dla każdej funkcji z mapy funkcji krytycznych i istotnych (art. 12 ust. 6 DORA).
- Zaplanować i udokumentować okresowe testy odtwarzania (art. 12 ust. 2 DORA).
- Zapewnić nadmiarowe zdolności ICT (art. 12 ust. 4 DORA) — w technice odpowiedniej dla profilu ryzyka.
- Włączyć politykę kopii zapasowych do strategii ciągłości działania ICT z art. 11 DORA.
W kolejnym wpisie rozpoczynamy omówienie drugiego filaru DORA — zarządzania incydentami ICT.
