Pierwszym i — z naszego doświadczenia — najszerszym obszarem regulowanym przez rozporządzenie 2022/2554 są ramy zarządzania ryzykiem związanym z ICT. Materia rozpisana jest w rozdziale II DORA (art. 5–16), z trzonem ulokowanym w art. 6. Tym wpisem otwieramy część cyklu poświęconą pierwszemu filarowi i pokazujemy, co konkretnie podmiot finansowy musi mieć udokumentowane i działające. Pierwszy filar dopełnia odpowiedzialność zarządu (art. 5 DORA) i wzajemnie uzupełnia się z wymogami cyberbezpieczeństwa pod KSC/NIS2.
Co to są „ramy zarządzania ryzykiem ICT"?
Ramy zarządzania ryzykiem ICT to udokumentowany system strategii, polityk, procedur i narzędzi, który zapewnia kompleksową ochronę zasobów ICT i operacyjną odporność cyfrową podmiotu finansowego.
Zgodnie z art. 6 ust. 1 DORA: „Podmioty finansowe dysponują — jako częścią swojego ogólnego systemu zarządzania ryzykiem — solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej". Zgodnie z art. 6 ust. 2 DORA ramy te „obejmują co najmniej strategie, polityki, procedury, protokoły i narzędzia ICT niezbędne do należytej i odpowiedniej ochrony wszystkich zasobów informacyjnych i zasobów ICT".
Z czego składają się ramy zarządzania ryzykiem ICT?
Rozporządzenie rozkłada zawartość ram na sześć bloków uregulowanych w art. 6–14 DORA — od strategii odporności po komunikację kryzysową.
- Strategia operacyjnej odporności cyfrowej (art. 6 ust. 8 DORA)
- Dokument wyjściowy zatwierdzany przez organ zarządzający; określa jak ramy wspierają strategię biznesową i jaki jest limit tolerancji ryzyka ICT.
- Identyfikacja zasobów i procesów (art. 8 DORA)
- Fundament całego systemu — zob. identyfikację zasobów ICT (art. 8).
- Ochrona, wykrywanie, reagowanie i przywracanie sprawności (art. 9–11 DORA)
- Operacyjne serce ram — zob. ochronę, wykrywanie i reagowanie (art. 9–11).
- Polityki i procedury kopii zapasowych (art. 12 DORA)
- Zob. kopie zapasowe pod DORA (art. 12).
- Uczenie się i rozwój (art. 13 DORA)
- Przeglądy po incydentach, świadomość bezpieczeństwa, szkolenia operacyjne — przygotowanie do obsługi incydentów ICT (drugi filar).
- Komunikacja (art. 14 DORA)
- Plan komunikacji kryzysowej — wewnętrzny i zewnętrzny.
Powyższe elementy musi mieć w dokumentacji każdy podmiot finansowy stosujący pełne ramy. Dla podmiotów objętych uproszczonymi ramami z art. 16 DORA zakres jest węższy, ale tożsamy w logice.
Czego dotyczy art. 7 DORA — systemy, protokoły, narzędzia?
Art. 7 DORA wprowadza wymogi techniczne dla systemów ICT — zaktualizowane, wiarygodne, o wystarczającej zdolności przetwarzania.
Zgodnie z tym przepisem „podmioty finansowe wykorzystują i utrzymują zaktualizowane systemy, protokoły i narzędzia ICT, które:
- są odpowiednie do skali operacji wspierających prowadzenie ich działalności, zgodnie z zasadą proporcjonalności, o której mowa w art. 4;
- są wiarygodne;
- mają wystarczającą zdolność do dokładnego przetwarzania danych […]".
Z naszego doświadczenia ten przepis rzutuje na decyzje o cyklu życia systemów (lifecycle), o aktualizacjach oprogramowania i o wycofywaniu z użytku przestarzałych systemów ICT (definicja w art. 3 pkt 3 DORA).
Co znaczy art. 13 DORA — uczenie się i rozwój?
Art. 13 DORA wymaga zdolności gromadzenia informacji o cyberzagrożeniach oraz formalnego przeglądu po każdym poważnym incydencie ICT.
Zgodnie z art. 13 ust. 1 DORA podmiot finansowy „dysponuje zdolnościami i personelem umożliwiającymi mu gromadzenie informacji na temat podatności oraz cyberzagrożeń, incydentów związanych z ICT, w szczególności cyberataków, oraz analizę ich prawdopodobnego wpływu na ich operacyjną odporność cyfrową". Zgodnie z art. 13 ust. 2 DORA po wystąpieniu poważnego incydentu związanego z ICT powodującego zakłócenia w głównej działalności podmiot przeprowadza przegląd po incydencie — analizę przyczyn zakłócenia i identyfikację ulepszeń.
Co z komunikacją kryzysową — art. 14 DORA?
Art. 14 DORA wymaga posiadania udokumentowanych planów komunikacji kryzysowej obejmujących klientów, kontrahentów i — w stosownych przypadkach — opinię publiczną.
Art. 14 ust. 1 DORA: „W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe posiadają plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej umożliwiające odpowiedzialne ujawnianie, co najmniej, poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a także, w stosownych przypadkach, opinii publicznej".
Jak często przeglądamy ramy zarządzania ryzykiem ICT?
Art. 6 ust. 5 DORA wymaga przeglądu co najmniej raz w roku, a także po każdym poważnym incydencie ICT i zgodnie z instrukcjami nadzorczymi.
Wniosek: w organizacjach innych niż mikroprzedsiębiorstwa rok to minimum. Z naszego doświadczenia naturalnym rytmem przeglądu jest sezon planowania budżetowego (Q4) — ramy mają wówczas wpływ na budżet ICT, audytów i szkoleń na rok następny (art. 5 ust. 2 lit. g DORA).
Co z audytem ram?
Art. 6 ust. 6 DORA wymaga regularnego audytu wewnętrznego ram przez audytorów posiadających odpowiednią wiedzę i niezależność — w podmiotach innych niż mikroprzedsiębiorstwa.
- Plan audytu wewnętrznego musi obejmować ramy DORA — najczęściej w odrębnym module audytowym.
- Audytor musi mieć udokumentowaną wiedzę z zakresu ICT.
- Wnioski audytu trafiają do formalnego procesu działań następczych (art. 6 ust. 7 DORA) — z określonymi terminami i osobą odpowiedzialną.
Co teraz zrobić?
Z naszego doświadczenia rekomendujemy następującą sekwencję wdrożeniową dla pierwszego filaru:
- Sporządzić mapę dokumentów wymaganych przez art. 6–14 DORA i porównać ją z dokumentacją istniejącą w organizacji.
- Wyznaczyć osobę odpowiedzialną merytorycznie za każdy z sześciu bloków pierwszego filaru.
- Przyjąć harmonogram rocznego przeglądu ram (art. 6 ust. 5 DORA) i włączyć go do planu działań organu zarządzającego.
- Przygotować plan audytu wewnętrznego ICT (art. 6 ust. 6 DORA) co najmniej na rok do przodu.
W kolejnym wpisie pokazujemy, od czego dosłownie zacząć — od identyfikacji zasobów i procesów ICT z art. 8 DORA.
