Art. 16 DORA wprowadza odrębny, lżejszy reżim zarządzania ryzykiem związanym z ICT, kierowany do zamkniętego katalogu mniejszych podmiotów — m.in. małych instytucji płatniczych, instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE oraz małych firm inwestycyjnych. Z naszego doświadczenia ten przepis budzi największe nieporozumienia: część podmiotów uznaje go za „skrót" do wdrożenia DORA, część traktuje wręcz jako wyłączenie. Żadna z tych tez nie jest prawdziwa.

Komu adresowany jest art. 16 DORA?

Art. 16 ust. 1 akapit pierwszy DORA wymienia zamknięty katalog czterech kategorii podmiotów uprawnionych do uproszczonych ram zarządzania ryzykiem ICT.

Art. 5–15 niniejszego rozporządzenia nie mają zastosowania do małych i niepowiązanych wzajemnie firm inwestycyjnych, instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366; instytucji zwolnionych zgodnie z dyrektywą 2013/36/UE, w odniesieniu do których państwa członkowskie podjęły decyzję o niewykorzystywaniu możliwości, o której mowa w art. 2 ust. 4 niniejszego rozporządzenia; instytucji pieniądza elektronicznego zwolnionych zgodnie z dyrektywą 2009/110/WE; oraz małych instytucji pracowniczych programów emerytalnych (art. 16 ust. 1 akapit pierwszy DORA).

Małe instytucje płatnicze (MIP)
Jako instytucje płatnicze zwolnione na podstawie PSD2 — wprost objęte art. 16 ust. 1 DORA.
Biura usług płatniczych (BUP)
W naszej ocenie również mieszczą się w kategorii „instytucji płatniczych zwolnionych zgodnie z dyrektywą (UE) 2015/2366".
Małe i niepowiązane wzajemnie firmy inwestycyjne
W sposób zdefiniowany w przepisach unijnych (rozporządzenie 2019/2033, IFR).
Niektóre małe instytucje pieniądza elektronicznego
Zwolnione zgodnie z dyrektywą 2009/110/WE.
Małe instytucje pracowniczych programów emerytalnych (IPE)
Zgodnie z definicjami z dyrektywy IORP II.

Co konkretnie obejmują uproszczone ramy?

Art. 16 ust. 1 akapit drugi DORA wprowadza osiem pozytywnych obowiązków, które adresat uproszczonych ram musi spełnić.

Zgodnie z tym przepisem podmioty wymienione w akapicie pierwszym:

  • „wprowadzają i utrzymują prawidłowe i udokumentowane ramy zarządzania ryzykiem związanym z ICT […]" (lit. a).
  • „stale monitorują bezpieczeństwo i funkcjonowanie wszystkich systemów ICT" (lit. b).
  • „minimalizują wpływ ryzyka związanego z ICT poprzez stosowanie prawidłowych, odpornych i zaktualizowanych systemów, protokołów i narzędzi ICT" (lit. c).
  • „umożliwiają szybką identyfikację i wykrywanie źródeł ryzyka związanego z ICT i nieprawidłowości" (lit. d).
  • „określają kluczowe zależności od zewnętrznych dostawców usług ICT" (lit. e).
  • „zapewniają ciągłość krytycznych lub istotnych funkcji poprzez plany ciągłości działania oraz środki reagowania i przywracania sprawności, które obejmują co najmniej środki zarządzania kopiami zapasowymi i środki odtwarzania" (lit. f).
  • „regularnie testują plany i środki, o których mowa w lit. f), a także skuteczność działań wdrożonych zgodnie z lit. a) i c)" (lit. g).
  • „wdrażają […] odpowiednie wnioski operacyjne wynikające z testów […] oraz wnioski z analiz przeprowadzonych po wystąpieniu incydentu […] i opracowują […] programy zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej dla pracowników i kadry zarządzającej" (lit. h).

Art. 16 ust. 2 DORA wymaga, aby ramy były udokumentowane oraz poddawane przeglądowi okresowo i po wystąpieniu poważnych incydentów ICT.

Czego art. 16 DORA NIE zwalnia?

Art. 16 ust. 1 akapit pierwszy DORA wyłącza wyłącznie art. 5–15 DORA — pozostałe rozdziały rozporządzenia pozostają stosowane.

Praktycznie oznacza to, że MIP/BUP korzystający z uproszczonych ram ma obowiązek:

  • Wdrożyć proces zarządzania incydentami i zgłaszać poważne incydenty ICT zgodnie z art. 17–23 DORA.
  • Stosować rozdział IV w zakresie testowania (z proporcjonalnością).
  • Stosować rozdział V w zakresie zarządzania ryzykiem dostawców ICT (sekcja I — art. 28–30).
  • Stosować przepisy o wymianie informacji o cyberzagrożeniach z art. 45 DORA.

Czy zawsze warto stosować uproszczone ramy?

Z naszego doświadczenia odpowiedź nie jest oczywista — wybór między pełnymi a uproszczonymi ramami wymaga policzenia kosztu i ryzyka po obu stronach.

  • Po pierwsze, wiele organizacji, które kwalifikują się do uproszczonych ram, planuje w niedalekiej przyszłości upgrade statusu (np. MIP → KIP). Jeżeli rozważasz taki krok, dokumentacja zbudowana pod art. 5–15 DORA będzie wartością trwałą — szczególnie w świetle nadchodzącej konsolidacji licencji w pakiecie PSD3/PSR.
  • Po drugie, dostawcy ICT i partnerzy biznesowi (banki, dostawcy usług KYC, dostawcy systemów core'owych) coraz częściej wymagają w due diligence zgodności z pełnym art. 6 DORA.
  • Po trzecie, struktury kontroli wymagane przez art. 16 ust. 1 akapit drugi DORA i tak są obszerne — różnica między „uproszczonymi" a „pełnymi" ramami nie zawsze jest tak duża.

W naszej ocenie wybór reżimu powinien być świadomą decyzją zarządu, a nie automatycznym skutkiem statusu MIP/BUP.

Co teraz zrobić?

Rekomendujemy podmiotowi, który spełnia warunki art. 16 DORA:

  • Zidentyfikować formalnie kategorię, w której działa (MIP, BUP, mała firma inwestycyjna, mała IPE, mała IPP) — szczegóły w artykule kogo dotyczy DORA.
  • Sprawdzić, czy państwo członkowskie nie skorzystało z możliwości z art. 2 ust. 4 DORA — bo to wpływa na zakres uproszczeń.
  • Porównać koszt wdrożenia uproszczonych ram (osiem obowiązków lit. a–h) z kosztem pełnych ram (art. 5–15 DORA).
  • Podjąć decyzję na poziomie organu zarządzającego i udokumentować ją.

W kolejnym wpisie omawiamy odpowiedzialność zarządu za DORA — niezależną od tego, którego reżimu zdecyduje się stosować podmiot.

Co dalej w cyklu?