Minął ponad rok od wejścia w życie rozporządzenia DORA. Dla banków, fintechów, instytucji płatniczych i dostawców ICT to moment weryfikacji. Co działa? Gdzie pojawiają się luki? Jak w praktyce wygląda raportowanie do KNF, zarządzanie incydentami i nadzór nad dostawcami technologii?

Jak po roku stosowania DORA interpretować obowiązki regulacyjne

DORA nie jest już projektem wdrożeniowym. To codzienność. Regulacja realnie wpływa na sposób działania instytucji finansowych.

W praktyce kluczowe znaczenie ma właściwe zrozumienie zakresu obowiązków. DORA obejmuje nie tylko raportowanie incydentów. To również:

• ramy zarządzania ryzykiem ICT;
• obowiązki dokumentacyjne;
• testowanie odporności cyfrowej;
• nadzór nad dostawcami usług ICT;
• odpowiedzialność organów zarządzających.

Po roku stosowania widać wyraźnie, że największym wyzwaniem nie jest sama treść przepisów, ale ich operacyjne wdrożenie.

Szczególne znaczenie ma prawidłowe zdefiniowanie i sklasyfikowanie zasobów ICT. To punkt wyjścia do całego systemu. Bez spójnego rejestru zasobów nie ma efektywnego zarządzania ryzykiem. Nie ma też spójnego raportowania. Rejestr nie może być „papierowy”, tzn. nie może powstać wyłącznie na potrzeby raportu. Musi odzwierciedlać rzeczywistą architekturę ICT organizacji. Powinien obejmować nie tylko główne systemy, lecz także komponenty, zależności, cykl życia, daty end of life oraz powiązanie z funkcjami biznesowymi.

Zbyt wąska definicja systemu ICT prowadzi do pominięcia istotnych elementów, zbyt szeroka – utrudnia zarządzanie i raportowanie. Potrzebne jest podejście wyważone, logiczne i możliwe do obrony przed nadzorem. Ostatecznie to organy zarządzające ponoszą odpowiedzialność za ramy zarządzania ryzykiem ICT. Procedury muszą działać w praktyce. W przeciwnym razie ryzyko naruszenia zasad ładu korporacyjnego jest realne.

Jak przygotowywać raporty wymagane przez rozporządzenie DORA?

DORA przewiduje 20 rodzajów sprawozdań. Część składana jest na żądanie Komisji Nadzoru Finansowego (KNF). Pozostałe mają charakter cykliczny.

Raportowanie wymaga:

• posiadania numeru LEI;
• aktywnego konta w systemie raportowym KNF;
• korzystania z aktualnych formularzy;
• prawidłowej walidacji plików.

Z naszych doświadczeń wynika, że częstym problemem była praca na nieaktualnych wzorach formularzy, co skutkowało koniecznością ponownego składania raportów.

Krytyczne znaczenie ma również techniczna poprawność pliku. Nazwa musi zawierać numer UPN, oznaczenie formularza, okres sprawozdawczy oraz dokładną datę i godzinę utworzenia. W przeciwnym razie system odrzuci zgłoszenie.

Nie można pozostawiać pustych pól. Reguły walidacyjne tego nie dopuszczają. W określonych przypadkach stosuje się techniczne rozwiązania, takie jak data 31 grudnia 9999 r. przy umowach zawartych na czas nieokreślony.

Raportowanie nie jest wyłącznie czynnością formalną. Dane muszą być spójne z dokumentacją wewnętrzną. Liczby muszą się zgadzać. Nadzór analizuje konsekwencję i logikę raportów w czasie. Jeżeli rejestr zasobów i ocena ryzyka są opracowane rzetelnie, raportowanie staje się procesem uporządkowanym i przewidywalnym.

Na co zwrócić szczególną uwagę przy raportowaniu incydentów

W przypadku incydentów czas ma kluczowe znaczenie. Wstępne powiadomienie należy przekazać w ciągu czterech godzin. Bez wcześniejszego przygotowania jest to praktycznie niemożliwe.

Organizacja musi:

• mieć zmapowane zasoby ICT;
• znać ich powiązanie z funkcjami biznesowymi;
• posiadać aktualną ocenę ryzyka;
• monitorować podatności i logi w sposób ciągły.

Samo gromadzenie logów nie wystarcza. Potrzebna jest korelacja zdarzeń, analiza w czasie rzeczywistym i generowanie alertów.

Zarządzanie podatnościami nie może mieć charakteru wyłącznie cyklicznego. W przypadku podatności typu zero day reakcja musi być natychmiastowa.

Rzetelna ocena ryzyka pozwala szybko określić skalę incydentu, jego wpływ na działalność oraz poziom tolerancji ryzyka. To bezpośrednio przekłada się na jakość i kompletność raportu. Raport nie może być oderwany od rzeczywistości operacyjnej. Musi być elementem systemu zarządzania ryzykiem.

Dlaczego raporty dotyczące dostawców ICT są dziś jednym z największych wyzwań dla rynku

Nadzór nad dostawcami ICT to jeden z najbardziej wymagających obszarów DORA. Pierwszym wyzwaniem jest prawidłowa klasyfikacja dostawców. Trzeba ustalić, czy wspierają funkcje krytyczne lub istotne. Od tego zależą obowiązki raportowe oraz zakres nadzoru.

Drugim problemem jest dokumentacja umowna. Należy jasno określić charakter ustalenia, jego powiązania z innymi umowami, datę rozpoczęcia i zakończenia oraz plan wyjścia.

Szczególne znaczenie ma rozróżnienie między strategią wyjścia a planem wyjścia. Strategia ma charakter zarządczy i strategiczny. Określa, kiedy i dlaczego podejmowana jest decyzja o zakończeniu współpracy. Natomiast plan wyjścia ma charakter techniczny. Powinien umożliwiać uporządkowane zakończenie relacji z dostawcą bez zakłócenia ciągłości działania. Plan nie może być teoretyczny. Musi być realny i spójny z architekturą ICT. Nie ma obowiązku utrzymywania zapasowego dostawcy. Jest natomiast obowiązek posiadania logicznego i wykonalnego scenariusza.

W praktyce raporty dotyczące ustaleń umownych były jednymi z najbardziej czasochłonnych. Niespójności w klasyfikacji dostawców są sygnałem dla nadzoru, że zarządzanie ryzykiem ICT może być niewystarczające.

Od dokumentów do realnej odporności cyfrowej

Po 12 miesiącach stosowania DORA jedno jest pewne. Regulacja nie sprowadza się do dokumentów.

To system zarządzania ryzykiem ICT, który musi działać operacyjnie. Obejmuje ludzi, kompetencje, strukturę organizacyjną, matryce odpowiedzialności, monitorowanie podatności, zarządzanie cyklem życia systemów oraz realny nadzór nad dostawcami.

Raportowanie, testy odporności, plany wyjścia i ocena ryzyka są elementami jednego spójnego mechanizmu. Brak spójności między nimi jest widoczny dla nadzoru.

DORA to dziś standard funkcjonowania instytucji finansowych i fintechów. Wymaga dojrzałego podejścia, integracji obszarów compliance, IT, risk i security oraz aktywnego zaangażowania zarządu.

Jeżeli chcą Państwo zweryfikować swoje ramy zarządzania ryzykiem ICT, uporządkować raportowanie do KNF lub przygotować organizację na kolejne kontrole, zapraszamy do kontaktu z ekspertami Kancelarii Macura. Wspieramy instytucje finansowe i dostawców ICT w praktycznym stosowaniu DORA, począwszy od analizy dokumentacji po operacyjne wdrożenia.