Zgłaszanie incydentów

DORA to również wytyczne podobne do tych znanych już z NIS (dyrektywa UE w zakresie cyberbezpieczeństwa) oraz polityk bezpieczeństwa. Incydenty będą musiały być monitorowane, a bardziej znaczące naruszenia będą zgłaszane do właściwych organów krajowych. To rozwinięcie istniejącego już TIBER-EU, czyli systemu dla gromadzenia ostrzeżeń o zagrożeniach, który jest dobrze znany red teamom. Kompatybilność DORA z NIS zapewnia instytucjom pewien zestaw standardów i możliwość stałego zwiększania poziomu cyberświadomości. Jeśli zaś idzie o kryteria klasyfikacji incydentów, to zostały one przybliżone w art. 16 DORA. Przepisy określają jednocześnie, że ESA wraz z Europejskim Bankiem Centralnym (EBC) i Agencją Unii Europejskiej ds. Bezpieczeństwa Cybernetycznego (ENISA) stworzy spójny regulacyjny standard techniczny do wykorzystania w przyszłości.

Jak się przygotowywać?

Warto przyjąć optykę, wedle której zmiana wpłynie zarówno na sektor finansowy, jak i ICT. Rzecz jasna, realizując dotychczasowe zalecenia nadzorcze, na przykład odnośnie do wykorzystywania chmury czy outsourcingu, bądź wdrażając środki techniczne i organizacyjne na potrzeby wymagań przetwarzania danych (część zmiany technologicznej w organizacjach już nastąpiła). Będzie to jednak wymagało oceny na nowo i ewentualnego dostosowania. To dostosowanie powinno być łatwiejsze, bo DORA ma za zadanie ujednolicać, nie zaś wprowadzać dodatkowy i niekompatybilny reżim.

W cenie powinna być również interdyscyplinarna optyka. Podobna do tej prezentowanej przez EBA w wytycznych dla zarządzania ryzykiem ICT i bezpieczeństwa. W wytycznych EBA mowa jest wprost o potrzebie współpracy ze specjalistami, okresowymi szkoleniami pracowników oraz wygospodarowaniu na ten cel specjalnego budżetu. Nowe regulacje mogą być solidnym argumentem w rozmowach o tym, że nie ma środków pieniężnych na bezpieczeństwo. I powiedzieć trzeba więcej: w istocie rzeczy to nie o regulacje chodzi, a o zmianę optyki na cybersecurity by design. To realnie pozwala zarządzać ryzykiem bezpieczeństwa, projektować bezpieczniejszą architekturę, dbać o utrzymanie bezpieczeństwa architektury przez cykl jej życia, a w konsekwencji: zamiast gasić pożar, zapobiegać jego wybuchowi.

Nadzieja na ujednolicenie

Biorąc pod uwagę rozproszony system regulacji w zakresie bezpieczeństwa (NIS, GDPR, rozporządzenia techniczne takie jak RTS) oraz zróżnicowane wytyczne organów nadzoru (EBA czy EIOPA), przynajmniej dla rynku finansowego w DORA można widzieć szansę na ujednolicenie tego systemu. W gąszczu regulacji takie ujednolicenie wydaje się być stanem pożądanym. Rynek finansowy oraz ICT może mieć nadzieję, że ta regulacja nieco uporządkuje wymagania nadzoru. Być może w niektórych aspektach pozwoli ona nadzorowi zaprzestać dalszego „doregulowywania”, a przedsiębiorcy zapewni większą stabilność co do nakładanych na niego wymagań i usprawni zarządzanie systemem compliance.

Rozporządzenie DORA wejdzie w życie po upływie 24 miesięcy od dnia jego przyjęcia. A zatem na przygotowanie się do jego zapisów biznes ma około dwóch lat. Doświadczenia związane z RODO pozwalają zaś ogłosić: „czas start!”.

Łukasz Masztalerz Łukasz Masztalerz  

Autor jest adwokatem specjalizującym się w prawie i technologii oraz autorem bloga shadowtech.pl.