Operacyjna odporność cyfrowa sektora finansowego

 

STRESZCZENIE DOKUMENTU:

Rozporządzenie (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego

JAKIE SĄ CELE ROZPORZĄDZENIA?

Ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych wspierających procesy biznesowe podmiotów finansowych takich jak banki, towarzystwo ubezpieczeniowe oraz spółki inwestycyjne.

Obejmuje szeroki zakres podmiotów finansowych podlegających regulacjom Unii Europejskiej (UE), wymagając od nich odporności, reagowania i odzyskiwania sprawności w przypadku wystąpienia wszelkich zakłóceń lub zagrożeń związanych z technologiami informacyjno-komunikacyjnymi (ICT).

KLUCZOWE ZAGADNIENIA

Zakres

Rozporządzenie obejmuje:

• instytucje kredytowe, płatnicze, pieniądza elektronicznego i pracownicze instytucje emerytalne;
• dostawców usług w zakresie informacji o rachunkach, kryptoaktywów, udostępniania informacji, finansowania społecznościowego i podmiotów świadczących usługi ICT;
• firm inwestycyjnych, alternatywnych funduszy inwestycyjnych, spółek zarządzających, agencji ratingowych i administratorów kluczowych wskaźników referencyjnych;
• repozytoria transakcji i sekurytyzacji, centralne depozyty papierów wartościowych, centralnych kontrahentów i systemy obrotu;
• towarzystwa ubezpieczeniowe, pośredników ubezpieczeniowych i reasekuracji.

Zarządzanie ryzykiem związanym z technologią informacyjną

Podmioty finansowe inne niż mikroprzedsiębiorstwa:

• posiadają wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT;
• zapewniają, że ich organy zarządzające określają, zatwierdzają i nadzorujeą wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT;
• posiadają rzetelne, kompleksowe i dobrze udokumentowane ramy zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi wraz z niezbędnymi strategiami, politykami, procedurami, protokołami i narzędziami umożliwiającymi szybkie i skuteczne reagowanie;
• wykorzystują i utrzymują zaktualizowane systemy, protokoły i narzędzia ICT, które są odpowiednie do skali operacji wspierających prowadzenie ich działalności, są wiarygodne, mają wystarczającą zdolność do dokładnego przetwarzania danych i są odporne pod względem technologicznym;
• identyfikują, klasyfikują i odpowiednio dokumentują wszystkie funkcje biznesowe, role i obowiązki wspierane przez ICT oraz dokonują przeglądu scenariuszy ryzyka;
• stale monitorują bezpieczeństwo i działanie systemów i narzędzi ICT, aby zminimalizować wpływ wszelkich zagrożeń związanych z ICT;
• niezwłocznie wykrywają anomalie i identyfikują potencjalne punkty awarii;
• wdrażają kompleksowe zasady ciągłości działania technologii informacyjno-komunikacyjnych wraz z odpowiednimi planami, procedurami i mechanizmami;
• opracowują i dokumentują zasady tworzenia kopii zapasowych oraz procedury przywracania i odzyskiwania danych;
• wykorzystują zasoby i personel do oceny podatności i cyberzagrożeń, incydentów związanych z technologiami informacyjno-komunikacyjnymi, szczególnie cyberataków, oraz analizują ich potencjalny wpływ na cyfrową odporność operacyjną podmiotu;
• opracowują plany komunikacji kryzysowej w celu informowania klientów, kontrahentów i opinii publicznej o co najmniej poważnych incydentach lub podatnościach związanych z technologiami informacyjno-komunikacyjnymi.

Zarządzanie, klasyfikacja i sprawozdawczość związane z ICT

Podmioty finansowe:

• określają, ustanawiają i wdrażają środki służące do wykrywania, zarządzania, rejestrowania i powiadamiania o incydentach związanych z ICT;
• klasyfikują incydenty i określają ich wpływ przy użyciu kryteriów, takich jak liczba narażonych klientów i kontrahentów, czas trwania, zasięg geograficzny i utrata danych;
• zgłaszają poważne incydenty związane z ICT wyznaczonemu właściwemu organowi, który przekazuje je organowi wyższego szczebla, takiemu jak Europejski Bank Centralny lub Europejski Urząd Nadzoru Bankowego.

Testowanie operacyjnej odporności cyfrowej

Podmioty finansowe inne niż mikroprzedsiębiorstwa:

• ustanawiają, utrzymują i weryfikują rzetelny i kompleksowy program operacyjnego testowania cyfrowego, obejmujący niezbędne oceny, testy, metodologie, praktyki i narzędzia;
• przeprowadzają co najmniej raz na 3 lata testy penetracyjne na poziomie zagrożenia w oparciu o ich profil ryzyka i biorąc pod uwagę okoliczności operacyjne, korzystając wyłącznie z usług certyfikowanych testerów, posiadających niezbędną wiedzę specjalistyczną i odpowiednie kwalifikacje oraz ubezpieczenie od odpowiedzialności zawodowej.

Zarządzanie ryzykiem ICT podmiotów zewnętrznych

Podmioty finansowe:

• zarządzają ryzykiem podmiotów zewnętrznych jako integralnym elementem ich ogólnego ryzyka ICT;
• posiadają ustalenia umowne na świadczenie usług ICT zapewniające pełną zgodność prowadzonych działań z obowiązującymi przepisami prawa;
• uwzględniają charakter, skalę, złożoność i znaczenie zależności związanych z ICT oraz wszelkie potencjalne zagrożenia;
• rozważają korzyści i koszty alternatywnych rozwiązań podczas identyfikacji i oceny wszelkich związanych z nimi zagrożeń;
• uwzględniają w treści umowy prawa i obowiązki każdej ze stron oraz warunki świadczenia usług.

Ramy nadzoru nad zewnętrznymi dostawcami krytycznych usług ICT

Zasady ramowe:

• powierzają trzem europejskim organom nadzorczym obowiązki:
  • wskazania na podstawie jasnych kryteriów, zewnętrznych dostawców usług ICT uznawanych za kluczowych dla podmiotów finansowych;
  • wyznaczenie organu odpowiedzialnego za dany podmiot finansowy jako głównego podmiotu sprawującego nadzór nad każdym zewnętrznym dostawcą usług o znaczeniu krytycznym;
• ustanawiają Forum Nadzoru, które:
  • omawia istotne zmiany w zakresie ryzyka związanego z ICT i podatności na zagrożenia oraz promuje spójne podejście UE do monitorowania;
  • dokonuje dorocznej oceny działań nadzorczych, wspiera działania mające na celu zwiększenie cyfrowej odporności operacyjnej i promuje najlepsze praktyki;
  • przedstawia kompleksowe wskaźniki odniesienia dla dostawców krytycznych usług ICT;
• zobowiązują główny podmiot sprawujący nadzór do:
  • pełnienia roli głównego punktu kontaktowego dla dostawców krytycznych usług ICT;
  • oceny, czy każdy krytyczny dostawca wdrożył kompleksowe, rzetelne i skuteczne zasady, procedury, mechanizmy i działania;
  • występowania o udzielenie wszelkich istotnych informacji i udostępnienie dokumentacji, przeprowadzania dochodzeń i kontroli (w tym w państwach trzecich), określanie działań naprawczych i wydawania zaleceń;
• umożliwiają Europejskiemu Urzędowi Nadzoru Bankowego, Europejskiemu Urzędowi Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych oraz Europejskiemu Urzędowi Nadzoru Giełd i Papierów Wartościowych współpracę z organami regulacyjnymi i nadzorczymi spoza UE w zakresie ryzyka ICT podmiotów zewnętrznych;
• nakładają na europejskie urzędy nadzoru obowiązek przedkładania co 5 lat Parlamentowi Europejskiemu, Radzie Unii Europejskiej i Komisji Europejskiej poufnego sprawozdania na temat ich kontaktów z organami spoza UE.

Umowy dotyczące udostępniania informacji

Podmioty finansowe mogą wymieniać między sobą informacje i dane analityczne dotyczące cyberzagrożeń, pod warunkiem że:

• ma to na celu zwiększenie ich operacyjnej odporności cyfrowej;
• odbywa się to w ramach zaufanych społeczności;
• zapewnia ochronę poufności informacji biznesowych i danych osobowych oraz przestrzeganie zasad polityki konkurencji.

Kary i środki naprawcze

Właściwe organy:

• posiadają wszelkie uprawnienia nadzorcze, dochodzeniowe i sankcyjne niezbędne do wykonywania swoich obowiązków;
• nakładają i publikują na swoich stronach internetowych kary administracyjne i środki zaradcze określone w prawie krajowym.

Europejskie urzędy nadzoru opracowują projekty regulacyjnych standardów technicznych dotyczących narzędzi zarządzania ryzykiem w zakresie ICT, klasyfikacji i zgłaszania incydentów związanych z ICT oraz prowadzenia działań nadzorczych.

Komisja:

• jest uprawniona do przyjmowania aktów delegowanych;
• przedłoży Parlamentowi i Radzie, do dnia 17 stycznia 2028 roku, przegląd rozporządzenia, po konsultacji z Europejskimi Urzędami Nadzoru oraz Europejską Radą ds. Ryzyka Systemowego.

Rozporządzenie zmienia rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 909/2014, (UE) nr 600/2014 i (UE) 2016/1011.

OD KIEDY ROZPORZĄDZENIE MA ZASTOSOWANIE?

Rozporządzenie ma zastosowanie od 17 stycznia 2025 r.

KONTEKST

Reformy, które zostały przeprowadzone po kryzysie finansowym z 2008 roku, przede wszystkim wzmocniły stabilność finansową sektora. Zagrożenia związane z technologiami informacyjno-komunikacyjnymi zostały uwzględnione jedynie pośrednio w niektórych obszarach i nadal stanowiły wyzwanie dla odporności operacyjnej, wydajności i stabilności systemu finansowego UE.

Rozporządzenie, określane skrótem DORA, jest częścią większego pakietu przepisów dotyczących finansów cyfrowych, mającego na celu wspieranie rozwoju technologicznego oraz zapewnienie stabilności finansowej i ochrony konsumentów. Jego pozostałe elementy obejmują strategię finansów cyfrowych, rynki kryptoaktywów i technologię rozproszonego rejestru.

Więcej informacji:

• Pakiet finansów cyfrowych (Komisja Europejska).

GŁÓWNY DOKUMENT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1–79).

DOKUMENTY POWIĄZANE

Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie strategii dla UE w zakresie finansów cyfrowych (COM(2020) 591 final z 24.9.2020).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/1011 z dnia 8 czerwca 2016 r. w sprawie indeksów stosowanych jako wskaźniki referencyjne w instrumentach finansowych i umowach finansowych lub do pomiaru wyników funduszy inwestycyjnych i zmieniające dyrektywy 2008/48/WE i 2014/17/UE oraz rozporządzenie (UE) nr 596/2014 (Dz.U. L 171 z 29.6.2016, s. 1–65).

Kolejne zmiany rozporządzenia (UE) 2016/1011 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 909/2014 z dnia 23 lipca 2014 r. w sprawie usprawnienia rozrachunku papierów wartościowych w Unii Europejskiej i w sprawie centralnych depozytów papierów wartościowych, zmieniające dyrektywy 98/26/WE i 2014/65/UE oraz rozporządzenie (UE) nr 236/2012 (Dz.U. L 257 z 28.8.2014, s. 1–72).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 600/2014 z dnia 15 maja 2014 r. w sprawie rynków instrumentów finansowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U. L 173 z 12.6.2014, s. 84–148).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 z dnia 4 lipca 2012 r. w sprawie instrumentów pochodnych będących przedmiotem obrotu poza rynkiem regulowanym, kontrahentów centralnych i repozytoriów transakcji (Dz.U. L 201 z 27.7.2012, s. 1–59).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1060/2009 z dnia 16 września 2009 r. w sprawie agencji ratingowych (Dz.U. L 302 z 17.11.2009, s. 1–31).

Zob. tekst skonsolidowany.

Ostatnia aktualizacja: 10.01.2024