Zarządzanie incydentami ICT zgodnie z DORA: Wymagania i obowiązki

HomeResourcesArtykułyZarządzanie incydentami ICT zgodnie z DORA: Wymagania i obowiązki

Zarządzanie incydentami ICT zgodnie z DORA: Wymagania i obowiązki

Zagrożenia w kwestii cyberbezpieczeństwa mogą mieć katastrofalne skutki nie tylko dla samej instytucji, ale również dla jej klientów oraz szerzej pojętego rynku finansowego. Przerwy w dostępie do usług ICT, utrata danych, a także spadek zaufania do instytucji płatniczych to tylko niektóre z możliwych konsekwencji. Dlatego kluczowym wymogiem, aby osiągnąć wysoki poziom operacyjnej odporności cyfrowej, jest sprawne zarządzanie incydentami związanymi z ICT oraz raportowanie ich do odpowiednich organów. W odpowiedzi na te wyzwania, Unia Europejska wprowadziła Rozporządzenie DORA (Digital Operational Resilience Act), które ma na celu ujednolicenie podejścia do zarządzania ryzykiem ICT w sektorze finansowym.

Rozporządzenie to nakłada na instytucje finansowe obowiązki związane z identyfikacją i klasyfikacją incydentów ICT oraz kładzie nacisk na zgłaszanie poważnych incydentów z tym związanych. Przeczytaj artykuł i dowiedz się o kluczowych definicjach zawartych w rozporządzeniu oraz jakie są wymagania i obowiązki podmiotów finansowych. 

Kluczowe pojęcia i definicje incydentów związanych z ICT 

Zrozumienie kluczowych pojęć i definicji zawartych w DORA jest niezbędne, aby odpowiednio zarządzać incydentami związanymi z ICT. Dzięki temu organizacja może odpowiednio przygotować i wdrożyć komplet wewnętrznych procedur eskalacji, a także planów powiadamiania klientów, jeżeli taki incydent się wydarzy. 

Rozporządzenie DORA definiuje dwa rodzaje incydentów związanych z ICT:

  • Incydent związany z ICT (zgodnie z art. 3 pkt 8 Rozporządzenia DORA) – to pojedyncze zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych oraz mają negatywny wpływ na dostępność, autentyczność, integralność, poufność danych lub na usługi świadczone przez ten podmiot finansowy. 
  • Poważny incydent związany z ICT (art. 3 pkt 10 Rozporządzenia DORA) – incydent związany z ICT o dużym, negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego. Skutki poważnych incydentów związanych z ICT wpływają bezpośrednio na krytyczne usługi oraz zdolność instytucji do wywiązywania się ze swoich obowiązków. 

Rozporządzenie Parlamentu Europejskiego i Rady (UE) definiuje także cyberzagrożenie. Jest ono określone jako każde potencjalne zdarzenie, okoliczność lub działanie, które może zaszkodzić lub zakłócić działanie sieci i systemów informatycznych oraz wpłynąć na użytkowników tych systemów. Znaczące cyberzagrożenie to takie, które może spowodować poważny incydent związany z ICT lub bezpieczeństwem, np. w kontekście operacji płatniczych. Definicje te podkreślają potencjalny charakter zagrożeń oraz ich szeroki zakres, co jest kluczowe dla zrozumienia ich wpływu na bezpieczeństwo cyfrowe.

Warto zauważyć, że rozporządzenie parlamentu europejskiego DORA wprowadza także inne pojęcia, które mają kluczowe znaczenie w zrozumieniu zakresu incydentów związanych z ICT. Te pojęcia są szczegółowo zdefiniowane w DORA i są to:

  • sieci i systemy informatyczne – czyli całość infrastruktury informatycznej, która obejmuje sieci łączności elektronicznej, urządzenia przetwarzające dane oraz same dane cyfrowe.
  • bezpieczeństwo sieci i systemów informatycznych – oznacza zdolność tych systemów do wytrzymania różnych zagrożeń, które mogą wpłynąć na dostępność, integralność lub poufność danych i usług.
  • krytyczna lub istotna funkcja – czyli taka, której zakłócenie mogłoby poważnie wpłynąć na działalność instytucji finansowej, jej stabilność finansową lub na usługi świadczone klientom.

Zrozumienie powyższych pojęć pozwala lepiej przygotować się na potencjalne ryzyka i wdrożenie procedur reagowania w organizacji. 

Jaki jest proces zarządzania incydentami związanymi z ICT zgodnie z DORA?

Rozporządzenie DORA w celu wykrywania incydentów związanych z ICT wskazuje na niezbędne elementy procesu zarządzania incydentami. Według art. 17 ust. 3 są nimi:

a) wprowadzenie wskaźników wczesnego ostrzegania;

b) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1 Rozporządzenia DORA;

c) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnoszących się scenariuszy; 

d) określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów zgodnie z art. 14 Rozporządzenia DORA oraz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci;

e) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT; 

f) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności oraz bezpieczeństwa usług w rozsądnym terminie.

Podsumowując, Rozporządzenie DORA nakłada na instytucje finansowe szereg obowiązków związanych z zarządzaniem incydentami ICT, które mają na celu skuteczne wykrywanie, klasyfikowanie i reagowanie na wszelkie zagrożenia. Wprowadzenie wskaźników wczesnego ostrzegania, ustanowienie odpowiednich procedur oraz określenie ról i obowiązków – to kluczowe elementy tego procesu, a dbanie o odpowiednią komunikację i reagowanie na incydenty pozwala nie tylko na złagodzenie ich skutków, ale także na zapewnienie ciągłości i bezpieczeństwa usług. 

Obowiązki podmiotów finansowych w zarządzaniu incydentami związanymi z ICT 

Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie operacyjnej odporności cyfrowej sektora finansowego nakłada na podmioty finansowe konkretne obowiązki w kontekście zarządzania incydentami ICT. 

Podmioty finansowe zobowiązane są do szeregu działań, które są określone w rozdziale III DORA i które zostały doprecyzowane w projektach regulacyjnych standardów technicznych. Są to między innymi:

Przygotowanie planów działań informacyjnych

Instytucje finansowe muszą opracować plany na wypadek sytuacji kryzysowych, które umożliwią odpowiedzialne ujawnianie poważnych incydentów związanych z ICT. Plany te powinny przewidywać informowanie klientów, kontrahentów, a w razie potrzeby także opinii publicznej o zaistniałych zagrożeniach.

Wprowadzenie mechanizmów szybkiego wykrywania incydentów

Kolejnym obowiązkiem jest stworzenie mechanizmów pozwalających na szybkie wykrywanie nietypowych działań w systemach ICT, w tym problemów związanych z wydajnością sieci oraz incydentów, które mogą prowadzić do poważnych zakłóceń. W ramach tych działań instytucje muszą także identyfikować potencjalne kluczowe punkty awarii, które mogą zagrażać ciągłości działania.

Monitorowanie aktywności użytkowników oraz wykrywanie nieprawidłowości

Instytucje finansowe są zobowiązane do zapewnienia wystarczających zasobów i narzędzi do monitorowania działalności użytkowników systemów ICT. Obejmuje to wykrywanie nieprawidłowości, takich jak nietypowe działania czy cyberataki, oraz skuteczne reagowanie na takie incydenty.

Dodatkowo, przepisy Rozporządzenia DORA przewidują, że niektóre szczegóły dotyczące zarządzania ryzykiem ICT, istotne dla zapobiegania i reagowania na incydenty, będą doprecyzowane w regulacyjnych standardach technicznych opracowywanych przez Europejskie Urzędy Nadzoru. Te standardy mają na celu usprawnienie procesów związanych z wykrywaniem i reakcją na zagrożenia ICT.

Podsumowanie

Jednym z kluczowych elementów odporności cyfrowej jest transparentność w raportowaniu incydentów oraz zagrożeń. Dlatego instytucje finansowe są zobowiązane do zgłaszania poważnych incydentów związanych z ICT, co pozwala na lepszą koordynację działań naprawczych oraz zapobiegawczych na poziomie całego sektora, a także zintegrowane monitorowanie incydentów związanych z ICT.

Rozporządzenie DORA zachęca również do dobrowolnego informowania organów nadzoru o wszelkich cyberzagrożeniach, które mogą potencjalnie przerodzić się w poważne incydenty.

Taka wymiana informacji jest nieoceniona dla budowania wspólnej odporności cyfrowej z zewnętrznymi dostawcami usług ICT, ponieważ w obliczu rosnących zagrożeń staje się jednym z filarów bezpieczeństwa sektora finansowego.

Rozporządzenie DORA to krok w stronę zintegrowanego podejścia do zarządzania ryzykiem cyfrowym w sektorze finansowym. Instytucje finansowe muszą zatem wdrożyć odpowiednie procedury i systemy, aby sprostać tym wymaganiom i zapewnić ciągłość oraz bezpieczeństwo swoich usług. W kontekście zbliżającego się terminu obowiązywania Rozporządzenia DORA, czas na dostosowanie się do nowych regulacji jest coraz krótszy. Dlatego też podmioty objęte tymi przepisami powinny niezwłocznie podjąć działania, które zapewnią im pełną zgodność z wymaganiami tego aktu prawnego.

  

Rozwiązania biznesowe

Platforma AdaptiveGRC oferuje szereg modułów ułatwiających zarządzanie działaniami GRC w Twojej firmie spejniając najnowsze wymogi regulacyjne (DORA, NIS2).

Pozwól nam dopasować najlepsze rozwiązanie dla Twojej firmy. Wypełnij poniższy formularz.
ZAREZERWUJ KONSUTLACJĘ

Usprawnij swoje działania GRC dzięki AdaptiveGRC
Uzyskuj szybsze wyniki.

  • Wypełnij formularz.
  • Nasz konsultant wspólnie z Tobą określi potrzeby Twojej firmy.
  • Zaplanujemy demonstrację produktu, aby pokazać wymagane funkcje.
  • Pozyskamy Twoją opinię i dostosujemy narzędzie do Twoich potrzeb.
Wypełnij formularz

    Administratorem Twoich danych osobowych jest C&F S.A. z siedzibą w Warszawie. Twoje dane będą przetwarzane zgodnie z Polityką Prywatności C&F S.A.

    NASZE RECENZJE

    Przeczytaj recenzje, aby dowiedzieć się, co użytkownicy myślą o naszych rozwiązaniach.

    Niezwykle efektywne oprogramowanie GRC w atrakcyjnej cenie

    AdaptiveGRC oferuje dużą elastyczność w obsłudze procesów GRC i audytu. Produkt jest stale rozwijany, a klienci regularnie otrzymują dostęp nowe możliwości i funkcjonalności. Co więcej, cena jest bardzo konkurencyjna w porównaniu do innych produktów na rynku. Zespół wsparcia jest elastyczny i odpowiednio reaguje na potrzeby klientów.

    Sebastian B. Dyrektor Generalny | Bezpieczeństwo komputerowe i sieciowe Pracownicy: 2-10

    Wszechstronna platforma do zarządzania ryzykiem i zgodnością

    Korzystałem z modułów AdaptiveGRC do zarządzania zgodnością i ryzykiem przez ponad rok. Wdrożenie przebiegło płynnie, a zespół wsparcia zawsze służył pomocą. Szczególnie cenię sobie funkcjonalności oferowane przez AdaptiveGRC – wszystkie procesy GRC są zarządzane za pomocą jednego narzędzia, które korzysta z jednej bazy danych. Narzędzie to pomogło mojej organizacji obniżyć koszty operacyjne i lepiej zrozumieć ryzyka.

    Marcin K. Dyrektor ds. bezpieczeństwa informacji | Usługi finansowe Pracownicy: 51-200

    Doskonałe narzędzie do kontroli zgodności

    Niesamowite jest to, że dzięki AdaptiveGRC zarządzanie indywidualnymi ocenami można skrócić z dni do minut. Narzędzie umożliwia generowanie raportów dla różnych interesariuszy, zawierających wybrane dane z wyników ocen. Bardzo doceniam możliwość tworzenia list specyfikacji zgodności dla kontraktów z dostawcami czy wewnętrznych działów.

    Jasween K. Zgodność w branży farmaceutycznej Pracownicy: 10000+

    AdaptiveGRC wspiera firmy ubezpieczeniowe w zarządzaniu ryzykiem i zgodnością

    Używałem AdaptiveGRC do wsparcia procesów zarządzania zgodnością w firmach ubezpieczeniowych, które musiały dostosować się do wymagajacych regulacji branżowych. Używałem też AdaptiveGRC do zarządzania i monitorowania procesów zarządzania danymi po wejściu w życie RODO. Doświadczyłem znacznego wzrostu efektywności w obu przypadkach.

    Recenzent zweryfikowany Ubezpieczenia | Samozatrudnienie

    W nazwie AdaptiveGRC zawiera się wszystko

    Jak sugeruje nazwa, AdaptiveGRC to kompleksowe rozwiązanie GRC, które można dostosować do organizacji z różnych branż i różnej wielkości. Zespół AGRC wykonał znakomitą pracę, projektując i tworząc najlepsze w swojej klasie rozwiązanie GRC, które odpowiada na wyzwania dzisiejszego niepewnego i szybko zmieniającego się globalnego klimatu biznesowego. Współpraca z zespołem AGRC była przyjemnością, a wsparcie, które zapewnili, było wyjątkowe.

    D Scott C. Rozwój Biznesu | Biotechnologia Pracownicy: 2-10

    Instytucje finansowe mogą znacznie skorzystać na AdaptiveGRC

    Cieszę się, że mogę używać AdaptiveGRC w mojej pracy. To dedykowane rozwiązanie jest bardzo pomocne każdemu, kto musi wypełnić kwestionariusz SREP. Dodatkowy czas, który zyskałem, był bezcenny. Design platformy również bardzo mi się podoba. Prostota użytkowania jest dużym plusem. Dzięki możliwości porównywania formularzy z poprzednich lat, mogłem skrócić czas potrzebny na wypełnienie nowego kwestionariusza. Ponadto, mogę monitorować postępy osób zaangażowanych w proces.

    Anna C. Szef Zespołu ds. Przestępstw Finansowych | Bankowość Pracownicy: 10000+

    Świetne wsparcie dla firmy ubezpieczeniowej

    Moje ogólne doświadczenia są bardzo pozytywne. Czas i kontrola nad procesami, które zyskałem, są nieocenione. Podoba mi się, że platforma jest bardzo łatwa w obsłudze. Zdecydowanie pozwoliło mi to skrócić czas potrzebny na wypełnienie kwestionariusza SREP. Mogę również łatwo kontrolować status pracy moich członków zespołu, sprawdzać ich postępy i monitorować na bieżąco wydarzenia.

    Recenzent zweryfikowany Ubezpieczenia Pracownicy: 201-500