Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) wprowadza szereg zmian w polskim porządku prawnym, w ustawie o krajowym systemie cyberbezpieczeństwa, w tym znacząco rozszerza kompetencje Komisji Nadzoru Finansowego (KNF) w zakresie cyberbezpieczeństwa.
DORA zastępuje wcześniejsze wytyczne, takie jak Komunikat Chmurowy UKNF oraz Rekomendację D KNF. Wprowadza także nowe akty wykonawcze, które będą precyzować sposób realizacji obowiązków wynikających z DORA. Te zmiany mają na celu nie tylko zwiększenie odporności sektora finansowego na zagrożenia związane z cyberbezpieczeństwem, ale również poprawę ochrony klientów i stabilności rynku finansowego.
Kluczowe informacje warte zapamiętania – Nowe kompetencje KNF w zakresie cyberbezpieczeństwa w związku z DORA:
- DORA znacząco rozszerza kompetencje KNF w zakresie cyberbezpieczeństwa. KNF będzie nadzorować dwukrotnie więcej podmiotów, w tym nowe kategorie, takie jak kluczowi zewnętrzni dostawcy usług ICT (CTPP) i pośrednicy ubezpieczeniowi przekraczający pułap dla średniego przedsiębiorstwa.
- KNF będzie odgrywać kluczową rolę w zarządzaniu incydentami i zagrożeniami cyberbezpieczeństwa. Podmioty finansowe będą zobowiązane do zgłaszania poważnych incydentów i znaczących cyberzagrożeń, a KNF będzie odpowiedzialna za ich analizę, udzielanie wsparcia i nadzór nad procesem zarządzania incydentami.
- Wdrożenie DORA stawia przed KNF szereg wyzwań. Należą do nich zwiększony zakres nadzoru, konieczność zapewnienia odpowiednich zasobów, utrudnienia w pozyskiwaniu informacji, wyzwania interpretacyjne i legislacyjne oraz zapewnienie proporcjonalności regulacji.
Zwiększony zakres nadzoru cyberbezpieczeństwa KNF
Wdrożenie rozporządzenia 2022/2554 (DORA) znacząco rozszerza zakres nadzoru Komisji Nadzoru Finansowego (KNF) w obszarze cyberbezpieczeństwa sektora finansowego. Zwiększony zakres nadzoru obejmuje zarówno nowe kategorie podmiotów, jak i rozszerzone obowiązki dla istniejących podmiotów nadzorowanych.
Nowe kategorie podmiotów:
- Kluczowi zewnętrzni dostawcy usług ICT (CTPP – Critical ICT Third-Party Provider): KNF będzie uczestniczyć w nadzorze nad CTPP, nową kategorią podmiotów nadzorowanych, w ramach współpracy z Europejskimi Urzędami Nadzoru (EUN). Szacuje się, że EUN wyznaczy do 75 CTPP.
- Pośrednicy ubezpieczeniowi przekraczający pułap dla średniego przedsiębiorstwa: KNF będzie sprawować nadzór nad pośrednikami ubezpieczeniowymi, którzy nie są mikroprzedsiębiorstwami, małymi lub średnimi przedsiębiorstwami .
DORA nakłada na KNF obowiązek nadzorowania około 2100 podmiotów finansowych w obszarze bezpieczeństwa ICT, co stanowi dwukrotny wzrost w stosunku do stanu obecnego. Rozszerzenie to obejmuje instytucje takie jak banki zagraniczne i zakłada ścisłe monitorowanie zgodności ich działalności z wymogami DORA. W ramach nadzoru KNF będzie mogła:
- Przeprowadzać kontrole w celu sprawdzenia, czy podmioty finansowe spełniają wymogi DORA w zakresie zarządzania ryzykiem ICT, zarządzania incydentami, testowania odporności i współpracy z zewnętrznymi dostawcami usług ICT.
- Żądać od podmiotów finansowych informacji, dokumentów lub wyjaśnień w zakresie niezbędnym do sprawowania nadzoru.
- Wydawać rekomendacje dotyczące bezpieczeństwa sieci i systemów informatycznych skierowane do podmiotów finansowych.
Rozszerzone obowiązki dla istniejących podmiotów nadzorowanych:
- Zgłaszanie poważnych incydentów związanych z ICT: Podmioty finansowe będą zobowiązane do zgłaszania do KNF poważnych incydentów związanych z ICT. KNF będzie musiała analizować te zgłoszenia, podejmować dalsze działania i ewentualnie udzielać wsparcia podmiotom finansowym.
- Przeprowadzanie zaawansowanych testów penetracyjnych (TLPT): KNF będzie odpowiedzialna za wyznaczanie podmiotów finansowych zobowiązanych do przeprowadzania testów TLPT.
- Dokumentowanie ram zarządzania ryzykiem związanym z ICT: Podmioty nadzorowane będą zobowiązane do opracowania i wdrożenia szczegółowej dokumentacji dotyczącej ram zarządzania ryzykiem ICT.
- Wdrażanie mechanizmów zabezpieczających i kontrolnych: Podmioty nadzorowane będą musiały wdrożyć mechanizmy zabezpieczające i kontrolne zapewniające operacyjną odporność cyfrową oraz bezpieczeństwo ICT.
- Przekazywanie informacji o umowach dotyczących usług ICT: KNF będzie zbierać od podmiotów nadzorowanych informacje o umowach dotyczących usług ICT, które będą wykorzystywane przez EUN do wyznaczania CTPP.
- Zgłaszanie planowanych ustaleń umownych w zakresie usług ICT: Podmioty finansowe będą musiały zgłaszać do KNF wszelkie planowane ustalenia umowne w zakresie korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
Korzyści wynikające ze zwiększonego zakresu nadzoru:
- Wzrost bezpieczeństwa sektora finansowego: Zwiększony nadzór KNF w obszarze cyberbezpieczeństwa ma na celu zwiększenie bezpieczeństwa sektora finansowego i ochronę przed cyberatakami.
- Harmonizacja regulacji na poziomie UE: DORA wprowadza jednolite ramy regulacyjne w zakresie operacyjnej odporności cyfrowej dla sektora finansowego w całej UE.
- Wzmocnienie współpracy międzynarodowej: DORA promuje współpracę między organami nadzoru w UE i na poziomie międzynarodowym.
Zarządzanie incydentami i zagrożeniami
Nowe kompetencje KNF w zakresie cyberbezpieczeństwa to również rozszerzenie roli KNF w zarządzaniu incydentami i zagrożeniami to ważny krok w kierunku zwiększenia bezpieczeństwa polskiego systemu finansowego. Realizacja nowych zadań będzie wymagała od KNF podjęcia szeregu działań, w tym legislacyjnych, organizacyjnych i technologicznych.
DORA wprowadza scentralizowany system raportowania incydentów, w którym KNF odgrywa kluczową rolę. Podmioty finansowe będą zobowiązane do zgłaszania:
- Poważnych incydentów związanych z ICT, z uwzględnieniem szczegółowych informacji niezbędnych do oceny ich znaczenia i potencjalnych skutków transgranicznych. Zgłoszenia te będą przekazywane również do sektorowego zespołu cyberbezpieczeństwa CSIRT KNF.
- Znaczących cyberzagrożeń, które mogą potencjalnie prowadzić do poważnych incydentów. Obecnie projekt ustawy przewiduje dobrowolność takich zgłoszeń, jednak Urząd Ochrony Danych Osobowych (UODO) postuluje wprowadzenie obowiązku ich zgłaszania.
KNF będzie odpowiedzialna za:
- Przyjmowanie i obsługę zgłoszeń incydentów i zagrożeń, w tym ich analizę i prowadzenie dalszej komunikacji z raportującymi podmiotami. KNF będzie analizować zgłoszenia incydentów, podejmować dalsze działania i ewentualnie udzielać wsparcia podmiotom finansowym, szczególnie w przypadku ryzyka systemowego.
- Udzielanie wsparcia i przekazywanie informacji zwrotnych podmiotom finansowym raportującym poważne incydenty, zwłaszcza w sytuacjach, gdy incydenty te mogą stwarzać ryzyko systemowe lub zagrożenie dla stabilności sektora finansowego.
- Nadzór nad procesem zarządzania incydentami: KNF będzie sprawować nadzór nad tym, jak podmioty finansowe zarządzają incydentami, klasyfikują je i zgłaszają.
- Proaktywne monitorowanie: KNF będzie monitorować cyberzagrożenia i podejmować działania w celu zwalczania znaczących zagrożeń, zarówno na poziomie poszczególnych podmiotów, jak i całego rynku.
- Wymianę informacji o zagrożeniach: KNF będzie zbierać i przetwarzać zgłoszenia dotyczące przystąpienia podmiotów finansowych do ustaleń dotyczących wymiany informacji o cyberzagrożeniach.
Nadzór KNF nad kluczowymi zewnętrznymi dostawcami usług ICT
KNF będzie sprawować nadzór nad zewnętrznymi dostawcami usług ICT na dwa główne sposoby:
- Bezpośredni nadzór nad wszystkimi dostawcami: KNF będzie posiadała szereg uprawnień w stosunku do wszystkich dostawców, nie tylko tych kluczowych. Będzie mogła nakazać podmiotom finansowym:
- tymczasowe zawieszenie, w części lub w całości, korzystania z usługi świadczonej przez dostawców lub jej wdrażania,
- wypowiedzenie, w części lub w całości, stosownych ustaleń umownych zawartych z dostawcami.
- środki te będą wzorowane na środkach przewidzianych w art. 42 ust. 6 rozporządzenia 2022/2554.
- Pośredni nadzór nad kluczowymi dostawcami: KNF będzie uczestniczyć w procesie nadzoru nad kluczowymi dostawcami sprawowanym przez wiodący organ nadzorczy wyznaczony spośród Europejskich Urzędów Nadzoru.
W ramach bezpośredniego nadzoru nad dostawcami, KNF będzie mogła:
- żądać informacji, dokumentów i wyjaśnień od banków i innych instytucji finansowych w zakresie korzystania z usług dostawców.
- kontrolować osoby fizyczne lub prawne, którym bank zlecił funkcje lub działalność, w tym dostawców.
- nakazać podmiotom finansowym uwzględnienie ryzyk zidentyfikowanych przez KNF w ramach sprawowanego nadzoru.
W ramach pośredniego nadzoru nad kluczowymi dostawcami, KNF będzie:
- zbierać i przetwarzać dane z rejestrów informacji o umowach dotyczących usług ICT od podmiotów nadzorowanych.
- przekazywać te dane do Europejskich Urzędów Nadzoru w celu wyznaczania kluczowych dostawców.
- delegować swoich pracowników do pracy we wspólnych zespołach ds. kontroli ustanawianych dla każdego kluczowego dostawcy.
- stosować środki nadzorcze w postaci decyzji administracyjnych nakazujących podmiotom finansowym tymczasowe zawieszenie lub wypowiedzenie umów z kluczowymi dostawcami, w przypadku gdy wiodący organ nadzorczy zidentyfikuje ryzyka.
KNF będzie również współpracować z Europejskimi Urzędami Nadzoru w procesie wyznaczania kluczowych zewnętrznych dostawców usług ICT (CTPPs). CTPPs to dostawcy, których awaria lub zakłócenie działalności mogłyby mieć znaczący wpływ na stabilność sektora finansowego.
Wymogi współpracy i wymiany informacji
Rozszerzona współpraca i wymiana informacji przez KNF są kluczowe dla zapewnienia cyberbezpieczeństwa sektora finansowego. Jednocześnie ważne jest, aby proces ten przebiegał w sposób zgodny z prawem, z poszanowaniem zasad ochrony danych osobowych i z zachowaniem niezbędnej precyzji w zakresie żądanych informacji.
- Współpraca z CSIRT: Zgłoszenia incydentów przekazywane do KNF będą automatycznie uznawane za przekazane do sektorowego zespołu cyberbezpieczeństwa CSIRT KNF.
- Współpraca z innymi organami: KNF będzie współpracować z innymi organami w kraju i na arenie międzynarodowej w celu zapewnienia cyberbezpieczeństwa rynku finansowego, m.in. poprzez udział w ćwiczeniach.
- Współpraca z Europejskimi Urzędami Nadzoru: KNF będzie przekazywać EUN informacje o cyberzagrożeniach, incydentach, a także o nałożonych sankcjach.
- Wspólne zespoły ds. kontroli: Pracownicy KNF będą uczestniczyć w wspólnych zespołach ds. kontroli, które będą wspierać wiodący organ nadzorczy w nadzorze nad kluczowymi zewnętrznymi dostawcami usług ICT (CTPP).
W ramach pełnienia roli właściwego organu w myśl rozporządzenia 2022/2554 (DORA), KNF będzie zobowiązana do rozszerzonej współpracy i wymiany informacji z różnymi podmiotami, w tym:
- Podmioty finansowe: KNF będzie żądać od podmiotów finansowych informacji, dokumentów i wyjaśnień w celu sprawowania nadzoru nad ich cyberbezpieczeństwem. Informacje te będą przekazywane głównie w formie elektronicznej za pośrednictwem systemu teleinformatycznego KNF.
- Dostawcy usług telekomunikacyjnych: W ramach postępowań wyjaśniających, KNF będzie uprawniona do żądania od dostawców usług telekomunikacyjnych informacji objętych tajemnicą komunikacji elektronicznej.
- Organy nadzoru innych państw członkowskich: KNF będzie zobowiązana do współpracy i wymiany informacji z organami nadzoru innych państw członkowskich w celu zapewnienia skutecznego nadzoru nad rynkiem finansowym.
- Europejskie Urzędy Nadzoru: KNF będzie przekazywać Europejskim Urzędom Nadzoru (EUN) informacje o cyberzagrożeniach, incydentach związanych z ICT, a także o nałożonych sankcjach.
- Zaufane społeczności podmiotów finansowych: KNF będzie mogła uczestniczyć w wymianie informacji w zaufanych społecznościach podmiotów finansowych, aby zwiększyć swoją świadomość w obszarze cyberbezpieczeństwa.
Należy zauważyć, że niektóre kwestie związane z implementacją DORA w Polsce są nadal przedmiotem dyskusji, np. zakres danych, do których KNF miałaby dostęp w ramach żądania udostępnienia rejestrów przesyłu danych od operatorów telekomunikacyjnych. Kwestie te będą prawdopodobnie doprecyzowywane w toku dalszych prac legislacyjnych.
DORA nakłada na KNF obowiązek szerokiej współpracy i wymiany informacji z innymi organami i instytucjami, w tym:
- Właściwymi organami z innych państw członkowskich UE i EFTA.
- Komisją Europejską.
- Organami właściwymi do spraw cyberbezpieczeństwa w Polsce, w tym z CSIRT MON, CSIRT NASK, CSIRT GOV.
- Pojedynczym Punktem Kontaktowym do spraw cyberbezpieczeństwa.
KNF będzie również uczestniczyć w ćwiczeniach z zakresu cyberbezpieczeństwa na poziomie krajowym i unijnym oraz podejmować działania informacyjne i edukacyjne w tym obszarze.
Kluczowe aspekty współpracy i wymiany informacji:
- Zasada legalizmu: Art. 5 pkt 5 projektu ustawy o nadzorze nad rynkiem finansowym przewiduje możliwość przekazywania informacji przez KNF podmiotowi podlegającemu jej nadzorowi. Jednak, zgodnie z konstytucyjną zasadą legalizmu, przepisy prawa powinny kreować obowiązki organów państwowych, a nie jedynie ich „możliwości”.
- Anonimizacja danych: W związku z przekazywaniem informacji, które mogą zawierać dane osobowe, KNF powinna zapewnić ich anonimizację zgodnie z wymogami rozporządzenia DORA.
- Zakres żądanych informacji: Ustawa o nadzorze nad rynkiem finansowym powinna precyzyjnie określać zakres informacji, dokumentów i wyjaśnień, których KNF może żądać od podmiotów finansowych. Zbyt szerokie ujęcie może budzić wątpliwości interpretacyjne.
- System teleinformatyczny: KNF będzie korzystać z systemu teleinformatycznego do wymiany informacji z podmiotami finansowymi. System ten ma usprawnić proces sprawozdawczości i zapewnić bezpieczne przekazywanie danych..
- Tajemnica komunikacji elektronicznej: KNF musi precyzyjnie określić, jakie informacje stanowiące tajemnicę komunikacji elektronicznej mogą być żądane od dostawców usług telekomunikacyjnych. Nieostre sformułowania w przepisach mogą naruszać prawa i wolności jednostki.
- Okres retencji danych: W przypadku informacji i dokumentów związanych z kontrolą, ustawa powinna określać okres ich retencji, aby zapewnić przestrzeganie zasady minimalizacji danych.
Wyzwania dla KNF w związku z DORA
Można zidentyfikować kilka kluczowych wyzwań, przed którymi staje KNF w związku z wdrażaniem rozporządzenia 2022/2554 (DORA) i innymi regulacjami dotyczącymi operacyjnej odporności cyfrowej sektora finansowego:
1. Zwiększony zakres nadzoru i nowe obowiązki:
- Wzrost liczby podmiotów nadzorowanych: Rozporządzenie DORA znacznie rozszerza zakres podmiotów finansowych objętych nadzorem KNF w obszarze ICT z około 700 do około 2100.
- Nadzór nad nowymi kategoriami podmiotów: KNF będzie uczestniczyć w nadzorze nad kluczowymi zewnętrznymi dostawcami usług ICT (CTPP), nową kategorią podmiotów nadzorowanych.
- Nowe obowiązki w zakresie raportowania incydentów: Podmioty finansowe będą zobowiązane do zgłaszania do KNF poważnych incydentów związanych z ICT. KNF będzie musiała analizować te zgłoszenia, podejmować dalsze działania i ewentualnie udzielać wsparcia podmiotom finansowym.
- Nadzór nad testami penetracyjnymi (TLPT): KNF będzie odpowiedzialna za określanie podmiotów finansowych zobowiązanych do przeprowadzania testów TLPT. Będzie to wymagało prowadzenia postępowań administracyjnych i monitorowania spełniania przesłanek.
- Współpraca międzynarodowa: KNF będzie musiała ściśle współpracować z właściwymi organami z innych państw członkowskich UE, Europejskimi Urzędami Nadzoru (EUN), a także z organami krajowymi odpowiedzialnymi za cyberbezpieczeństwo.
2. Konieczność zapewnienia odpowiednich zasobów:
- Zwiększenie zatrudnienia: Zwiększony zakres nadzoru i nowe obowiązki będą wymagały zwiększenia zatrudnienia w UKNF.
- Rozbudowa narzędzi informatycznych: KNF będzie potrzebowała rozbudowanych narzędzi informatycznych, aby móc skutecznie gromadzić, analizować i przetwarzać dane od podmiotów finansowych, w tym zgłoszenia incydentów, rejestry umów ICT i wyniki testów TLPT.
3. Utrudnienia w pozyskiwaniu informacji:
- Brak danych o statusie MŚP pośredników ubezpieczeniowych: KNF nie posiada aktualnych danych o liczbie zatrudnionych pracowników i rocznym obrocie lub bilansie rocznym pośredników ubezpieczeniowych, co utrudnia identyfikację podmiotów objętych rozporządzeniem DORA.
4. Wyzwania interpretacyjne i legislacyjne:
- Doprecyzowanie przepisów dotyczących nadzoru: Niektóre przepisy DORA wymagają doprecyzowania w prawie krajowym, aby zapewnić ich skuteczne stosowanie.
- Spójność terminologiczna: Istnieje potrzeba ujednolicenia terminologii stosowanej w projektowanych przepisach.
- Doprecyzowanie przepisów dotyczących wymiany informacji: Konieczne jest doprecyzowanie przepisów dotyczących wymiany informacji między KNF a innymi podmiotami, w tym w zakresie ochrony danych osobowych.
5. Zapewnienie proporcjonalności regulacji:
- Unikanie nadmiernego obciążenia administracyjnego: KNF musi dbać o to, aby regulacje dotyczące operacyjnej odporności cyfrowej sektora finansowego były proporcjonalne i nie nakładały nadmiernego obciążenia administracyjnego na podmioty finansowe.
6. Współpraca z sektorem finansowym:
- Budowanie świadomości: KNF musi prowadzić działania informacyjne i edukacyjne w celu budowania świadomości w sektorze finansowym na temat znaczenia operacyjnej odporności cyfrowej.
- Wspieranie wdrażania DORA: KNF powinna wspierać podmioty finansowe w procesie wdrażania rozporządzenia DORA.
Realizacja tych wyzwań będzie wymagała od KNF podjęcia szeregu działań, w tym legislacyjnych, organizacyjnych i technologicznych. Skuteczne wdrożenie rozporządzenia DORA i innych regulacji dotyczących operacyjnej odporności cyfrowej sektora finansowego ma kluczowe znaczenie dla zapewnienia stabilności i bezpieczeństwa polskiego systemu finansowego.
Zapoznaj się z artykułem dotyczącym stanowiska UKNF dotyczące stosowania Rozporządzenia DORA.
Podsumowanie
DORA znacząco zwiększa rolę KNF w zapewnieniu cyberbezpieczeństwa sektora finansowego w Polsce. Nowe kompetencje dają KNF szerokie możliwości nadzoru, kontroli i reagowania na zagrożenia, ale jednocześnie stawiają przed nią szereg wyzwań organizacyjnych i finansowych.