ISACA w sprawie „DORA”
- Przepisy mają swoje właściwości. Zapewnienie zgodności z nimi często wymaga posiłkowania się dodatkowymi opracowaniami i publikacjami. Ale trzeba do nich dodawać własny profesjonalizm, albowiem autorzy tych publikacji bardzo często zastrzegają iż literalne wykorzystanie danej publikacji nie zapewnia sukcesów – w tym przypadku zgodności z rozporządzeniem unijnym.
24 września ubiegłego roku Komisja Europejska przedstawiła Wniosek dotyczący Rozporządzenia PE i Rady w w sprawie operacyjnej odporności cyfrowej sektora finansowego (Digital Operational Resilience Act – DORA). Akt prawny jak to akt prawny – zawiera wymagania („Co?”) pozostawiając w dużej mierze adresatom Rozporządzenia poszukiwanie odpowiedzi na pytanie „Jak?”.
Wspominamy o tym Wniosku (projekcie Rozporządzenia) z dwóch powodów.
Po pierwsze, Rozporządzenie kierowane jest pod adresem podmiotów rynków finansowych i zawiera liczne wymagania w zakresie zarządzania ryzykiem technologii informatycznych.
I tak:
- Ogólnemu zarządzaniu ryzykiem w aspekcie odporności (ICT) poświęcony jest rozdział II Rozporządzenia
- Rozdział V niejako powraca do zarządzania ryzykiem – tym razem pochodzącym ze strony zewnętrznych dostawców technologii informatycznych.
Przy czym tytułowa „operacyjna odporność cyfrowa” została zdefiniowana jako:
zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej integralności operacyjnej z technologicznego punktu widzenia przez zapewnianie, bezpośrednio albo pośrednio (korzystając z usług zewnętrznych dostawców usług ICT), pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość DORA
Dla porównania, w 2020 roku, Komitet Bazylejski w publikacji zatytułowanej „Principles for operational resilience” podał następującą definicję odporności operacyjnej – w rozumieniu ogólnym, nie dotyczącym tylko technologii informatycznych (ICT):
The Committee defines operational resilience as the ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. In considering its operational resilience, a bank should take into account its overall risk appetite, risk capacity and risk profile.
Czyli
Komitet definiuje odporność operacyjną jako zdolność banku do realizacji krytycznych operacji w czasie zaburzeń. Ta zdolność umożliwia bankowi identyfikację i ochronę przed zagrożeniami i potencjalnymi awariami, reagowanie i adaptację, a także odzyskiwanie i uczenie się na zdarzeniach zakłócających – w celu zminimalizowania ich wpływu na realizację krytycznych operacji w czasie zaburzeń. Rozważając swoją odporność operacyjną, bank powinien wziąć pod uwagę swój ogólny apetyt na ryzyko, zdolność do podejmowania ryzyka i profil ryzyka.
Po drugie, z pewną pomocą przyszła właśnie ISACA*. Stowarzyszenie to niedawno opublikowało krótki, 18-stronicowy dokument zatytułowany „Digital Operational Resilience in the EU Financial Sector: A Risk-Based Approach”.
Co możemy tam znaleźć?
Publikacja ISACA zawiera – zgodnie z intencjami autorów i zapisem we wstępie – „praktyczne wytyczne” dotyczące zapewnienia zgodności z planowanym Rozporządzeniem UE.
De facto jest to streszczenie projektu Rozporządzenia UE pisane do specjalistów w dziedzinie technologii informatycznych a więc bez prawnych ozdobników i politycznych uzasadnień.
Na czym polega zaleta tego dokumentu? Jak wspomnieliśmy, liczy on zaledwie 18 stron a rzeczony projekt Rozporządzenia – 75 (bez uzasadnienia i opisu zasad dokonywania ocen ex-post). Może zatem być dobrym wprowadzeniem dla osób, które jeszcze nie zapoznały się z treścią projektu unijnego.
I jeszcze jedno, dokument można pobrać bezpłatnie – po zarejestrowaniu się na stronie internetowej ISACA.
Zapoznając się z treścią projektu trzeba brać pod uwagę, że w toku prac legislacyjnych wniesiono sporo poprawek i uzupełnień. Ich treść można znaleźć w dokumencie “DRAFT REPORT on the proposal for a regulation of the European Parliament and of the Council on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014”
Pozostaje jednak pewien problem. Otóż projekt rzeczonego Rozporządzenia (DORA) powołuje się na zapisy Dyrektywy NIS. Sęk w tym, że obecnie trwa również proces zmiany tej dyrektywy (NIS) i w trakcie procesu legislacyjnego znajduje się zmieniona wersja o potocznej nazwie NIS 2. Pisaliśmy o NIS 2 w styczniu tego roku …
Jak unijni urzędnicy sobie poradzą z harmonizacją tych aktów prawnych zobaczymy, kiedy Rozporządzenie i Dyrektywa ujrzą światło dzienne – już w wersjach końcowych.
* ISACA jest skrótem od nieużywanej od jakiegoś czasu nazwy: Information Systems Audit and Control Association. Kiedyś było to Stowarzyszenie skupiające osoby zajmujące się zawodowo lub zainteresowane problematyką audytu systemów informatycznych. Obecnie obszar aktywności ISACA odnosi się do szeroko rozumianego zarządzania systemami (technologiami)informatycznymi
** Autor artykułu (Editor) był członkiem ISACA w latach 1999 – 2013