DORA zauważa, że podmioty finansowe nie działają w pustce, a w relacji z dostawcami, klientami i władzami nadzorczymi, dlatego wprowadza ogólnoeuropejskie zasady w tym zakresie. Zagadnienie komunikacji i wymiany informacji jest wielokrotnie wskazywane w tym dokumencie, w tym w artykułach 14 i 45.
Według motywu 3 DORA każdego dnia 22 tysiące podmiotów finansowych we Wspólnocie wystawionych jest na cyberzagrożenia. Odpowiedzią na to jest Digital Operational Resilience Act, który ma na celu wzmocnienie odporności operacyjnej podmiotów finansowych na cyberzagrożenia związane z usługami ICT w UE. DORA nakłada na podmioty finansowe wiele obowiązków związanych z zarządzaniem ryzykiem ICT; dotyczy to również aspektów związanych z komunikacją.
Komunikacja w ramach DORA
Komunikacja w rozumieniu przekazywania informacji między podmiotem finansowym, a dostawcami ICT, klientami, własnymi pracownikami, innymi podmiotami finansowymi oraz właściwymi organami jest wielokrotnie wspominana w rozporządzeniu. Zagadnienie to odgrywa dużą rolę w skutecznym wdrażaniu DORA i utrzymaniu zgodności z prawodawstwem. Jednym z celów DORA jest zwiększenie zdolności podmiotów finansowych do identyfikacji, ochrony, wykrywania, reagowania i odzyskiwania sprawności po incydentach ICT. Na każdym z tych etapów musi zajść wymiana informacji ze stronami zainteresowanymi, a podmiot finansowy musi być przygotowany na te działania. DORA przez to promuje współpracę między podmiotami finansowymi a jego otoczeniem.
Współpraca między podmiotami i organami regulacyjnymi
Podstawowymi partnerami, z którym podmiot finansowy musi prowadzić komunikację, są właściwe organy. Wynika to bezpośrednio z obowiązków, które leżą na podmiocie finansowym. Jak zostało wskazane w artykule 1 ust. 1 a) (ii), jest to m.in W celu osiągnięcia wysokiego wspólnego poziomu operacyjnej odporności cyfrowej [..] ustanawia się […] wymogi mające zastosowanie do podmiotów finansowych w odniesieniu do: zgłaszania poważnych incydentów związanych z ICT właściwym organom oraz dobrowolnego informowania ich o znaczących cyberzagrożeniach.
Komunikacja w zakresie ram zarządzania ryzykiem ICT
W zasadzie najbardziej podstawowym wymaganiem DORA względem podmiotów finansowych jest minimalizowanie wpływu ryzyka związanego z ICT poprzez wdrażanie odpowiednich strategii, polityk, procedur, protokołów i narzędzi ICT. Muszą one w ramach swojego zarządzania ryzykiem dostarczać właściwym organom na ich żądanie pełne i aktualne informacje dotyczące ryzyka związanego z ICT oraz swoich ram zarządzania ryzykiem. Informacje te powinny obejmować opis aktualnych zagrożeń i ich potencjalnego wpływu na operacje finansowe oraz szczegółowe informacje na temat wdrożonych środków zarządzania tym ryzykiem.
Podmioty finansowe muszą starannie dokumentować ramy zarządzania ryzykiem związanym z ICT i poddawać je przeglądowi co najmniej raz w roku. Proces ten obejmuje regularną aktualizację i ocenę skuteczności istniejących środków. Dodatkowo ramy te powinny być przeglądane każdorazowo w przypadku poważnych incydentów związanych z ICT, aby natychmiast analizować i odpowiadać na te incydenty, zapobiegając przyszłym problemom. Przeglądy są także poprawiane zgodnie z instrukcjami nadzorczymi lub wnioskami wynikającymi z odpowiednich testów oraz procesów audytu operacyjnej odporności cyfrowej. Sprawozdanie z przeglądu ram zarządzania ryzykiem związanym z ICT przedkłada się właściwemu organowi na jego żądanie.
Komunikacja w zakresie incydentów ICT
Podmioty finansowe mają obowiązek zgłaszania poważnych incydentów związanych z ICT odpowiednim właściwym organom. Są one też zobowiązane do składania zgłoszeń po zebraniu i przeanalizowaniu wszystkich istotnych informacji, korzystając z ustalonych wzorów, chyba że brak technicznych możliwości wymusza zastosowanie alternatywnych środków. Zgłoszenia te muszą zawierać wszystkie niezbędne informacje pozwalające właściwemu organowi na ocenę znaczenia incydentu oraz jego potencjalnych skutków transgranicznych. Państwa członkowskie mogą również wymagać, aby niektóre lub wszystkie podmioty finansowe przekazywały zgłoszenia także do zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT).
Podmioty finansowe mają również możliwość dobrowolnego informowania odpowiedniego właściwego organu o znaczących cyberzagrożeniach, jeśli uznają je za istotne dla systemu finansowego, użytkowników usług lub klientów. Odpowiedni organ może przekazać te informacje innym właściwym organom, jeżeli uzna to za konieczne.
Podmioty finansowe inne niż mikroprzedsiębiorstwa muszą informować właściwe organy na ich żądanie o zmianach wprowadzonych w następstwie przeglądów incydentów związanych z ICT, przeprowadzonych po ich wystąpieniu, o których mowa w akapicie pierwszym.
Komunikacja w zakresie ciągłości działania ICT
Podmioty finansowe są zobowiązane do opracowania kompleksowej strategii ciągłości działania w obszarze ICT. W ramach tej strategii należy szczególnie określić działania dotyczące komunikacji oraz zarządzania kryzysowego. Należy również zgłaszać właściwym organom wszelkie istotne informacje dotyczące strategii ciągłości działania, zwłaszcza w kontekście incydentów związanych z ICT.
Komunikacja w zakresie współpracy z dostawcami ICT
Oprócz zgłaszania poważnych incydentów DORA nakłada wiele innych obowiązków w zakresie komunikacji z właściwymi organami. Podmioty finansowe mają obowiązek regularnego informowania właściwych organów o różnych aspektach swojej działalności związanej z zewnętrznymi usługami ICT. Przynajmniej raz w roku muszą one przedstawiać informacje na temat liczby nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji.
Ponadto na żądanie właściwego organu podmioty te są zobowiązane udostępnić pełny rejestr informacji lub określone sekcje tego rejestru, wraz z wszelkimi informacjami uznanymi za niezbędne do skutecznego nadzoru. Dodatkowo podmioty finansowe muszą w odpowiednim terminie informować właściwy organ o wszelkich planowanych ustaleniach umownych dotyczących korzystania z usług ICT, które wspierają krytyczne lub istotne funkcje oraz o sytuacjach, w których dana funkcja stała się krytyczna lub istotna.
Komunikacja w zakresie testów penetracyjnych
Część podmiotów finansowych jest zobowiązana do przeprowadzania zaawansowanych testów penetracyjnych co najmniej co trzy lata za pomocą TLPT. Muszą one przeprowadzać je zachowując komunikację z właściwym organem. Właściwy organ może m.in dostosowywać częstotliwość tych testów na podstawie profilu ryzyka danego podmiotu finansowego oraz okoliczności operacyjnych. Właściwy organ zatwiedza również decyzję podmiotu finansowego, które funkcje należy objąć testami TLPT. Na koniec podmiot finansowy musi powiadomić właściwy organ o przebiegu testów i ich wynikach, co również podlega zatwierdzeniu oraz przedstawia podsumowanie najważniejszych ustaleń oraz plany działań naprawczych.
Komunikacja z klientami
DORA w artykule 14 odnosi się do bardzo ważnego aspektu w zakresie zarządzania ryzykiem ICT przez podmioty finansowe. Jest to komunikacja z klientami, w tym komunikacja kryzysowa. Zgodnie z tym artykułem podmioty finansowe są zobowiązane do opracowania planów działań informacyjnych, na wypadek wystąpienia sytuacji kryzysowej związanej z ICT. Te plany mają na celu odpowiedzialne ujawnianie poważnych incydentów ICT oraz ewentualnych podatności klientom i kontrahentom, a także gdy jest to uzasadnione, opinii publicznej. Artykuł odnosi się również do komunikacji z pracownikami wewnętrznymi, jak i innymi interesariuszami zewnętrznymi.
Polityka komunikacyjna musi uwzględniać różnice w potrzebach komunikacyjnych między pracownikami zaangażowanymi bezpośrednio w zarządzanie ryzykiem ICT, zwłaszcza tymi odpowiedzialnymi za reagowanie na incydenty i przywracanie normalnego funkcjonowania systemów, a pracownikami, którzy powinni być informowani o zaistniałych problemach.
DORA zwraca uwagę, że podmioty finansowe powinny wyznaczyć co najmniej jedną osobę do wdrożenia strategii komunikacyjnej w kontekście incydentów związanych z ICT. Ta osoba pełni również funkcję osoby ds. kontaktów z opinią publiczną i mediami, co ma na celu zapewnienie skutecznej i transparentnej komunikacji w sytuacjach kryzysowych związanych z technologią informatyczną.
Wymiana doświadczeń i budowanie wiedzy
Wymiana doświadczeń na rynku finansowym jest jednym z pięciu podstawowych filarów DORA. To zagadnienie poruszone jest w rozdziale VI w artykule 45. Zgodnie z nim podmioty finansowe mogą dzielić się informacjami o cyberzagrożeniach oraz wynikami analiz takich zagrożeń. Wymiana ta ma na celu zwiększenie operacyjnej odporności cyfrowej podmiotów finansowych poprzez podniesienie świadomości na temat zagrożeń, ograniczanie rozprzestrzeniania się zdolności do generowania zagrożeń, wspieranie możliwości obronnych oraz doskonalenie technik wykrywania i minimalizowania skutków zagrożeń.
Warunkiem koniecznym dla wymiany informacji jest zaufana społeczność podmiotów finansowych, które stosują ustalenia dotyczące wymiany informacji. Te ustalenia muszą zapewniać ochronę poufności przekazywanych informacji oraz być zgodne z zasadami dotyczącymi tajemnicy przedsiębiorstwa oraz ochrony danych osobowych.
Dodatkowo podmioty finansowe zobowiązane są do powiadomienia odpowiednich organów o swoim uczestnictwie w procesie i społeczności o wymianie informacji, a także o zatwierdzeniu lub zakończeniu tego uczestnictwa, co ma na celu zapewnienie przejrzystości i zgodności z regulacjami prawno-organizacyjnym
RIG DORA jako narzędzie wspierające komunikację
RIG DORA będąc narzędziem wsparcia zarządzania ryzykiem ICT w sektorze finansowym, nie tylko zapewnia zaawansowane funkcje analityczne, ale także odgrywa rolę w przepływie wiedzy na temat DORA w organizacji.
RIG DORA nie tylko pozwala na analizę ryzyka, ale również umożliwia użytkownikom tworzenie własnych podsumowań i raportów, które mogą być eksportowane dla zarządu, organów kontroli, klientów, czy na potrzeby audytów wewnętrznych. To zaawansowane narzędzie nie wymaga głębokiego technicznego zaplecza dzięki wbudowanym modułom Business Intelligence, które umożliwiają szybkie generowanie raportów i analizę danych. Za sprawą automatycznych podsumowań komunikacja między podmiotami finansowymi w ramach programów wymiany wiedzy jest ułatwiona.
Konsultacje ze specjalistami
Nawiązując współpracę z RIG DORA podmiot finansowy otrzymuje możliwość skorzystania z comiesięcznych konsultacji, które stanowią okazję do rozbudowy wiedzy na temat wyzwań we wdrażaniu DORA i zarządzaniu ryzykiem ICT. Konsultacje te zapewniają nie tylko wsparcie techniczne, ale również metodyczno-prawne dzięki doświadczeniu zespołu specjalistów w zarządzaniu ryzykiem w dużych instytucjach finansowych. W konsekwencji tego, użytkownicy mogą skonsultować się w razie potrzeby, uzyskując fachową pomoc w interpretacji wyników analizy ryzyka oraz optymalizacji procesów.
Doradcy RIG DORA mają szerokie ogólnosektorowe spojrzenie na aktualne zagrożenia ICT i know how na temat najlepszych praktyk w zarządzaniu ryzykiem ICT. Każdy użytkownik podczas tych spotkań ma okazję poznać duży zakres wiedzy teoretycznej, ale również praktyczne przykłady zastosowania narzędzia w różnych scenariuszach biznesowych. Dzięki temu spotkania te stają się wewnętrznym źródłem informacji, wspierającym rozwój kompetencji w obszarze bezpieczeństwa cybernetycznego.
Szkolenia online
RIG DORA oferuje użytkownikom możliwość ciągłego rozwoju poprzez regularne szkolenia. Szkolenia w RIG DORA powstają na bazie zanonimizowanych realnych wyzwań, z którymi mierzą się klienci. Każdego miesiąca dostępne jest nowe szkolenie, które obejmuje różnorodne tematy związane z uzasadnianiem, tworzeniem procedur oraz obsługą narzędzia. Dodatkowo pracownicy mają stały dostęp do nagranych szkoleń, co pozwala na samodzielną naukę w dogodnym czasie.
Komunikacja jako wzmacniane cyberbezpieczeństwa sektorowego
Komunikacja odgrywa kluczową rolę jako fundament wzmocnienia cyberbezpieczeństwa sektorowego na rynku finansowym. Efektywne dzielenie się informacjami między podmiotami finansowymi oraz organami regulacyjnymi na temat wykrytych zagrożeń cybernetycznych, jest kluczowe dla szybkiego reagowania i minimalizacji potencjalnych strat.
W najgorszym przypadku gdyby doszło do cyberataków, dzięki wczesnemu powiadomieniu innych podmiotów możliwe jest szybkie wdrożenie odpowiednich środków zapobiegawczych. W rezultacie atak może być skutecznie ograniczony do jednego podmiotu, co zmniejsza skalę szkód oraz pozwala innym instytucjom finansowym na odpowiednie przygotowanie się i zabezpieczenie przed podobnymi zagrożeniami. Ta dynamiczna wymiana informacji wspiera bezpieczeństwo całego sektora, tworząc bardziej odporną i świadomą społeczność finansową.
