Europejscy regulatorzy 17 stycznia 2024 roku opublikowali pierwszą grupę regulacyjnych standardów technicznych (RTS). Równocześnie kontynuowane są prace nad drugą grupą RTS. W artykule został omówiony zakres wytycznych zawartych w tej grupie.
RTS jako uszczegółowienie DORA
Regulacyjne standardy techniczne to szczegółowe wytyczne i specyfikacje techniczne opracowywane w ramach określonej regulacji lub aktu prawnego, które mają na celu doprecyzowanie i uzupełnienie ogólnych zapisów prawniczych. RTS pomagają interpretować i wdrażać wymagania prawne w konkretnych przypadkach. Pojęcie RTS w kontekście rozporządzenia DORA wyjaśniliśmy szerzej w artykule poświęconym pierwszej grupie RTS.
RTS często określają konkretne wymagania techniczne, które muszą być spełnione przez systemy, procesy lub produkty, aby być zgodne z przepisami prawnymi. W przypadku regulacji obejmujących cały obszar UE oznacza to, że RTS stosowane we wszystkich krajach członkowskich. RTS stanowią podstawę do oceny zgodności podmiotów podlegających regulacji z prawem. Służą one organom nadzoru jako punkt odniesienia do oceny spełnienia wymagań prawnych przez te podmioty.
Często europejski regulator tworzy regulacyjne standardy techniczne w celu dostarczenia bardziej szczegółowych wskazówek i określenia szczegółowych zasad, które rozszerzają ogólne przepisy wymienione w konkretnych aktach prawnych.
Druga grupa RTS
Regulacyjne standardy techniczne podzielone są na dwie grupy. Druga z nich była w trakcie konsultacji do 4 marca, a finalnie ma zostać wydana 17 lipca 2024 roku. Grupa ta obejmuje cztery projekty regulacyjnych standardów technicznych, jeden zestaw wykonawczych standardów technicznych (ITS) oraz dwie serie wytycznych (GL). Dokumenty dotyczą raportowania poważnych incydentów związanych z ICT, szacowania strat związanymi z incydentami, zarządzania ryzykiem związanym z podwykonawcami ICT w zakresie funkcji krytycznych lub ważnych, nadzoru nad kluczowymi dostawcami usług zewnętrznych ICT, współpracy między organami nadzorczymi oraz testowania cyfrowej odporności operacyjnej.
RTS i ITS dotyczące treści, harmonogramów i szablonów raportowania incydentów
Regulacyjne standardy techniczne oraz wykonawcze standardy techniczne dotyczące raportowania incydentów skupiają się na określeniu treści, harmonogramów oraz szablonów raportów dotyczących incydentów związanych z ICT. Wprowadzają one też limity czasowe dla zgłaszania różnych rodzajów incydentów, a także standardowe formularze i procedury dla podmiotów finansowych w celu zgłoszenia poważnego incydentu związanego z ICT lub powiadomienia o istotnym zagrożeniu cybernetycznym.
GL dotyczące zagregowanych kosztów i strat z poważnych incydentów
Mnogość poważnych incydentów związanych ze środowiskiem ICT we wspólnocie i brak zagregowanej informacji o tych zdarzeniach sprowokowały regulatora do sterowania cyberbezpieczeństwem sektora finansowego przez narzucenie metodyki opartej o miary. Wytyczne dotyczące szacowania skumulowanych kosztów i strat z poważnych incydentów mają na celu ujednolicenie sposobu szacowania. Roczne koszty i straty podmiotów finansowych, generowane przez incydenty, dzięki spójnej metodyce pomiaru mogą podlegać ocenie w skali Unii Europejskiej.
RTS dotyczące podwykonawstwa funkcji krytycznych lub ważnych
DORA wymaga od podmiotów finansowych współpracy jedynie z tymi dostawcami usług ICT, którzy przestrzegają odpowiednich, wysokich norm bezpieczeństwa informacji. Jeśli współpraca dotyczy krytycznych lub istotnych funkcji, podmioty finansowe muszą należycie zbadać, czy dostawcy stosują najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji. Regulacyjne standardy techniczne dotyczące podwykonawstwa funkcji krytycznych lub ważnych będą regulować umowy podwykonawcze dotyczące usług ICT.
W dobie wysokiego skomplikowania usług ICT oraz częstego outsourcingu nawet krytyczne funkcje podmiotów finansowych są realizowane przez dostawców ICT. Projekt RTS określa te elementy, które powinny być oceniane przez podmioty finansowe. Zlecane do tej pory usługi ICT powinny podlegać ocenie w zakresie wykorzystania poddostawców podczas szacowania ryzyka. Podmiot finansowy powinien przeprowadzić ankietę, w której określone zostaną informacje takie jak: lokalizacja poddostawcy, klauzule umowne między dostawcą, a poddostawcą, czy też możliwość dostępu audytowego dla podmiotu finansowego.
Działania związane z oceną dostawców ICT wpisują się w wymagane przez DORA – holistyczne zarządzanie ryzykiem. Sprawdź zadania działów związane z zarządzaniem ryzykiem związane i z oceną dostawców ICT w gotowym harmonogramie, który wspiera wdrożenia rozporządzenia.
RTS dotyczące harmonizacji nadzoru
Regulacyjne standardy techniczne dotyczące harmonizacji nadzoru mają na celu ustanowienie wspólnych standardów dotyczących kluczowych dostawców usług zewnętrznych ICT. Projekt RTS szczegółowo określa, jakie informacje muszą dostarczyć dostawcy usług zewnętrznych aby mogli uzyskać status dostawcy kluczowego oraz jakie procedury powinny być stosowane przez organy nadzoru w ocenie działań podejmowanych przez dostawców.
GL dotyczące współpracy w nadzorze między ESA a właściwymi organami nadzoru
Wytyczne dotyczące współpracy w nadzorze między ESA a właściwymi organami nadzoru skupiają się na szczegółowych procedurach i warunkach dotyczących alokacji i wykonania zadań między organami nadzoru a ESA.
RTS dotyczące testów penetracyjnych prowadzonych na podstawie zagrożeń (TLPT)
Regulacyjne standardy techniczne dotyczące testów penetracyjnych prowadzonych na podstawie zagrożeń określają kryteria identyfikacji podmiotów finansowych, które są zobowiązane do przeprowadzania tego rodzaju testów. Projekt RTS ustala także wymogi dotyczące zakresu, metodyki testów oraz wyników i działań naprawczych, które powinny być podjęte na podstawie wyników testów.
Termin wejścia w życie DORA
Wprowadzenie odpowiednich standardów dotyczących treści, harmonogramów i szablonów raportowania incydentów jest ważny dla skutecznego funkcjonowania systemów nadzoru finansowego. Istotne jest również konkretne określenie informacji zawartych w raportach dotyczących incydentów, harmonogramu raportowania oraz dostarczenie standaryzowanych szablonów. Dzięki drugiej paczce RTS podmioty finansowe są w stanie skutecznie monitorować i reagować na incydenty, co przyczynia się do zwiększenia bezpieczeństwa i stabilności sektora finansowego. Dodatkowo, standaryzacja procesu raportowania ułatwia analizę i porównywanie danych między różnymi podmiotami oraz umożliwia szybką reakcję na potencjalne zagrożenia.
Na podstawie opinii, które napływały do 4 marca 2024 r. standardy zostaną sfinalizowane i opublikowane 17 lipca 2024 roku, czyli sześć miesięcy przed wejściem w życie DORA. Rozporządzenie stanie się bezpośrednio obowiązujące w całej UE od 17 stycznia 2025 roku. RTS, GL oraz ITS z obu publikowanych grup stanowią uszczegółowienie ram regulacyjnych, które precyzują wymagania dotyczące wykorzystania usług ICT w podmiotach finansowych.