Narzędzia GRC a zgodność z rozporządzeniem DORA

24.05.2024
  • Analiza ryzyka
  • Kontrola ryzyka

Rozporządzenie DORA jest dużym wyzwaniem dla europejskiego rynku finansowego. Pozostało mało czasu na przygotowanie się do niego, ponieważ ostateczny termin wdrożenia regulacji to 17 stycznia 2025 roku. Na ponad 100 stronach dokumentu oraz w kolejnych 10 uzupełniających tekstach dwóch paczek Regulacyjnych Standarów Technicznych (RTS) europejski regulator postawił obszerne i rozbudowane zadanie dla podmiotów finansowych. Mimo, że jest to trudne i skomplikowane wyzwanie, jest ono wykonalne, zwłaszcza przy zastosowaniu odpowiednich narzędzi.

Ważne daty związane z rozporządzeniem DORA

Rozporządzenie dotyczące operacyjnej odporności cyfrowej sektora finansowego ujednolica podejście do świadczenia usług ICT na poziomie Unii Europejskiej. Przed jego wprowadzeniem różnorodne przepisy i regulacje w poszczególnych krajach członkowskich mogły wpływać na konkurencyjność podmiotów finansowych z różnych państw. Brak jednolitości w prawodawstwie utrudniał odpowiednie zrozumienie i monitorowanie zagrożeń, w tym tych wynikających z koncentracji zależności od dostawców usług ICT. DORA wprowadza odpowiednie ramy nadzoru, umożliwiając ciągłe monitorowanie działań kluczowych dostawców usług ICT dla podmiotów finansowych, jednocześnie dbając o poufność i bezpieczeństwo danych klientów.

Tekst DORA został opublikowany w Dzienniku Urzędowym Unii Europejskiej 16 stycznia 2023 roku. Pierwsza część RTS przygotowanych przez Europejskie Organy Nadzoru (ESA) została przedstawiona 17 stycznia 2024 roku. Druga część RTS zostanie opublikowana 17 lipca. 

Rozporządzenie DORA zacznie obowiązywać wszystkie objęte nim podmioty od 17 stycznia 2025 roku. Od tego momentu wszystkie podmioty finansowe będą musiały przestrzegać nowych przepisów dotyczących operacyjnej odporności cyfrowej. ESA rozpoczną w 2025 roku też aktywne działania nadzorcze, w tym wyznaczanie kluczowych dostawców usług ICT i monitorowanie ich zgodności z DORA. Rozłożenie wejścia DORA do porządku prawnego według tego harmonogramu ma na celu zapewnienie płynnego przejścia i przygotowania sektora finansowego do nowych wymogów, minimalizując ryzyko operacyjne i wzmacniając bezpieczeństwo cyfrowe.

W związku z nakreślonym kalendarzem warto posiadać harmonogram prac związanych z wdrożeniem rozporządzenia DORA w organizacji. Prace muszą wiązać się z gromadzeniem dokumentacji; mapowaniem aktywów, zabezpieczeń, procesów by następnie przejść do działań związanych z odpowiednim zarządzaniem ryzykiem. Przygotowaliśmy harmonogram, który możesz pobrać by przemyśleć kolejne etapy przygotowania do DORA.

Odpowiedzialność za niezgodność z DORA

Zgodnie z artykułem 5 pkt. 2 a) DORA niezbywalną odpowiedzialność za zarządzanie ryzykiem ICT podmiotu finansowego oraz zapewnienie operacyjnej odporności cyfrowej ponosi zarząd. Projekt polskiej interpretacji nazywa ich kierownictwem. Osoby te mają nałożone na siebie szereg obowiązków, które muszą spełnić w celu zapewnienia zgodności z DORA. Są to m.in szkolenia, wprowadzenie odpowiednich procesów i procedur czy też narzędzi. Wynikiem tych działań powinno być rozbudowanie świadomości ryzyka związanego z ICT w zarządzie i organizacji jako całej oraz wypracowanie dobrych praktyk w zakresie higieny cyberbezpieczeństwa. 

Narzędzia Governance, Risk & Compliance

Wykorzystanie narzędzi GRC (Governance, Risk, and Compliance) w najbliższym czasie może rosnąć szybciej niż kiedykolwiek wcześniej. Każdy przedstawiciel sektora finansowego, oprócz mikroprzedsiębiorstw i kilku konkretnych przypadków od 17 stycznia 2025 roku będzie musiał sprostać wysokim wymogom w zakresie operacyjnej odporności cyfrowej, testowania bezpieczeństwa ICT i zarządzania dostawcami ICT. Biorąc pod uwagę, że otoczenie prawne zmienia się i może się zmieniać w następnych latach, narzędzie, które odpowiada na wyzwania dynamicznego zarządzania zgodnością z otoczeniem prawnym okazuje się kluczowe dla podmiotów finansowych.

Działy organizacji, które wykorzystują narzędzia GRC

Narzędzia do zarządzania ryzykiem, zgodnością i kontrolą (GRC) są przeznaczone dla różnych działów w organizacji, takich jak dział compliance, zarządzania ryzykiem, audytu wewnętrznego, zarządzania bezpieczeństwem informacji, zarządzania operacyjnego czy IT. Działania te obejmują monitorowanie i zarządzanie zgodnością z przepisami prawnymi, zarządzanie ryzykiem związanym z działalnością firmy, kontrolę procesów biznesowych oraz zapewnienie spójności działań organizacyjnych z najwyższymi standardami etycznymi i operacyjnymi. W rezultacie narzędzia GRC są istotne dla wielu obszarów działalności organizacji, które mają za zadanie zapewnić zgodność, minimalizować ryzyko i skutecznie zarządzać operacjami.

GRC – podejście organizacyjne, które jest zgodne z DORA

GRC to zorganizowane podejście do zarządzania w obszarach zarówno compliance, security jak i  IT w zgodzie z celami biznesowymi, zarządzania ryzykiem oraz spełniania wymogów regulacyjnych. Jak wskazuje artykuł 5 ust. 1 DORA, podmioty finansowe muszą posiadać wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT. Integracja różnych perspektyw jak compliance, security i IT w jednym modelu pozwala firmom redukować marnotrawstwo czasu i zasobów, zwiększać efektywność, minimalizować ryzyko niezgodności oraz skuteczniej dzielić się informacjami pomiedzy stronami zainteresowanymi.

Prawidłowe wdrożenie GRC jako zintegrowanego systemu zarządzania ryzykiem ICT zgodnie z DORA przynosi wiele korzyści, w tym:

  • eliminacja zbędnych lub powielających się działań;
  • sprawniejsza i bardziej spójna realizacja procesów biznesowych;
  • szybsza i sprawniejsza komunikacja oraz wymiana informacji;
  • skuteczniejsza integracja działań w organizacji oraz eliminacja “silosów”;
  • prowadzenie operacji zgodnie z przepisami prawa;
  • zmniejszenie ryzyka w różnych aspektach działalności.

Aby skutecznie wdrożyć DORA organizacje muszą podejść do zarządzania ryzykiem w sposób holistyczny. Nie bez powodu artykuł 5 ust. 1 wskazuje na potrzebę zarządzania wszystkimi rodzajami ryzyka związanego z ICT. Wymaga to cyklicznej analizy ryzyka w całej organizacji, zarządzania dokumentacją, tworzenia strategii cyberodporności oraz monitorowania zagrożeń cybernetycznych. Dedykowane narzędzie GRC może znacząco ułatwić ten proces, umożliwiając centralizację informacji, dokumentów i opisów, co ułatwia testowanie i aktualizowanie systemów.

Zarządzanie zgodnością z DORA z jednego kokpitu

W wielu organizacjach analiza ryzyka jest rozproszona na różne osoby i działy, co prowadzi do niespójności danych i braku całościowego, wielowymiarowego obrazu ryzyka. Taka sytuacja utrudnia zarządzanie ryzykiem ICT i przedstawienie pełnej oceny ryzyka przed KNF.

RIG DORA jest typem aplikacji z kategorii GRC, które dokładnie odpowiada na potrzeby podmiotów finansowych wynikających z rozporządzenia DORA. Zbudowanie oprogramowania GRC, które reprezentuje podejście holistyczne wymagało:

  • znajomości specyfiki norm Unii Europejskiej i norm bezpieczeństwa z rodziny ISO,
  • opracowania metodyki oceny ryzyka zgodnej z podejściem Asset Based Approach wymaganym przez DORA
  • zrozumienia potrzeb działów compliance, security i IT
  • przełożenia powyższych elementów na system – na koniec.

RIG DORA odpowiada również na zadania związane RODO czy też NIS2.

RIG DORA pozwala zobrazować poziom bezpieczeństwa ICT podmiotu finansowego na jednym dashboardzie agregując dane wprowadzone do narzędzia przez różne działy organizacji. Dzięki temu każda z osób zarządzających organizacją widzi jaki dany podmiot osiągnął poziom bezpieczeństwa. Zarządzanie ryzykiem poprzez szacowanie, planowanie i analizowanie jego poziomu jest dokładnie tym, co będzie kontrolował KNF.

Wdrożenie RIG DORA w organizacji skutkuje optymalizacją kluczowych procesów, takich jak tworzenie dokumentacji, zarządzanie ryzykiem i realizacja obowiązków prawnych. Działania te zwiększają przejrzystość przepływów pracy, promują współpracę poprzez eliminację barier informacyjnych oraz skutecznie zarządzają różnymi ryzykami dzięki ich zdolności do mierzenia i przewidywania wyników. Jest to kolejny aspekt, który będzie podlegał kontroli zgodności z DORA.

Wdrożenie DORA, które będzie działało długofalowo

Dzięki RIG DORA możliwe jest systemowe zarządzanie ryzykiem w jednym miejscu, prowadząc użytkownika krok po kroku przez cały proces. Dzięki temu zarząd i inne osoby odpowiedzialne mogą uzyskać pełną ocenę ryzyka dotyczącego wszystkich aktywów ICT firmy. W jednym miejscu dostępne są archiwum dokumentów, analiza ryzyka oraz plany postępowania z ryzykiem, co znacznie ułatwia stałe monitorowanie ryzyka. Rozporządzenie DORA kojarzy się z terminami i gotowością na styczeń 2025 r., jednakże cały proces wdrożenia wymagań powinien wpłynąć na bezpieczeństwo organizacji. Inwestycja w system, który zapewni zarówno rozliczalność przed KNF jak i solidne zarządzanie ryzykiem może okazać się ważnym krokiem milowym dla całej organizacji.

Zapisz się na newsletter
Po zgłoszeniu swojego e-maila będziesz dostawać od nas raz na dwa tygodnie nowo opublikowane treści na naszej stronie.
Podobne wpisy z kategorii