Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) nakłada na podmiot finansowy zadanie zapewnienia bezpieczeństwa przetwarzania danych w środowisku ICT przedsiębiorstwa. Kluczowe znaczenie w tym zakresie ma jego zarząd, na którym skupia się ostateczna odpowiedzialność osobista za zgodność organizacji z DORA. W artykule zostaną omówione poszczególne zadania wynikające z rozporządzenia.
Zarząd odpowiada za wdrożenie i stosowanie DORA
Powodzenie każdego przedsiębiorstwa zależne jest m.in od skuteczności pracy zarządu. To ten zespół określa strategię i egzekwuje realizację zadań przez poszczególne działy firmy. Dokładnie tak samo jest pod względem zagadnienia operacyjnej odporności cyfrowej. Artykuł 5 ust. 2 DORA mówi, że: ”organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie.”
Zarząd w kontekście DORA
Zarząd określa, wspólnie z zespołem operacyjnym, zasady ich implementacji. Jest również odpowiedzialny za zatwierdzenie efektów pracy i przygotowanych dokumentów. Zarząd podmiotu nie jest odpowiedzialny za operacyjne wdrożenie ram zarządzania ryzykiem ICT. Oprócz powyższego, rozporządzenie nakłada na organizację wprowadzenie funkcji monitorowania umów zawartych z zewnętrznymi dostawcami usług ICT w zakresie korzystania z tych usług lub wyznaczają członka zarządu do nadzoru nad związanym z tym ryzykiem i dokumentacją.
Obowiązkiem zarządu jest stałe aktualizowanie swojej wiedzy. Środowisko ICT zmienia się, a metody, które działały wczoraj, mogą nie działać już dzisiaj. Dlatego DORA nakłada na osoby zarządzające zadanie rozwoju swoich umiejętności w celu zrozumienia i oceny ryzyka związanego z ICT. Dzięki temu będą mogli ocenić wpływ ryzyka na działania operacyjne firmy.
DORA w artykule 5 określa kilka obszarów, które zarząd musi mieć pod kontrolą. Bez tych kluczowych działań powodzenie całego wdrożenia może stanąć pod znakiem zapytania.
Zarządzanie ryzykiem ICT
Zarząd monitoruje skuteczność zarządzania ryzykiem ICT. Zgodnie z postanowieniami DORA, ponosi on ostateczną odpowiedzialność za skoordynowanie działań związanych z identyfikacją, oceną i zarządzaniem ryzykiem ICT Odpowiada też za aspekty dostępności, autentyczności, integralności i poufności danych.
Dodatkowo zarząd wprowadza i monitoruje polityki związane z ramami zarządzania ryzykiem ICT. Obejmuje to implementację procedur zapewniających bezpieczne przetwarzanie informacji, a także utrzymanie odpowiednich systemów zabezpieczeń. Działania te mają na celu nie tylko zabezpieczenie interesów finansowych podmiotu, ale też spełnienie norm i wymagań określonych przez DORA.
Role
Zarząd jest zobowiązany nie tylko do pełnienia nadzoru nad zarządzaniem ryzykiem ICT, ale również do precyzyjnego ustalania ról i obowiązków związanych z każdą funkcją związaną z ICT oraz do wprowadzania adekwatnych rozwiązań zarządczych.
W ramach tych działań, konieczne jest wprowadzenie skutecznego procesu zarządzania, który zapewni sprawną i terminową komunikację, współpracę oraz koordynację pomiędzy różnymi funkcjami ICT. W ten sposób zarząd nie tylko monitoruje, ale także aktywnie kształtuje strukturę organizacyjną, aby efektywnie zarządzać obszarami objętymi wymaganiami DORA. Zarząd decyduje czy struktura organizacyjna będzie wspierana przez doradców zewnętrznych.
Strategie
Zarząd odpowiada za określenie i zatwierdzenie strategii związanych z ryzykami ICT. Jest to m.in strategia operacyjnej odporności cyfrowej, która wyznacza poziom tolerancji na ryzyko związane z ICT. Zarząd ponosi odpowiedzialność za zatwierdzenie i wdrożenie strategii dotyczącej ciągłości działania podmiotu finansowego w obszarze ICT oraz planu ciągłości działania organizacji.
Kontrola
Jednym z zadań zarządu jest kontrola działań organizacji. Jest on zobowiązany do przeprowadzania regularnych kontroli procesu wdrażania zatwierdzonych strategii i innych dokumentów. Oznacza to również zatwierdzanie planów dotyczących audytów ICT w organizacji, znajomość ich wyników oraz okresowe przeglądy planów audytowych. Zarząd lub wskazane przez niego osoby analizują wnioski z przeprowadzonych audytów i tworzą plany rozwoju bazujące na nich.
Budżety
Zarząd odpowiada za tworzenie budżetów, nie inaczej jest w przypadku wdrożenia DORA. Zgodnie z rozporządzeniem powinien przydzielić odpowiedni budżet, dzięki któremu organizacja będzie mogła zapewnić operacyjną odporność cyfrową. Środki muszą być wystarczające w odniesieniu do wszystkich zasobów. Dotyczy to zarówno wewnętrznych programów promujących świadomość w zakresie bezpieczeństwa, jak i szkoleń podnoszących umiejętności pracowników.
Dostawcy ICT
Zarząd jest odpowiedzialny za zaakceptowanie polityki w zakresie współpracy z dostawcami usług ICT oraz ustaleń zawieranych z nimi. Zagadnienie powinno być poddane okresowym przeglądom. Zarząd wdraża również politykę komunikacji wewnętrznej, która umożliwia utworzenie kanałów, przez które przekazywane będą informacje dotyczące:
- ustaleń zawartych z dostawcami usług ICT;
- planowanych istotnych zmian dotyczących współpracy z dostawcami usług ICT;
- możliwego wpływu zmian na krytyczne lub istotne funkcje organizacji.
Za co odpowiadają poszczególne zespoły?
Jeżeli zastanawiasz się, jakie zadania DORA nakłada na inne zespoły takie jak Dział IT, Cyber Security czy Compliance, przygotowaliśmy artykuły opisujące te zagadnienia:
Konsekwencje braku zgodności z rozporządzeniem DORA mogą być wymierzone bezpośrednio w zarząd i wiązać się z zakazem pełnienia tej roli.
Wdrożenie DORA w Twojej firmie powinno odpowiadać strukturze Twojej organizacji. Łatwiej będzie Ci przypisać odpowiedzialność prowadzenia projektu wdrożenia rozporządzenia DORA, jeżeli zweryfikujesz zadania do wykonania. W opracowanym przez nas harmonogramie wdrożenia DORA proponujemy zadania dla określonych działów. Pobierz ten pomocny materiał wdrożeniowy, by zweryfikować kompetencje osób zarządzających względem potrzebnych działań. Z harmonogramem w ręku będzie Ci łatwiej weryfikować postęp projektu i zagwarantować przed KNF zgodność z DORA twojej organizacji.
Zarząd gwarantuje zgodność z rozporządzeniem DORA
Zarząd, jako kluczowy organ decyzyjny, odgrywa istotną rolę w zagwarantowaniu zgodności podmiotu finansowego z przepisami DORA oraz skuteczności zarządzania ryzykiem ICT. Mimo, że nie wdraża wytycznych operacyjnie, to wszystkie polityki i strategie powinny zostać zaakceptowane przez zespół zarządzający. Jest ostatnią instancją, która odpowiada za zgodność z omawianym rozporządzeniem.