Digital Resilience Regulation

Unijny prawodawca identyfikuje ryzyko związane z ICT (technologiami informacyjno-komunikacyjnymi) jako wyzwanie dla odporności operacyjnej, wydajności i stabilności unijnego systemu finansowego. Ryzykiem jest również możliwość uzależnienia od dostawców ICT.

Co istotne, zdecydowano o uregulowaniu obszaru digital resilience za pomocą rozporządzenia, nie dyrektywy. Wskazuje to na silne dążenie do z unifikowania standardów bezpieczeństwa cyfrowego na poziomie całej Unii Europejskiej. Jak zauważono, projektowane do tej pory dyrektywy w sprawie minimalnej harmonizacji lub rozporządzenia oparte na zasadach pozostawiały znaczne możliwości przyjmowania rozbieżnych podejść w ramach jednolitego rynku, co nie pozwala na osiągnięcie zadowalającego standardu bezpieczeństwa.

Projekt rozporządzenia jest w zasadzie pierwszą próbą kompleksowego podejścia do uregulowania kwestii ryzyk związanych z ICT. Do tej pory kwestie bezpieczeństwa teleinformatycznego pojawiały się co prawda w różnych regulacjach europejskich, ale zasadniczo jako pewien aspekt wpływający na ryzyko operacyjne jako takie.

Digital Resilience Regulation - kogo mają dotyczyć nowe przepisy?

Katalog jest bardzo szeroki. Przepisami mają zostać objęte m.in. instytucje kredytowe (banki), instytucje płatnicze, instytucje pieniądza elektronicznego, firmy inwestycyjne, zakłady ubezpieczeń i zakłady reasekuracji, pośrednicy ubezpieczeniowi, dostawcy usług w zakresie kryptoaktywów, zarządzający alternatywnymi funduszami inwestycyjnymi i spółki zarządzające, dostawcy usług finansowania społecznościowego.

Przepisy mają obowiązywać z uwzględnieniem zasady proporcjonalności. Zakres obowiązków będzie zależny od rozmiaru, profilu działalności i profilu ryzyka podmiotów finansowych. Np. jedynie podmioty finansowe, które uznano za znaczące do celów zaawansowanego testowania odporności cyfrowej, będą miały obowiązek przeprowadzenia testów penetracyjnych pod kątem wyszukiwania zagrożeń.

Zarys obowiązków wynikających z Digital Resilience Regulation:

• wzmocnienie i usprawnienie procesu zarządzania ryzykiem związanym z ICT,
• obowiązek utworzenia i utrzymywania odpornych systemów i narzędzi ICT w celu zminimalizowania skutków ryzyka związanego z ICT, ciągłego identyfikowania wszystkich źródeł ryzyka związanego z ICT, utworzenia środków ochrony i zapobiegania, szybkiego wykrywania nietypowych działań, wprowadzenia specjalnych i kompleksowych strategii dotyczących ciągłości działania oraz planów przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej,
• aktywna rola organu zarządzającego w procesie zarządzania ryzykiem związanym z ICT (m.in. przypisywanie ról i obowiązków, monitorowanie, proces zatwierdzania i kontroli, decyzje o inwestycjach ICT),
• wprowadzenie obowiązku przeprowadzania dokładnych testów systemów ICT,
• obowiązek raportowania o incydentach do organów nadzoru oraz informowania użytkowników,
• określenie szczególnych funkcji w ramach zarządzania ryzykiem związanym z ICT (identyfikacja, ochrona i zapobieganie, wykrywanie, reagowanie i przywrócenie gotowości do pracy, uczenie się i rozwój oraz komunikacja),
• testowanie operacyjnej odporności cyfrowej pod kątem gotowości i wykrywania słabych punktów, niedociągnięć lub braków, a także szybkiego wdrażania działań naprawczych.

Projekt rozporządzenia w zakresie digital resilience dla dostawców usług finansowych może przynieść ze sobą poprawę poziomu bezpieczeństwa użytkowników i bezpieczeństwa operacyjnego w skali całej UE. Jest zapowiedzią istotnego sformalizowania wymogów w zakresie bezpieczeństwa ICT, ale również przywracania działalności operacyjnej.