Ta strona używa cookies do celów analitycznych.
Polityka Prywatności i cookies.
Zaakceptuj
  • English version
  • українська версія
menu

04/11/2024

Jakie obowiązki związane z cyberbezpieczeństwem wynikają z rozporządzenia DORA?

Już 17 stycznia 2025 r. DORA wchodzi w życie we wszystkich państwach członkowskich, z tego względu podmioty objęte rozporządzeniem powinny już teraz rozpocząć przygotowania do jego wdrożenia. Jakie obowiązki DORA nakłada na podmioty objęte rozporządzeniem?

W  jednym z naszych ostanich artykułów pisaliśmy o tym,którzy przedsiębiorcy zobowiązani są do wdrożenia DORA https://www.apogado.pl/kto-powinien-wdrozyc-rozporzadzenie-dora

Obowiązki, które na nich spoczywają, dotyczą nastepujących obszarów:

 

Zarzadzanie ryzykiem ICT.

Do obowiązków związanych z zarządzaniem ryzykiem ICT należy ustanowić wewnętrzne ramy zarządzania i kontroli ryzykiem, które obejmują co najmniej:

  • strategie, polityki, procedury, protokoły, narzędzia ICT niezbędne do należytej ochrony wszystkich zasobów informacyjnych i zasobów ICT, w tym oprogramowania i sprzętu komputerowego, serwerów, a także wszystkich odpowiednich elementów fizycznych i infrastruktury, takich jak obiekty, ośrodki przetwarzania danych i wyznaczone obszary wrażliwe, w celu zapewnienia odpowiedniej ochrony wszystkich zasobów informacyjnych i zasobów ICT przed ryzykiem, w tym przed uszkodzeniem i nieuprawnionym dostępem lub użytkowaniem.

Ponadto podmiot finansowy ma obowiązek:

  • regularnie poddawać audytowi wewnętrznemu ramy zarządzania ryzykiem związanym z ICT,
  • identyfikować, klasyfikować i dokumentować wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT - a co najmniej raz w roku, przeprowadzić przegląd adekwatności tej klasyfikacji i wszelkiej stosownej dokumentacji,
  • identyfikowania źródła ryzyka związanego z ICT,
  • przeprowadzać ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych, w procesach lub procedurach mających wpływ na ich funkcje biznesowe wspierane przez ICT, zasoby informacyjne lub zasoby ICT,
  • opracować, pozyskać i wdrożyć politykę, procedury, protokoły i narzędzia w zakresie bezpieczeństwa ICT,
  • opracować i dokumentować politykę bezpieczeństwa informacji określającą zasady ochrony dostępności, autentyczności, integralności oraz poufności danych, zasobów informacyjnych i zasobów ICT, w tym, w stosownych przypadkach danych, zasobów informacyjnych i zasobów ICT swoich klientów;
  • ustalić należyte zarządzanie siecią i infrastrukturą z wykorzystaniem odpowiednich technik, metod i protokołów, które mogą obejmować wdrażanie zautomatyzowanych mechanizmów izolowania zasobów informacyjnych na wypadek cyberataków;
  • wdrożyć polityki ograniczające fizyczny lub logiczny dostęp do zasobów informacyjnych i zasobów ICT do tego, co jest wymagane jedynie do uzasadnionych i zatwierdzonych funkcji i działań, oraz ustanowić w tym celu zestaw polityk, procedur i mechanizmów kontrolnych dotyczących praw dostępu i zapewniających należyte zarządzanie tymi prawami,
  • wdrożyć politykę i protokoły dotyczące silnych mechanizmów uwierzytelniania, oparte na odpowiednich standardach i specjalnych systemach kontroli oraz środkach ochrony kluczy kryptograficznych, dzięki którym dane szyfruje się na podstawie wyników zatwierdzonych procesów klasyfikacji danych i oceny ryzyka związanego z ICT,
  • wdrożyć polityki, procedury i mechanizmy kontrolne w zakresie zarządzania zmianą w systemach ICT,
  • wdrożyć mechanizmy pozwalające na wykrywanie nietypowych działań, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii,
  • wprowadzić strategię na rzecz ciągłości działania w zakresie ICT,
  • wdrożyć powiązane plany reagowania i przywracania sprawności ICT,
  • opracować i wdrożyć polityki i procedury zarządzania kopiami zapasowymi, w których określono zakres danych, które obejmuje kopia zapasowa, oraz minimalną częstotliwość tworzenia kopii zapasowej, w oparciu o krytyczność informacji lub poziom poufności danych oraz procedury i metody odtwarzania i przywracania sprawności,
  • posiadać plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej umożliwiające odpowiedzialne ujawnianie, co najmniej, poważnych incydentów związanych z ICT lub podatności klientom i kontrahentom, a także, w stosownych przypadkach, opinii publicznej.

 

Zarządzanie i zgłaszanie incydentów związanych z ICT.

Podmioty finansowe mają obowiązek ustanowić i wdrożyć proces zarządzania incydentami związanymi z ICT, który obejmuje:

  • wprowadzenie wskaźników wczesnego ostrzegania,
  • ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które mają wpływ,
  • przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy,
  • określenie planów działań informacyjnych skierowanych do pracowników, interesariuszy zewnętrznych i mediów raz planów powiadamiania klientów, planów dotyczących wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, jak również, w stosownych przypadkach, dostarczania informacji podmiotom finansowym działającym jako kontrahenci,
  • zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych mechanizmów kontrolnych, które należy ustanowić w wyniku takich incydentów związanych z ICT;
  • ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w odpowiednim terminie.

Do obowiązków podmiotów finansowych należy również rejestrowanie wszystkich incydentów związanych z ICT i znaczących cyberzagrożeń raz zgłaszanie poważnych incydentów związanych z ICT odpowiedniemu właściwemu organowi ds. cyberbezpieczeństwa.

 

Testowanie operacyjnej odporności cyfrowej.

Podmioty finansowe (oprócz mikoprzedsiębiorców) w zakresie testowania operacyjnej odporności cyfrowej mają obowiązek:

  • ustanowić i utrzymywać kompleksowy program testowania operacyjnej odporności cyfrowej, który obejmuje oceny, testy, metodykę, praktyki i narzędzia ICT,
  • ustalenie procedur i zasad ustalania hierarchii, klasyfikowania i rozwiązywania problemów ujawnionych w testach oraz metod usuwania wszystkich zdiagnozowanych słabości,
  • przeprowadzanie co najmniej raz w roku testów wszystkich systemów i aplikacji ICT wspierających krytyczne lub istotne funkcje,
  • przeprowadzanie testów dotyczących: oceny podatności i skanowania pod tym kątem, analizy otwartych źródeł informacji, oceny bezpieczeństwa sieci, analizy luk, kontrole bezpieczeństwa fizycznego, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, przeglądy kodu źródłowego, gdy jest to wykonalne, testy scenariuszowe, testy kompatybilności, testy wydajności, testy kompleksowe i testy penetracyjne,
  • przeprowadzanie nie rzadziej niż co trzy lata zaawansowane testy za pomocą TLPT.

 

Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT.

Podmioty finansowe (oprócz mikroprzedsiębiorców) mają obowiązek:

  • wdrożyć strategię dotyczącą ryzyka związanego z zewnętrznymi dostawcami usług ICT, która obejmuje również politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje usług świadczonych przez zewnętrznych dostawców ICT,
  • dokonywać regularnego przeglądu zidentyfikowanego ryzyka w odniesieniu do korzystania z usług zewnętrznych dostawców ICT wspierających krytyczne lub istotne funkcje,
  • utrzymywanie i aktualizowanie rejestru informacji dotyczący umów z zewnętrznymi dostawcami ICT,
  • co najmniej raz w roku informować organy właściwe ds. cyberbezpieczeństwa o liczbie nowych ustaleń dotyczących korzystania z usług ICT, kategorii zewnętrznych dostawców usług ICT, rodzaju ustaleń umownych oraz świadczonych usług ICT i obsługiwanych funkcji,
  • wprowadzić strategii wyjścia, która uwzględnia ryzyko, które może pojawić się na poziomie zewnętrznych dostawców usług ICT, w szczególności ich możliwej awarii, pogorszenia jakości świadczonych usług ICT.

 

Wymiana informacji o cyberbezpieczeństwie.

Podmioty finansowe mogą wymieniać między sobą informacje o cyberzagrożeniu i wynikach jego analiz, w tym oznakach naruszenia integralności systemu, taktyk, technik i procedur. Wymiana informacji ma na celu zwiększenie operacyjnej odporności podmiotów finansowych. Wymiana informacji odbywa się w zaufanych społecznościach podmiotów finansowych. O przystąpieniu do wymiany informacji podmiot finansowy powiadamia organ właściwy ds. cyberbezpieczeństwa.

W przypadku jakichkolwiek pytań dotyczących tematyki wdrożenia DORA w swoim przedsiębiorstwie, zapraszamy do kontaktu z naszą kancelarią.