All posts
DORA
8 min read

Zarządzanie incydentami ICT - analiza art. 17-23 DORA oraz standardów technicznych RTS/ITS

DORA wprowadza jednolite zasady zarządzania incydentami ICT w sektorze finansowym. Poniżej szczegółowe i praktyczne omówienie przepisów DORA w tym zakresie.

Podstawa prawna:

  • Art. 8 Utrzymywanie aktualnego obrazu ryzyka ICT
  • Art. 17 Proces zarządzaniain cydentamizwiązanymi z ICT
  • Art. 18 Klasyfikacja incydentów związanych z ICT i cyberzagrożeń
  • Art. 19 Zgłaszanie poważnych incydentów związanych z ICT i dobrowolne powiadamianie o znaczących cyberzagrożeniach
  • Art. 20 Harmonizacja treści i wzorów zgłoszeń
  • Art. 21 Centralizacja zgłaszania poważnych incydentów związanych z ICT
  • Art. 22 Informacje zwrotne od organów nadzoru
  • Art. 23 Incydenty operacyjne lub incydenty bezpieczeństwa związane z płatnościami
  • RTS 2024/1772 (klasyfikacja)
  • RTS 2025/301 (treśći wzory zgłoszeń)
  • ITS 2025/302 (treśći wzory zgłoszeń)

Definicje:

Incydent związany z ICT: nieplanowanezdarzenie lub seria zdarzeń, którenaruszają bezpieczeństwo sieci i systemów,wpływając negatywnie na dostępność,autentyczność, integralność lub poufnośćdanych. Zakres ten obejmuje zarównocelowe cyberataki, jak i awarie systemówczy inne zakłócenia operacyjne.

Poważny incydent: związany z ICT zdarzenieo znaczącym negatywnym wpływiena systemy wspierające krytyczne lub istotnefunkcje instytucji.

Bezpieczeństwo sieci i systemów informatycznych definiuje się jako odporność nawszelkie zdarzenia, któremogłyby naruszyć dostępność, autentyczność, integralnośćlub poufność danych(przechowywanych, przekazywanych lub przetwarzanych) orazusług oferowanych zaich pośrednictwem. Należy zwrócić szczególną uwagę na bardzo szerokizakrestego pojęcia, który opiera się na tzw. podejściu uwzględniającymwszystkiezagrożenia (all-hazards approach):

a) Ochrona fizyczna i środowiskowa: Środki zarządzania ryzykiem muszą chronić systemy oraz ich środowisko fizyczne przed takimi zdarzeniami jak kradzież, pożar, powódź, awariat elekomunikacyjna czy awaria zasilania,

b) Infrastruktura i dostęp: Definicja obejmuje zabezpieczenie przed nieuprawnionym dostępem fizycznym, uszkodzeniem infrastruktury lub ingerencją w nią,

c) Czynniki sprawcze: Ochrona musi dotyczyć nie tylko złośliwych działań (ataków), ale także błędów ludzkich oraz zjawisk naturalnych.

W kontekście DORA bezpieczeństwo sieci isystemówinformatycznych to nie tylko techniczne zabezpieczenia przed hakerami,alecałościowa odporność na zakłócenia o dowolnym charakterze, które mogłybyuderzyćw krytyczne dane lub usługi instytucji finansowe

 Znaczące cyberzagrożeniezagrożenie ocharakterysteyce wskazującej nawysoka zdolność do wywołania poważnegoincydentu operacyjnego lub poważnegoincydentu w zakresie bezpieczeństwazwiązanego z płatnościami

 

Art.8 DORA ciągła identyfikacja i ocena ryzyk ICT

Art. 8 ust. 2 DORA – pełne brzmienie
Podmioty finansowe na bieżąco identyfikują wszystkie źródła ryzyka związanego z ICT, w szczególności ekspozycję na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów, oraz oceniają cyberzagrożenia i podatności w obszarze ICT mające znaczenie dla ich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych i zasobów ICT. Podmioty finansowe dokonują regularnie, a co najmniej raz w roku, przeglądu scenariuszy ryzyka, które mają na nie wpływ. Czytaj więcej w Systemie Informacji Prawnej LEX: https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-2022-2554-w-sprawie-operacyjnej-odpornosci-cyfrowej-72101350/art-8

Art. 8 ust. 2 DORA ustanawia obowiązek stałego utrzymywania aktualnego obrazu ryzyka ICT. Podmiot finansowy nie może ograniczyć się do jednorazowej analizy ani rocznego raportu. Musi wsposóbciągły identyfikować wszystkie źródła ryzyka technologicznego –zarównowewnętrzne (systemy, infrastruktura, integracje, zasoby informacyjne),jak i zewnętrzne, w szczególności wynikające z relacji z innymi podmiotamifinansowymi.

Kluczowe jest to, że ocena ryzyka nie ma charakteru czysto technicznego. Zagrożenia i podatności ICT muszą być analizowane w kontekście funkcji biznesowych, które są przez te systemy wspierane. Oznacza to konieczność powiązania technologii z wpływem operacyjnym. Dodatkowo przepisw prowadza obowiązekr egularnego, co najmniej corocznego przeglądu scenariuszy ryzyka. Organizacja musi więc formalnie weryfikować, czy przyjęte scenariusze zagrożeń pozostają adekwatne do aktualnej architektury ICT oraz modelu operacyjnego.

W praktyce art. 8 ust. 2 tworzy fundament całego systemu zarządzania ryzykiem ICT w DORA: bez jego realizacji nie jest możliwe prawidłowe klasyfikowanie incydentów, ocena ich wpływu ani skuteczne raportowanie.

 

 Art. 17 Proces zarządzania incydentami związanymi z ICT

Art. 17 DORA – pełne brzmienie
Art.17.1 Podmioty finansowe definiują, ustanawiają i wdrażają proces zarządzania incydentami ICT w celu wykrywania, zarządzania i zgłaszania incydentów ICT. Art.17.2 Podmioty finansowe rejestrują wszystkie incydenty ICT i istotne zagrożenia cybernetyczne. Podmioty finansowe ustanawiają odpowiednie procedury i procesy w celu zapewnienia spójnego i zintegrowanego monitorowania, obsługi i monitorowania incydentów ICT, aby zapewnić identyfikację, udokumentowanie i usunięcie przyczyn źródłowych w celu zapobiegania wystąpieniu takich incydentów. Art.17.3 Proces zarządzania incydentami ICT, o którym mowa w ust. 1, powinien: (a) wprowadzić wskaźniki wczesnego ostrzegania; (b) ustanowić procedury identyfikacji, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów ICT według ich priorytetu i wagi oraz według krytyczności usług, których dotyczą, zgodnie z kryteriami określonymi w art. 18 ust. 1; (c) przypisać role i obowiązki, które należy aktywować w przypadku różnych typów i scenariuszy incydentów związanych z ICT; (d) określić plany komunikacji z personelem, interesariuszami zewnętrznymi i mediami zgodnie z artykułem 14 oraz dotyczące powiadamiania klientów, wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, a także przekazywania informacji podmiotom finansowym działającym jako odpowiedniki, w stosownych przypadkach;

 

 

 

 

Klasyfikacja incydentów

 

 

 

 

 

Proces zgłaszania incydentów

SS

 

Art. 17 DORA – pełne brzmienie
Art.17.1 Podmioty finansowe definiują, ustanawiają i wdrażają proces zarządzania incydentami ICT w celu wykrywania, zarządzania i zgłaszania incydentów ICT. Art.17.2 Podmioty finansowe rejestrują wszystkie incydenty ICT i istotne zagrożenia cybernetyczne. Podmioty finansowe ustanawiają odpowiednie procedury i procesy w celu zapewnienia spójnego i zintegrowanego monitorowania, obsługi i monitorowania incydentów ICT, aby zapewnić identyfikację, udokumentowanie i usunięcie przyczyn źródłowych w celu zapobiegania wystąpieniu takich incydentów. Art.17.3 Proces zarządzania incydentami ICT, o którym mowa w ust. 1, powinien: (a) wprowadzić wskaźniki wczesnego ostrzegania; (b) ustanowić procedury identyfikacji, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów ICT według ich priorytetu i wagi oraz według krytyczności usług, których dotyczą, zgodnie z kryteriami określonymi w art. 18 ust. 1; (c) przypisać role i obowiązki, które należy aktywować w przypadku różnych typów i scenariuszy incydentów związanych z ICT; (d) określić plany komunikacji z personelem, interesariuszami zewnętrznymi i mediami zgodnie z artykułem 14 oraz dotyczące powiadamiania klientów, wewnętrznych procedur eskalacji, w tym skarg klientów związanych z ICT, a także przekazywania informacji podmiotom finansowym działającym jako odpowiedniki, w stosownych przypadkach;
Autor
Data publikacji