10 października, 2023
DORA – co to jest i jakie znaczenie ma dla banków?
Wprowadzenie DORA (ang. Digital Operational Resilience Act), znanego również jako Rozporządzenie o cyfrowej odporności operacyjnej, (Rozporządzenie lub DORA), stanowi przełomowy moment w działalności sektora bankowego, wprowadzając względem instytucji kredytowych, czyli banków, istotne wymogi dotyczące cyberbezpieczeństwa.
Jasne cele i zasada proporcjonalności
Rozporządzenie ma na celu ujednolicenie podejścia do tematyki cyberbezpieczeństwa oraz usług IT w instytucjach finansowych działających na terenie Unii Europejskiej. Jego wprowadzenie wiąże się z koniecznością dostosowania przez banki wewnętrznych procedur, polityk oraz strategii bankowych do nowych wymogów, a to wszystko po to, by zapewnić zgodność z regulacją.
DORA, które weszło w życie 16 stycznia 2023 r., obejmuje kluczowe zmiany w obszarze operacyjnej odporności cyfrowej sektora finansowego. Jego przepisy będą obowiązywać instytucje kredytowe od 17 stycznia 2025 r. Nowe regulacje zakładają zastosowanie zasady proporcjonalności w odniesieniu do obowiązków wynikających z DORA. Oznacza to, że najbardziej zaawansowane wymogi dotyczące cyberbezpieczeństwa będą dotyczyć przede wszystkim tych banków, które już teraz podlegają obowiązkom w tym zakresie.
Poniżej omawiamy wpływ DORA na obecne obowiązki banków, takie jak: ochrona danych osobowych, regulacje dotyczące outsourcingu, prawo bankowe, komunikat chmurowy oraz Rekomendacja D i wytyczne EBA (Europejskie Stowarzyszenie Banków) w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT.
DORA a ochrona danych osobowych
Jednym z kluczowych obszarów uregulowanych przez DORA jest ochrona danych osobowych. Rozporządzenie nakłada na banki obowiązek stosowania odpowiednich środków technicznych i organizacyjnych, które zapewnią odpowiedni poziom bezpieczeństwa w odniesieniu do przetwarzania danych osobowych. Banki muszą wziąć pod uwagę koszty, kontekst oraz ryzyko naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych. Wprowadzenie silnych mechanizmów uwierzytelniania oraz ochrony kluczy kryptograficznych będzie miało zasadnicze znaczenie względem skutecznego przestrzegania przepisów DORA w zakresie ochrony danych.
Transfer impact assessment jako nowe pojęcie
W relacji z podmiotami przetwarzającymi dane banki będą musiały uwzględnić ograniczenia w transferach danych poza Europejski Obszar Gospodarczy. W szczególności, przy korzystaniu ze standardowych klauzul umownych konieczne będzie przeprowadzenie tzw. transferu impact assessment (TIA).
Jest to nowe pojęcie w ochronie danych osobowych, oznaczające pisemną analizę, którą administrator lub przetwarzający dane przeprowadzają przed transferem danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego (EOG). Celem TIA jest ocena wpływu takiego transferu na prywatność danych, jak również analiza, czy prawo kraju docelowego umożliwia dostęp do tych danych agencjom rządowym.
Warto zaznaczyć, że pojęcie TIA wyłoniło się z trzech kluczowych źródeł. Po pierwsze, Europejski Trybunał Sprawiedliwości w sprawie Schrems II stwierdził, że pomimo korzystania z mechanizmów RODO, administratorzy i przetwarzający powinni ocenić, czy prawo kraju trzeciego zapewnia wystarczającą ochronę danych osobowych. Choć Trybunał nie nakazywał dokumentowania „weryfikacji", pojęcie pisemnej analizy wpływu transferu zostało uznane za ważne.
Po drugie, Europejska Rada Ochrony Danych (EDPB) sfinalizowała zalecenia dotyczące transferu danych spoza EOG. EDPB wskazała na potrzebę oceny prawa kraju docelowego oraz możliwości dostępu do danych organom publicznym. Zalecono dokładną dokumentację tej oceny i możliwość żądania jej przez organy nadzorcze.
Po trzecie, Komisja Europejska zatwierdziła nowe standardowe klauzule umowne, wymagając, aby strony transferu danych zapewniły, że prawo kraju docelowego nie uniemożliwia wykonania zobowiązań wynikających z klauzul umownych. W tym kontekście TIA staje się procesem, w którym eksporter i importer danych analizują wpływ transferu na prywatność danych osobowych oraz dokumentują tę analizę dla organów nadzorczych.
Praktyka outsourcingu bankowego
Outsourcing bankowy jest powszechną praktyką, która może jednak generować ryzyko w zakresie cyberbezpieczeństwa. DORA nakłada na banki obowiązek dbania o bezpieczeństwo danych i informacji przekazywanych podmiotom trzecim. Rozporządzenie określa zasady kontraktowania z podmiotami trzecimi świadczącymi dla banków usługi ICT (ang. Information and Communications Technology). Wspomniane podmioty muszą spełniać odpowiednie standardy i zapewnić wysoki poziom bezpieczeństwa danych.
Banki będą również musiały uwzględnić obowiązki wynikające z DORA w kontekście istniejących regulacji dotyczących outsourcingu. Warto zwrócić uwagę na komunikat KNF w sprawie przetwarzania danych w chmurze, który będzie wymagał dostosowania do nowych wymogów DORA.
Wpływ DORA na prawo bankowe
DORA ma wpływ na wiele aspektów regulacji dotyczących banków, a w szczególności na prawo bankowe. Zgodnie z DORA banki będą musiały uwzględnić odpowiednie zabezpieczenia techniczne i organizacyjne, aby zapewnić bezpieczeństwo swoich procesów i usług. Dotyczy to zarówno systemów informatycznych, jak i rozwiązań związanych z obsługą klienta.
Rekomendacja D i wytyczne EBA
Również Rekomendacja D i wytyczne EBA w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT staną się istotnym punktem odniesienia dla banków, które będą musiały dostosować swoje procedury do nowych wymogów DORA. Wytyczne EBA skupiają się na zarządzaniu ryzykiem w zakresie technologii i bezpieczeństwa ICT oraz na wprowadzeniu mechanizmów audytu i kontroli.
Podsumowując, DORA wprowadza znaczące zmiany w sektorze bankowym, nakładając na banki obowiązek zapewnienia odpowiedniego poziomu cyberbezpieczeństwa. Banki będą musiały podjąć działania, aby spełnić nowe wymogi i dostosować swoje procedury do tej regulacji. Przejście na wyższy poziom cyberbezpieczeństwa może być jednak korzystne zarówno dla klientów, jak i całego sektora finansowego, przyczyniając się do zwiększenia zaufania do usług bankowych w Unii Europejskiej.