Dziennik Ubezpieczeniowy

Dziennik Ubezpieczeniowy >> Szukaj 

 

Archiwum :: O Dzienniku :: Prenumerata 

 Szukaj

 

 

Artykuł: <<< 2022-06-27 >>>

 

Z perspektywy Brukseli

 

Nawigacja

2022-06-28  

|<<

   

 >>|

2022-06-27  

<<<

>>>

 >>|

2022-06-24  

|<<

     

 

Data publikacji: 2022-06-27

Dz.U. nr: 5517

DORA coraz bliżej - wstępne porozumienie Parlamentu UE i Rady

(EIOPA, ESAs, PE, PIU, Rada UE)

Po prawie dwóch latach od opublikowania projektu rozporządzenia w sprawie cyfrowej odporności operacyjnej dla sektora usług finansowych (ang. Digital Operational Resilience Act - DORA), 10 maja prezydencja Rady Unii Europejskiej i Parlament Europejski osiągnęły wstępne porozumienie.

- Bartosz Bigaj, szef Biura Polskiej Izby Ubezpieczeń w Brukseli

 

Celem DORA jest wzmocnienie bezpieczeństwa informatycznego podmiotów finansowych, takich jak banki, zakłady ubezpieczeń, pośrednicy finansowi czy firmy inwestycyjne. Unijni legislatorzy tłumaczą potrzebę wprowadzenia DORA koniecznością zabezpieczania podmiotów finansowych w przypadku poważnych zakłóceń operacyjnych.

DORA przewiduje jednolite wymogi bezpieczeństwa sieci i systemów informatycznych firm sektora finansowego oraz podmiotów trzecich, które świadczą dla nich usługi ICT (ang. Information Communication Technologies). DORA wymaga rozwiązań umożliwiających przeciwdziałanie, reagowanie na zagrożenia związane z ICT i odzyskiwanie operacyjnej ciągłości po wszelkiego rodzaju zakłóceniach w tym obszarze. Wymagania te będą jednolite we wszystkich państwach członkowskich. DORA rozszerzy istniejące wymogi, regulując m.in. obowiązek corocznej oceny ryzyka w zakresie ICT, identyfikacji i zgłaszania incydentów, reagowania i odzyskiwania danych czy testowania przyjętych rozwiązań.

Kontrola ryzyka ICT nie jest nowością. 1 lipca 2021 r. weszły w życie wytyczne EIOPA dotyczące bezpieczeństwa i zarządzania w zakresie technologii informacyjno-komunikacyjnych, o których pisaliśmy na blogu PIU już w marcu 2020 r.. O DORA pisaliśmy także w artykule DORA - cyfrowa odporność operacyjna dla sektora finansowego.

DORA to nie tylko zakłady, ale też pośrednicy

DORA została dostosowana do Solvency II, co oznacza, że wyłączone z niej będą tylko małe zakłady, w których roczna składka przypisana brutto nie przekracza 5 mln euro, a rezerwy techniczno-ubezpieczeniowe brutto nie przekraczają 25 mln euro.

DORA przewiduje jednolite wymogi bezpieczeństwa sieci i systemów informatycznych firm sektora finansowego oraz podmiotów trzecich, świadczących dla nich usługi ICT.

DORA będzie mieć zastosowanie także do pośredników ubezpieczeniowych i reasekuracyjnych z wyłączeniem mikro, małych i średnich pośredników oraz pośredników, oferujących ubezpieczenia uzupełniające. Objęcie pośredników wydaje się nieuzasadnione. Co więcej, prawdopodobnie powieli dotychczasowe kłopoty, które obserwujemy przy okazji chmury obliczeniowej. Po pierwsze stworzy kolejne problemy dotyczące podziału i zakresu obowiązków na linii zakład - pośrednik. Po drugie, działalność pośredników nie generuje innych istotnych ryzyk w obszarze ICT, niż te, które występują względem zakładów. Po trzecie, będzie skutkowało niepotrzebnym dublowaniem przyjętych rozwiązań zarówno przez zakład i pośrednika, a co za tym idzie także niepotrzebnymi kosztami, które mogłyby zostać lepiej zainwestowane, na przykład w rozwój nowych produktów czy innowacje. Stosując zasadę proporcjonalności zakłady i pośrednicy będą musieli wziąć pod uwagę rozmiar, charakter, skalę i złożoności usług, działań i operacji oraz ich ogólny profil ryzyka.

Szeroki zakres zarządzania ryzykiem ICT

Krytycznie należy ocenić bardzo szeroki zakres zarządzania ryzykiem ICT zawarty w porozumieniu. Wydaje się, że lepszym odzwierciedleniem zasady proporcjonalności była propozycja PE ograniczająca zarządzanie ICT tylko do funkcji krytycznych i ważnych. Pozytywnie należy ocenić ograniczenia zakresu informowania klientów, partnerów i opinii publicznej o incydentach ICT tylko do poważnych incydentów lub słabych punktów systemu informacyjnego. Dobrym kierunkiem zmian jest także wyłączenie dostawców usług wewnątrzgrupowych z ram nadzoru. Wymogi te będą miały zastosowanie tylko zewnętrznych dostawców ICT. Oprócz tego wyłączenia, DORA niestety nie przewiduje żadnych łagodniejszych zasad dotyczących outsourcingu wewnątrzgrupowego.

DORA wymaga rozwiązań umożliwiających reagowanie na zagrożenia związane z ICT i odzyskiwanie operacyjnej ciągłości po wszelkich zakłóceniach w tym obszarze.

Diabeł tkwi w szczegółach - kluczowe kwestie znowu w rękach ESAs

DORA podobnie jak inne ostatnie unijne regulacje przewiduje, że wiele istotnych kwestii zostanie uregulowanych dopiero na poziomie drugim w Regulacyjnych Standardach Technicznych (ang. Regulatory Technical Standards - RTS) przez Wspólny Komitet Europejskich Organów Nadzoru obejmujący trzy organy (ESAs). W RTS dopracowane mają być m.in. kryteria rejestrowania incydentów ICT, treść powiadomienia o istotnych cyberzagrożeniach, zakres obowiązkowego raportowania incydentów czy terminy ich zgłaszania i raportowania do organu nadzoru. W treści DORA co prawda słusznie wskazano, że opracowując standardy techniczne, ESAs powinny uwzględniać charakter działalności w różnych sektorach usług finansowych, jednak doświadczenia wielu wcześniejszych regulacji pokazują, że ESAs często zapominają o sektorze ubezpieczeniowym i skupiają się głównie na bankach i firmach inwestycyjnych. Miejmy nadzieję, że w tym przypadku będzie inaczej.

Co dalej?

Zanim nowe przepisy DORA zostaną przyjęte, porozumienie musi zostać jeszcze formalnie zatwierdzone przez Radę i Parlament. Zakłady i pośrednicy musieli wdrożyć DORA w ciągu 24 miesięcy od momentu jej wejścia w życie. ESAs mają od 12 do 18 miesięcy na przygotowanie poszczególnych RTS. Termin na wdrożenie DORA wydaje się odległy ale warto już teraz przygotowywać się do nowych wymogów.

Bartosz Bigaj

Szef Biura Polskiej Izby Ubezpieczeń w Brukseli


Partnerem cyklu jest Polska Izba Ubezpieczeń.


Archiwum:

Z perspektywy Brukseli

 

Zobacz firmy: EIOPA, ESAs, PE, PIU, Rada UE

 

Komentuj Prześlij  Drukuj

Artykuł: <<< 2022-06-27 >>>

 

 

 

Profesjonalnie o ubezpieczeniach..

Miesięcznik Ubezpieczeniowy

 

 
 Strona przygotowana przez Ogma Sp. z o.o.