Zgodnie z art. 16 Rozporządzenia 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (dalej jako „DORA” lub „Rozporządzenie”), wobec małych instytucji płatniczych (MIP) stosuje się uproszczone ramy zarządzania ryzykiem związanym z ICT.
Zgodnie z powyższym, od dnia 17 stycznia 2025 roku MIP zobowiązane będą do:
-
- wprowadzenia i utrzymania prawidłowych i udokumentowanych ram zarządzania ryzykiem związanym z ICT (wyszczególniających mechanizmy i środki mające na celu szybkie, skuteczne i kompleksowe zarządzanie ryzykiem związanym z ICT, w tym w celu ochrony odpowiednich elementów fizycznych i infrastruktury);
- stałego monitorowania bezpieczeństwa i funkcjonowania wszystkich systemów ICT;
- minimalizacji wpływu ryzyka związanego z ICT poprzez stosowanie prawidłowych, odpornych i zaktualizowanych systemów, protokołów i narzędzi ICT;
- umożliwienia szybkiej identyfikacji i wykrywania źródeł ryzyka związanego z ICT i nieprawidłowości w sieci i systemach informatycznych oraz szybkiego reagowania na incydenty związane z ICT;
- określania najważniejszych zależności od zewnętrznych dostawców usług ICT;
- zapewniania ciągłości krytycznych lub istotnych funkcji poprzez plany ciągłości działania oraz środki reagowania i przywracania sprawności;
- przeprowadzania regularnych testów przyjętych planów i środków oraz wdrażania odpowiednich wniosków operacyjnych z nich wynikających z testów oraz wniosków z analiz przeprowadzonych po wystąpieniu incydentu do procesu oceny ryzyka związanego z ICT;
- opracowywania programów zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej dla pracowników i kadry zarządzającej.
-
-
-
- Ostateczny projekt rozporządzenia delegowanego Komisji UE z dnia 13 marca 2024 r. (C(2024) 1532) zawiera regulacyjne standardy techniczne (RTS) opracowane uprzednio przez Europejskie Urzędy Nadzoru w celu zapewnienia dalszej harmonizacji narzędzi, metod, procesów i polityk zarządzania ryzykiem związanym z ICT oraz opracowania uproszczonych ram zarządzania ryzykiem związanym z ICT.
-
-
Zgodnie z opracowanymi RTS, do niektórych z obowiązków organów zarządzających MIP w ramach uproszczonych ram zarządzania ryzykiem związanym z ICT będzie należeć:
-
- ponoszenie ogólnej odpowiedzialności za zapewnienie, aby uproszczone ramy zarządzania ryzykiem związanym z ICT umożliwiały realizację strategii biznesowej podmiotu finansowego zgodnie z jego skłonnością do podejmowania ryzyka, oraz zapewnienie uwzględnienia ryzyka związanego z ICT w tym kontekście;
- określenie jasnych ról i obowiązków w odniesieniu do wszystkich zadań związanych z ICT;
- określenie celów w zakresie bezpieczeństwa informacji i wymogów dotyczących ICT;
- przydzielanie budżetu niezbędnego do zaspokojenia potrzeb podmiotu finansowego w zakresie operacyjnej odporności cyfrowej w odniesieniu do wszystkich rodzajów zasobów, w tym odpowiednich programów zwiększania świadomości w zakresie bezpieczeństwa ICT oraz szkoleń w zakresie operacyjnej odporności cyfrowej i umiejętności ICT dla wszystkich pracowników (+ dokonywanie przeglądu budżetu min. raz w roku).
Ostateczny projekt rozporządzenia delegowanego C (2024) 1532 dostępny jest pod tym linkiem: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELLAR:9c5ec434-e130-11ee-8b2b-01aa75ed71a1
