W poniższym artykule, powstałym na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych omawiamy podstawowe definicje zawarte w tzw. rozporządzeniu DORA (Digital Operational Resilience Act). Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.

Operacyjna odporność cyfrowa

Oznacza zdolność podmiotu finansowego do budowania, gwarantowania i weryfikowania swojej operacyjnej integralności i niezawodności przez zapewnianie, bezpośrednio albo pośrednio – korzystając z usług zewnętrznych dostawców usług ICT – pełnego zakresu możliwości w obszarze ICT niezbędnych do zapewnienia bezpieczeństwa sieci i systemów informatycznych, z których korzysta podmiot finansowy i które wspierają ciągłe świadczenie usług finansowych oraz ich jakość,
w tym w trakcie zakłóceń.

Usługi ICT

To usługi cyfrowe i usługi w zakresie danych świadczone w sposób ciągły za pośrednictwem systemów ICT na rzecz co najmniej jednego użytkownika wewnętrznego lub zewnętrznego, łącznie ze sprzętem komputerowym jako usługą
i usługami w zakresie sprzętu komputerowego, obejmującymi zapewnianie wsparcia technicznego za pośrednictwem aktualizacji oprogramowania lub oprogramowania układowego przez dostawcę sprzętu, z wyłączeniem tradycyjnych usług telefonii analogowej.

Krytyczna lub istotna funkcja

Wskazuje funkcję, której zakłócenie w sposób istotny wpłynęłoby na:

• wyniki finansowe podmiotu finansowego;
• na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu; lub
• której zaprzestanie lub wadliwe bądź zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków  i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających  z obowiązujących przepisów dotyczących usług finansowych.

Incydenty związane z ICT

Incydent oznacza pojedyncze zdarzenie lub serię powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które zagrażają bezpieczeństwu sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy.

• Incydent operacyjny lub incydent w zakresie bezpieczeństwa związany z płatnościami

To zdarzenie lub seria powiązanych ze sobą zdarzeń, nieplanowanych przez podmioty finansowe, o których mowa  w art. 2 ust. 1 lit. a)–d) DORA, związanych z ICT lub nie, które mają negatywny wpływ na:

1. dostępność;
2. autentyczność;
3. integralność;
4. lub poufność

danych związanych z płatnościami lub świadczonych usług związanych z płatnościami realizowanymi przez dany podmiot finansowy.

• Poważny incydent związany z ICT, który oznacza incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego.

• Poważny incydent operacyjny lub poważny incydent w zakresie bezpieczeństwa związany z płatnościami, czyli incydent operacyjny lub incydent w zakresie bezpieczeństwa związany z płatnościami o dużym negatywnym wpływie na świadczone usługi związane z płatnościami.

Ryzyko koncentracji w obszarze ICT

Jest równoznaczne z ekspozycją na poszczególnych lub wielu powiązanych ze sobą kluczowych zewnętrznych dostawców usług ICT, która prowadzi do takiego stopnia uzależnienia od takich dostawców, że niedostępność, awaria lub innego rodzaju braki po stronie tych ostatnich mogą potencjalnie zagrozić zdolności podmiotu finansowego do wypełniania krytycznych lub istotnych funkcji lub przyczynić się do poniesienia przez ten podmiot innego rodzaju negatywnych skutków, w tym dużych strat, lub zagrozić stabilności finansowej Unii jako całości.

Artykuł powstał na podstawie webinarium, które 21 października 2024 r. prowadziła radca prawny Monika Macura, na temat podstawowych zagrożeń, regulacji oraz dobrych praktyk w zakresie cyberbezpieczeństwa dla instytucji finansowych. Pełne nagranie webinarium „Cyberbezpieczeństwo w rozwiązaniach płatniczych” jest dostępne na kanale youtube.