Nowe wytyczne EBA związane z zarządzaniem ryzykiem ICT

07/06/19

Czy nowe Wytyczne EBA odpowiedzą na wyzwania obszaru ICT i bezpieczeństwa nadchodzącej dekady?

Materializacja ryzyk związanych z zarządzaniem obszarem technologii informacyjno-telekomunikacyjnych (ICT) i bezpieczeństwa stanowi dziś jedno z największych zagrożeń dla sektora finansowego. Do tej pory podmioty działające na rynku wspólnotowym nie mogły jednak odwołać się do jednolitego i zarazem aktualnego katalogu wymogów w tym zakresie. Wyznaczenie spójnych ram zarządzania obszarem technologii informacyjno-komunikacyjnych stanowi dziś wyzwanie dla instytucji finansowych, które muszą w tym celu analizować liczne, rozproszone wymogi regulacyjne. Właśnie dla tej grupy podmiotów EBA, czyli Europejski Urząd Nadzoru Bankowego pracuje nad opracowaniem nowych, spójnych i jednolitych zasad zarządzania ryzykiem ICT, które zawarła w projektowanych Wytycznych w sprawie technologii informacyjno-komunikacyjnych i zarządzania ryzykiem związanym z bezpieczeństwem.

Dlaczego zmiany są konieczne?

Rok 2018 minął pod znakiem istotnych zmian regulacyjnych w obszarze technologii informacyjno-komunikacyjnych. Podmioty działające na jednolitym rynku europejskim zetknęły się z niespotykanym dotąd natężeniem inicjatyw regulacyjnych mających znaczący wpływ na całe środowisko ICT. Szczególnie odczuli to przedstawiciele sektora finansowego, którzy, poza regulacjami o charakterze międzysektorowym jak RODO czy NIS (Dyrektywa w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej) musieli dostosować się do istotnych zmian w obszarach takich, jak: przeciwdziałanie praniu pieniędzy (IV Dyrektywa AML), obrót instrumentami finansowymi (MiFID II), świadczenie usług płatniczych (PSD II) czy dystrybucja produktów ubezpieczeniowych ( IDD).

Coraz trudniej zarządzać obszarem ICT

Podczas gdy instytucje finansowe są poddawane coraz większej presji regulacyjnej, jeszcze większą dynamikę przyjmuje rozwój wykorzystywanej technologii. Takie pojęcia jak Open Banking, czy Blockchain przestają być jedynie hasłami kojarzonymi z nowinkami technologicznymi i stają się stałą częścią krajobrazu rynków regulowanych w sektorze finansowym. W rezultacie środowisko ICT instytucji finansowych przyjmuje coraz bardziej złożoną formę, a jego elementy w coraz większym stopniu wymagają kompleksowego podejścia do ograniczenia szerokiego katalogu ryzyk. Nieprawidłowe wykorzystanie infrastruktury ICT może istotnie zaburzyć ciągłość działania i bezpieczeństwo przetwarzanych danych. Tym samym, zarządzanie ryzykiem ICT staje się coraz bardziej istotnym elementem strategii dojrzałych organizacji.

7 kluczowych obszarów zarządzania ryzykiem ICT

W obliczu dynamiki zmian technologicznych i regulacyjnych mających wpływ na środowisko teleinformatyczne instytucji finansowych, EBA dostrzegła konieczność zapewnienia spójnych ram działania w zakresie zarządzania ryzykiem ICT na jednolitym rynku wspólnotowym. 13 grudnia 2018 r. opublikowany został projekt Wytycznych ICT.

Wytyczne określają wymogi dla instytucji kredytowych, firm inwestycyjnych i dostawców usług płatniczych (PSP) w zakresie ograniczenia ryzyka związanego z wykorzystywaniem rozwiązań ICT. EBA w treści dokumentu zwraca uwagę na stale zwiększające się ryzyko związane ze skalą i złożonością wykorzystywanych przez instytucje finansowe rozwiązań teleinformatycznych i coraz większy wpływ jaki incydenty z obszaru cyberbezpieczeństwa wywierają na stabilność sektora finansowego.

1. Zarząd zatwierdza i monitoruje strategię ICT
2. Stosowanie Modelu Trzech Linii Obrony
3. Wyspecjalizowany zespół ds. bezpieczeństwa informacji
4. Zarządzanie operacjami ICT
5. Projekty ICT i zarządzanie zmianą
6. Zarządzanie ciągłością działania
7. Zarządzanie relacjami z użytkownikami usług płatniczych („PSU”)

1. Zarząd zatwierdza i monitoruje strategię ICT

Wytyczne określają przewidywany zakres oraz kluczowe elementy strategii w zakresie ICT. W zakresie relacji z dostawcami zewnętrznymi dokument wprost odwołuje się do wydanych 25 lutego wytycznych EBA w zakresie zarządzania obszarem outsourcingu (EBA/GL/2019/02). Projektowane wytyczne wskazują jednak dodatkowe, rekomendowane postanowienia umowne (np. zapisy określające zasady zarządzania, eskalacji i raportowania incydentów w zakresie ryzyka operacyjnego i bezpieczeństwa), mające na celu wsparcie procesu monitorowania bezpieczeństwa i jakości usług w obszarze ICT dostarczanych przez podmioty trzecie (z uwzględnieniem podmiotów należących do tej samej grupy kapitałowej).

2. Stosowanie Modelu Trzech Linii Obrony

Dokument określa szczegółowe wytyczne w zakresie identyfikacji, rejestrowania i oceny funkcji biznesowych, zasobów ICT (ICT assets) i procesów, pod kątem potencjalnych zagrożeń związanych z wykorzystywaniem rozwiązań ICT. Ramy zarządzania ryzykiem i kontroli wewnętrznej powinny być oparte na modelu trzech linii obrony z jasnym podziałem ról i obowiązków oraz spójnym procesem raportowania, zapewniającym efektywny przepływ informacji wewnątrz organizacji. Dokument opisuje kluczowe elementy efektywnego systemu zarządzania ryzykiem oraz wskazuje na obowiązek jego przeglądu, co najmniej raz w roku. Dodatkowo wytyczne określają ogólne zasady raportowania, uwzględniając wymóg cyklicznego przekazywania wyników oceny ryzyka przez instytucje płatnicze właściwym organom nadzoru, zgodnie z postanowieniami art. 95(2) Dyrektywy PSD2.

3. Wyspecjalizowany zespół ds. bezpieczeństwa informacji

Instytucje finansowe powinny wdrożyć politykę bezpieczeństwa informacji i wyznaczyć w ramach organizacji dedykowaną funkcję odpowiedzialną za ten obszar. Szczegółowe wymogi w zakresie bezpieczeństwa informacji zawarte w projektowanych wytycznych obejmują:

powołanie i organizację funkcji bezpieczeństwa informacji;
środki zapewniania bezpieczeństwa logicznego, fizycznego oraz bezpieczeństwa operacji ICT;
monitorowanie bezpieczeństwa;
przeglądy, ocenę i weryfikowanie bezpieczeństwa informacji;
zapewnianie szkoleń personelu i stałego podnoszenia świadomości pracowników w zakresie bezpieczeństwa ICT.

4. Zarządzanie operacjami ICT

Organizacja operacji ICT powinna być oparta na wdrożonych, udokumentowanych i zatwierdzonych na właściwym szczeblu w organizacji procedurach wewnętrznych. Instytucje finansowe powinny prowadzić rejestr zasobów ICT obejmujący takie komponenty infrastruktury jak wykorzystywane systemy, urządzenia sieciowe, czy bazy danych. Rejestr powinien w sposób przejrzysty określać właścicieli, lokalizacje, klasyfikację bezpieczeństwa poszczególnych komponentów oraz wskazywać współzależności między wykorzystywanymi zasobami. Cykl życia każdego z komponentów powinien być objęty procesem monitorowania. Dodatkowo wytyczne wskazują wymogi w zakresie tworzenia kopii zapasowych systemów oraz zarządzania incydentami i innymi zdarzeniami operacyjnymi mogącymi mieć wpływ na jakość i stabilność dostarczanych usług.

5. Projekty ICT i zarządzanie zmianą

Podmioty objęte wytycznymi powinny zapewnić, że wszelkie zmiany w systemach ICT są oceniane, testowane, zatwierdzane i wdrażane w kontrolowany sposób z wykorzystaniem adekwatnych środków nadzoru, monitorowania i testowania zmian. Instytucje finansowe powinny również zapewnić spójny proces pozyskiwania, rozwoju i utrzymywania systemów ICT oraz opracować i wdrożyć politykę zarządzania projektami ICT, określającą m.in. zakres ról i obowiązków, wymogi dokumentacyjne oraz zasady zarządzania ryzykiem w ramach poszczególnych faz projektu.

6. Zarządzanie ciągłością działania

Dokument wskazuje wymogi w zakresie sporządzania planów ciągłości działania oraz przeprowadzania regularnych testów i przeglądów tych planów. Podmioty objęte projektowanymi wytycznymi powinny również wdrożyć programy komunikacji na wypadek zaistnienia sytuacji kryzysowych.

7. Zarządzanie relacjami z użytkownikami usług płatniczych („PSU”)

Wytyczne zakładają dodatkowe wymogi dla dostawców usług płatniczych, którzy powinni zapewnić użytkownikom usług płatniczych pomoc i wskazówki w celu lepszego zrozumienia zagrożeń bezpieczeństwa transakcji. Dodatkowo, instytucje płatnicze powinny umożliwić, na wyraźne żądanie użytkowników, blokowanie poszczególnych funkcjonalności dostarczanej usługi i przesyłać użytkownikom notyfikacje (alerty) dotyczące każdej próby przeprowadzenia transakcji obciążających ich rachunek.

Lokalny krajobraz wymogów regulacyjnych w zakresie zarządzania ryzykiem ICT i bezpieczeństwa

W chwili opublikowania naszego tekstu, znowelizowana w styczniu 2013 r. Rekomendacja D stanowi najbardziej przekrojowy zbiór wytycznych w zakresie zarządzania środowiskiem ICT i bezpieczeństwa dla polskiego sektora bankowego. Rekomendacja zastąpiła pierwotną wersję wydaną w 2002 roku, dostosowując ją do zmian technologicznych, jakie zaszły na przestrzeni dekady i nowych zagrożeń w tym obszarze. Określiła także oczekiwania nadzorcze w zakresie zarządzania ryzykiem ICT jako integralnym komponentem systemu zarządzania ryzykiem w banku.

Nie tylko banki

W oparciu o zapisy Rekomendacji D, KNF sformułował w 2014 roku swoje oczekiwania nadzorcze w stosunku do szerszego katalogu podmiotów sektora finansowego w formie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. Zostały one wydane oddzielnie dla: powszechnych towarzystw emerytalnych, zakładów ubezpieczeń i reasekuracji, towarzystw funduszy inwestycyjnych, podmiotów infrastruktury rynku kapitałowego i firm inwestycyjnych.

Podstawowy zakres wytycznych KNF w zakresie zarządzania ryzykiem ICT i bezpieczeństwa dla dostawców usług płatniczych opisany jest w wydanej w 2015 r. Rekomendacji dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo – kredytowe. Dla podmiotów sektora bankowego wytyczne stanowiły uzupełnienie zapisów Rekomendacji D. W celu wzmocnienia regulacyjnych ram zarządzania ryzykiem operacyjnym (w tym ICT) i bezpieczeństwa w sektorze usług płatniczych, EBA jeszcze w grudniu 2017 opublikowała Wytyczne w sprawie środków bezpieczeństwa dotyczących ryzyk operacyjnych i ryzyk dla bezpieczeństwa usług płatniczych na mocy dyrektywy (UE) 2015/2366 (PSD2). Zgodnie z Komunikatem Europejskiego Organu Nadzoru, zostaną one jednak całkowicie zastąpione przez projektowane Wytyczne ICT.

Rekomendacja D i jej odpowiedniki nie stanowiły jednak kompletnego zbioru oczekiwań nadzorczych w zakresie organizacji systemu kontroli wewnętrznej i systemu zarządzania ryzykiem obejmującego obszar ICT i bezpieczeństwa. Część elementów ładu organizacyjnego, ściśle powiązanych ze stosowanym już powszechnie podejściem opartym na ryzyku jak Model Trzech Linii Obrony, są opisane w innych wytycznych regulacyjnych, np. znowelizowanej w 2017 roku Rekomendacji H.

Czy polski sektor finansowy jest gotowy na kolejną odsłonę wytycznych ICT ?

Wydanie Wytycznych ICT może zauważalnie wpłynąć na dotychczasowy krajobraz wymogów regulacyjnych w zakresie ICT i bezpieczeństwa obowiązujących na polskim rynku finansowym. Nowe wymogi zawarte w opracowywanym dokumencie będą stanowić rozwinięcie dotychczasowych oczekiwań w zakresie zarządzania ryzykiem ICT i bezpieczeństwa, które poprzez uwzględnienie dodatkowych elementów systemu kontroli wewnętrznej i systemu zarządzania ryzykiem, mogą nadać impuls do uspójnienia dotychczasowego środowiska regulacyjnego i zwiększenia oczekiwań nadzorczych wobec instytucji finansowych działających na polskim rynku.

Następne kroki...

Do końca września 2019 planowana jest publikacja finalnej treści wytycznych
Wytyczne wejdą w życie po 6 miesiącach od daty publikacji finalnej treści.

Instytucje finansowe będą mogły w pełni ocenić zakres tych zmian dopiero po publikacji finalnego brzmienia wytycznych. Należy jednak mieć na uwadzę szeroki zakres zagadnień i obszarów objętych Wytycznymi ICT, których znaczenie jest krytyczne dla bezpieczeństwa i stabilności podmiotów sektora finansowego oraz potencjalne wysokie koszty wdrażania zmian w środowisku ICT.

Wczesne rozpoczęcie analizy wpływu projektowanych wymogów na systemy, procesy, mechanizmy kontrolne i inne komponenty ładu organizacyjnego może pomóc instytucjom finansowym w planowaniu przyszłych inwestycji i ograniczeniu kosztów związanych ze zbyt późnym wdrażaniem koniecznych zmian.