Z naszego doświadczenia w pracy z fintechami i instytucjami płatniczymi widzimy, że jednym z najczęściej niedocenianych przepisów DORA jest art. 5 — „Zarządzanie i organizacja". To właśnie tu rozporządzenie 2022/2554 lokuje pełną, ostateczną i osobistą odpowiedzialność za prawidłowe wdrożenie odporności cyfrowej. Adresatem tej odpowiedzialności jest organ zarządzający — w polskich realiach najczęściej zarząd. Ten wpis pokazuje, co konkretnie z tego przepisu wynika dla członka zarządu instytucji finansowej.

Co dokładnie mówi art. 5 DORA?

Art. 5 DORA wprowadza obowiązek posiadania wewnętrznych ram zarządzania ICT i lokuje ostateczną odpowiedzialność za nie na organie zarządzającym podmiotu finansowego.

Podmioty finansowe posiadają wewnętrzne ramy zarządzania i kontroli, które zapewniają skuteczne i ostrożne zarządzanie wszystkimi rodzajami ryzyka związanego z ICT, zgodnie z art. 6 ust. 4, w celu osiągnięcia wysokiego poziomu operacyjnej odporności cyfrowej (art. 5 ust. 1 DORA).

Organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie (art. 5 ust. 2 DORA).

Jakie konkretne obowiązki spoczywają na zarządzie?

Z art. 5 ust. 2 lit. a–i DORA wynika dziewięć konkretnych obowiązków organu zarządzającego — każdy musi mieć ślad w dokumentacji organu.

a) Ostateczna odpowiedzialność
Organ zarządzający ponosi ostateczną odpowiedzialność za zarządzanie ryzykiem związanym z ICT.
b) Polityki bezpieczeństwa danych
Wprowadzanie polityk zapewniających dostępność, autentyczność, integralność i poufność danych.
c) Role i obowiązki ICT
Ustalenie wyraźnych ról i obowiązków dla wszystkich funkcji związanych z ICT.
d) Strategia odporności cyfrowej
Określenie i zatwierdzenie strategii operacyjnej odporności cyfrowej (art. 6 ust. 8 DORA), w tym limitu tolerancji ryzyka ICT.
e) Strategia ciągłości działania ICT
Zatwierdzenie strategii ciągłości działania ICT i planów reagowania i przywracania sprawności.
f) Plany audytów ICT
Zatwierdzenie planów audytów ICT i okresowy przegląd ich wyników — w tym testów TLPT dla podmiotów wyznaczonych.
g) Budżet odporności cyfrowej
Przydzielenie odpowiedniego budżetu na potrzeby operacyjnej odporności cyfrowej, w tym na szkolenia.
h) Polityka outsourcingu ICT
Zatwierdzenie polityki dotyczącej korzystania z usług ICT świadczonych przez zewnętrznych dostawców (zob. outsourcing ICT pod DORA) i jej okresowy przegląd.
i) Kanały raportowania
Wprowadzenie kanałów raportowania umożliwiających uzyskiwanie informacji o ustaleniach z dostawcami ICT, planowanych zmianach i poważnych incydentach.

Co to oznacza w polskich realiach?

„Organ zarządzający" w rozumieniu DORA obejmuje zazwyczaj zarówno organ wykonawczy (zarząd), jak i nadzorczy (radę nadzorczą) — odpowiedzialność jest jednak indywidualna.

Po pierwsze, „organ zarządzający" w rozumieniu DORA to nie to samo, co „zarząd" w rozumieniu kodeksu spółek handlowych. Termin pochodzi z dyrektyw sektorowych i najczęściej obejmuje zarówno organ wykonawczy (zarząd), jak i organ nadzorczy (radę nadzorczą) — w zależności od modelu zarządzania w danym podmiocie.

Po drugie — i to dla osób fizycznych w zarządzie najistotniejsze — odpowiedzialność za prawidłowe wdrożenie DORA jest indywidualna. Konkretne wartości i podstawy kary administracyjnej wynikają z przepisów krajowych implementujących DORA (zob. artykuł 18 cyklu).

Co z funkcją koordynatora outsourcingu?

Art. 5 ust. 3 DORA wymaga od podmiotów innych niż mikroprzedsiębiorstwa ustanowienia funkcji koordynatora outsourcingu lub wyznaczenia członka kadry kierowniczej wyższego szczebla.

Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczają członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji (art. 5 ust. 3 DORA).

Tę funkcję — z naszego doświadczenia — często nazywamy „koordynatorem DORA ds. outsourcingu". Powołanie tej funkcji to obowiązek zarządu i powinno wynikać z formalnej decyzji organu zarządzającego. Szczegółowo omawiamy to w artykule 16 cyklu.

Czy zarząd ma sam się szkolić?

Tak — art. 5 ust. 4 DORA wprowadza wprost obowiązek aktualizacji wiedzy i umiejętności członków organu zarządzającego.

Członkowie organu zarządzającego podmiotu finansowego aktywnie aktualizują wiedzę i umiejętności wystarczające do zrozumienia i oceny ryzyka związanego z ICT i jego wpływu na operacje podmiotu finansowego, w tym poprzez regularny udział w specjalnych szkoleniach, współmiernych do zarządzanego ryzyka związanego z ICT (art. 5 ust. 4 DORA).

W naszej ocenie warto, aby udział w szkoleniach z odporności cyfrowej był udokumentowany (lista obecności, materiały, certyfikat) i odnotowany w dokumentacji organu zarządzającego.

Co teraz zrobić?

Z naszego doświadczenia rekomendujemy każdemu zarządowi instytucji finansowej cztery ruchy:

  • Sporządzić uchwałę organu zarządzającego zatwierdzającą strategię operacyjnej odporności cyfrowej, ramy zarządzania ryzykiem ICT, politykę kopii zapasowych i politykę outsourcingu ICT.
  • Przygotować macierz odpowiedzialności (RACI) wskazującą, który członek zarządu nadzoruje który obszar DORA.
  • Powołać formalnie funkcję koordynatora outsourcingu DORA (art. 5 ust. 3 DORA), jeżeli nie jesteś mikroprzedsiębiorstwem.
  • Zaplanować coroczny cykl szkoleń członków zarządu z odporności cyfrowej i odnotować ich w dokumentacji.

W kolejnym wpisie cyklu rozkładamy ramy zarządzania ryzykiem ICT z art. 6–15 DORA — czyli to, co zarząd ma zatwierdzić i nadzorować. Warto też porównać reżim DORA z odpowiedzialnością zarządu pod NIS2, gdzie DORA działa jako lex specialis.

Co dalej w cyklu?