Europejskie Urzędy Nadzoru (ESA) opublikowały dziś (17.07) drugi pakiet standardów technicznych uzupełniających wymagania wynikające z rozporządzenia #DORA (operacyjna odporność cyfrowa sektora finansowego).
Pakiet obejmuje:
- RTS i ITS w sprawie treści, formy, szablonów i terminów zgłaszania poważnych incydentów związanych z ICT i znaczących cyberzagrożeń;
- RTS w sprawie harmonizacji warunków umożliwiających prowadzenie czynności nadzorczych;
- RTS określający kryteria ustalania składu wspólnego zespołu egzaminacyjnego;
- RTS dotyczące testów penetracyjnych opartych na zagrożeniach (TLPT).
- wytyczne dotyczące szacowania łącznych kosztów/strat spowodowanych poważnymi incydentami związanymi z ICT;
- wytyczne dotyczące współpracy nadzorczej.
Dla podmiotów finansowych i dostawców ICT kluczowe znaczenie mają reguły dotyczące zgłaszania incydentów związanych z ICT i realizowania testów penetracyjnych opartych na zagrożeniach.
W finalnych wersjach standardów uwzględniono niektóre propozycje zgłoszone w toku konsultacji publicznych, w tym m. in.:
- wyjaśniono relację między DORA a #NIS2 w odniesieniu do procedury raportowania poważnych incydentów;
- wprowadzono wprost możliwość składania jednego zbiorczego raportu dotyczącego danego incydentu dotyczącego wielu podmiotów finansowych dotkniętych tym samym incydentem;
- wprowadzono zmiany w zakresie wymogów mających zastosowanie do testerów, zewnętrznych i wewnętrznych, w kierunku bardziej elastycznego podejścia np. w odniesieniu do oceny doświadczenia.
Ostateczne projekty standardów technicznych zostały przedłożone Komisji Europejskiej, która rozpocznie teraz prace nad ich przeglądem w celu ich przyjęcia.
Tekst finalnych wersji RTS/ITS i wytycznych można odnaleźć TUTAJ.
WAŻNE!
W ramach drugiego pakietu standardów do DORA znajdowały się także standardy techniczne dotyczące podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje. Nie zostały one opublikowane wraz z ww. dokumentami. Zgodnie z DORA termin na opublikowanie tych standardów przez ESA upływa dnia 17 lipca 2024 r.
ESA poinformowała, że standardy dotyczące podwykonawstwa zostaną opublikowane w odpowiednim czasie.
Standardy te mają krytyczne znaczenie zarówno dla podmiotów finansowych, jak i #dostawców ICT, którzy powinni się dostosować do wymogów DORA, w tym wymagań wynikających z RTS – do 17 stycznia 2025 r.