Nowelizacja KSC i sektor finansowy
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, implementująca Dyrektywa NIS2, nie skutkuje objęciem towarzystw funduszy inwestycyjnych oraz domów maklerskich pełnym reżimem właściwym dla podmiotów kluczowych lub ważnych. Okoliczność ta nie uzasadnia jednak przyjęcia, iż zmiana pozostaje dla tego sektora neutralna regulacyjnie.
W praktyce podmioty te funkcjonują przede wszystkim w reżimie DORA, niemniej analiza ustawy o KSC w brzmieniu po nowelizacji prowadzi do wniosku, iż ustawodawca przewidział wobec nich szereg istotnych punktów styku z krajowym systemem cyberbezpieczeństwa.
Podmioty objęte pełnym reżimem KSC
Dla zachowania pełnej perspektywy należy wskazać, że pełnym reżimem ustawy o KSC objęte są podmioty należące do sektorów kluczowych i ważnych, w szczególności w obszarze bankowości, infrastruktury rynków finansowych oraz infrastruktury cyfrowej. Do kategorii tej zaliczają się w szczególności banki i instytucje kredytowe, operatorzy infrastruktury rynku kapitałowego, w tym giełdy, centralni kontrpartnerzy oraz depozyty papierów wartościowych, jak również dostawcy usług chmurowych oraz infrastruktury cyfrowej. Kwalifikacja do kategorii podmiotów kluczowych lub ważnych następuje co do zasady przy spełnieniu określonych progów wielkościowych, w tym dotyczących zatrudnienia (co do zasady powyżej 50 pracowników) lub poziomu obrotów, przy czym podmioty o szczególnym znaczeniu systemowym mogą podlegać tej kwalifikacji niezależnie od spełnienia wskazanych kryteriów.
W odniesieniu do wskazanych podmiotów zastosowanie znajduje pełny reżim KSC, obejmujący obowiązek wdrożenia kompleksowego systemu zarządzania cyberbezpieczeństwem, opartego na systematycznej identyfikacji ryzyka oraz stosowaniu adekwatnych środków technicznych i organizacyjnych, a także zapewnieniu ciągłości działania systemów informacyjnych. Podmioty te zobowiązane są ponadto do realizacji rozbudowanych obowiązków incydentowych, w tym zgłaszania incydentów do właściwych zespołów CSIRT w określonych terminach, utrzymywania zdolności do ich obsługi oraz współdziałania z właściwymi organami państwa. Regulacja przewiduje również obowiązki o charakterze organizacyjnym, obejmujące m.in. wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo, zapewnienie odpowiedniego poziomu kompetencji oraz wdrożenie procedur raportowania zagrożeń i podatności.
Integralnym elementem tego reżimu pozostaje obowiązek poddawania się audytom oraz kontrolom organów właściwych do spraw cyberbezpieczeństwa, jak również prowadzenia dokumentacji umożliwiającej wykazanie zgodności z przepisami. Jednocześnie, ustawodawca przewidział możliwość nakładania istotnych administracyjnych kar pieniężnych, a także przypisania odpowiedzialności osobom zarządzającym za niewykonanie obowiązków ustawowych.
Relacja KSC i DORA
DORA ustanawia kompleksowe, sektorowe ramy zarządzania ryzykiem ICT dla podmiotów finansowych, przy czym art. 16 ust. 1 tego rozporządzenia przewiduje możliwość stosowania uproszczonych ram zarządzania ryzykiem ICT przez podmioty o niższym poziomie skali działalności, złożoności oraz profilu ryzyka. To właśnie ta kategoria podmiotów podlega wyłączeniu z części obowiązków wynikających z ustawy o KSC, zgodnie z art. 67k ust. 2 tej ustawy.
Obowiązki TFI i domów maklerskich wynikające z KSC
Kluczowe znaczenie dla towarzystw funduszy inwestycyjnych oraz domów maklerskich ma art. 67k ustawy o KSC, zgodnie z którym do podmiotów finansowych niebędących podmiotami kluczowymi ani ważnymi stosuje się art. 67c, 67d, 67g oraz 67h, o ile nie znajdują się one w zakresie zastosowania art. 16 ust. 1 DORA. W konsekwencji, w przypadku podmiotów niespełniających przesłanek uproszczonego reżimu DORA, aktualizują się obowiązki związane z dostawcami wysokiego ryzyka, obowiązkami informacyjnymi wobec organów cyberbezpieczeństwa, wykonywaniem poleceń zabezpieczających oraz raportowaniem ich realizacji.
Pierwszym obszarem, który TFI i domy maklerskie powinny wprost włączyć do swojego modelu ryzyka ICT, jest ryzyko dostawców wysokiego ryzyka. Zgodnie z art. 67c KSC, po wydaniu decyzji o uznaniu dostawcy za dostawcę wysokiego ryzyka podmiot nie może wprowadzać do użytkowania wskazanych w decyzji typów produktów ICT, usług ICT ani procesów ICT, a następnie musi wycofać je z użytkowania nie później niż w terminie siedmiu lat od ogłoszenia decyzji. Dla instytucji finansowych oznacza to konieczność prowadzenia nie tylko klasycznej analizy vendor risk, lecz także gotowości do przymusowej migracji technologicznej, niezależnej od ich własnej oceny biznesowej lub umownej.
Drugim obszarem jest obowiązek informacyjny z art. 67d KSC. Po wydaniu decyzji o uznaniu dostawcy za wysokiego ryzyka właściwe organy mogą zażądać informacji o wycofywanych typach produktów, usługach i procesach ICT objętych decyzją. W praktyce oznacza to, że TFI i domy maklerskie powinny posiadać aktualny, operacyjnie użyteczny rejestr zależności technologicznych, obejmujący nie tylko formalnego dostawcę, lecz także rzeczywiste wykorzystanie danego rozwiązania w procesach krytycznych, tak aby możliwa była szybka identyfikacja zakresu oddziaływania ewentualnej decyzji administracyjnej.
Trzecim, wyjątkowo istotnym instrumentem jest polecenie zabezpieczające z art. 67g KSC. W razie wystąpienia incydentu krytycznego minister właściwy do spraw informatyzacji może, w drodze decyzji, nakazać podmiotowi określone działania techniczne lub organizacyjne, w tym przeprowadzenie szacowania ryzyka, wdrożenie określonej poprawki bezpieczeństwa, zmianę konfiguracji, wzmożone monitorowanie systemu, ograniczenie korzystania z określonego produktu lub usługi ICT, a nawet zakaz dalszego używania podatnego rozwiązania. Polecenie takie ma charakter natychmiast wykonalny, obowiązuje na czas koordynacji obsługi incydentu krytycznego albo na czas oznaczony, nie dłuższy niż dwa lata, i staje się doręczone z chwilą ogłoszenia komunikatu w dzienniku urzędowym ministra. Dla TFI i domów maklerskich jest to szczególnie doniosłe, ponieważ oznacza możliwość władczej ingerencji państwa w ciągłość działania systemów ICT, niezależnie od przyjętego wcześniej modelu operacyjnego.
Z poleceniem zabezpieczającym łączy się art. 67h KSC, który nakłada na adresatów tego polecenia obowiązek przekazywania informacji o jego wykonywaniu na wniosek organów właściwych do spraw cyberbezpieczeństwa. W praktyce nie wystarczy zatem samo wdrożenie nakazanych środków; konieczne jest także ich właściwe udokumentowanie, tak aby podmiot mógł wykazać zgodność działań z decyzją administracyjną. Niewykonanie obowiązków z art. 67c, 67d, 67g lub 67h może skutkować administracyjną karą pieniężną, co przesądza, że nie są to przepisy o charakterze deklaratywnym, lecz realnie egzekwowalne instrumenty ingerencji publicznoprawnej.
Integracja KSC z DORA
Zestawienie regulacji KSC z reżimem DORA prowadzi do wniosku, iż model zarządzania ryzykiem ICT w podmiotach finansowych nie może ograniczać się do klasycznej, autonomicznej oceny ryzyka. Ustawa o KSC wprowadza bowiem dodatkowy wymiar ryzyka – ryzyko ingerencji regulacyjnej – obejmujące możliwość narzucenia przez organ określonych działań niezależnie od oceny dokonanej przez podmiot. W konsekwencji rejestr dostawców ICT oraz procesy zarządzania outsourcingiem powinny zostać rozszerzone o elementy umożliwiające identyfikację zależności krytycznych oraz przygotowanie scenariuszy przymusowego zakończenia współpracy.
W rezultacie towarzystwa funduszy inwestycyjnych oraz domy maklerskie powinny dokonać integracji wymogów KSC z istniejącymi ramami zarządzania ryzykiem ICT wynikającymi z DORA, w szczególności poprzez aktualizację polityk wewnętrznych, przegląd relacji z dostawcami ICT, dostosowanie planów ciągłości działania oraz wdrożenie procedur umożliwiających wykonanie decyzji administracyjnych.
Ostatecznie należy uznać, iż ustawa o krajowym systemie cyberbezpieczeństwa nie stanowi wobec DORA regulacji konkurencyjnej, lecz jej komplementarne uzupełnienie, wprowadzające instrumenty o charakterze nadzwyczajnym, które powinny zostać uwzględnione w kompleksowym modelu zarządzania ryzykiem ICT w sektorze finansowym.