Zgłaszanie poważnych incydentów przez podmioty finansowe będące podmiotami kluczowymi lub podmiotami ważnymi 

1. Czy na podmiotach finansowych będących podmiotami kluczowymi lub podmiotami ważnymi ciąży w ramach UKSC dodatkowy obowiązek zgłaszania incydentów poważnych?

W związku z implementacją dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 („dyrektywa 2022/2555”) dokonaną w ramach nowelizacji UKSC, zgłaszanie poważnych incydentów przez podmioty finansowe będące podmiotami kluczowymi lub podmiotami ważnymi regulować będzie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 („rozporządzenie 2022/2554”).

Wynika to z zakresu zastosowania wymogów UKSC w obszarze systemu zarządzania bezpieczeństwem informacji i zgłaszania poważnych incydentów w przypadku podmiotów sektora bankowości i infrastruktury rynków finansowych. Zgodnie z art. 8i ust. 1 UKSC zastosowania do omawianych podmiotów (w tym banków) nie mają normy art. 11 ust. 1 pkt 4-4c UKSC, dotyczące zgłaszania do CSIRT sektorowego poszczególnych sprawozdań dot. incydentu poważnego w rozumieniu art. 2 pkt 7 UKSC. Dodatkowo, wspominany art. 8i ust. 1 UKSC przewiduje również stosowanie do rzeczonych podmiotów art. 46 ust. 1 UKSC w zakresie jego pkt 1, 2 oraz 4-7, tj. z wyjątkiem pkt 3, który dotyczy wykorzystania tzw. systemu S46 do zgłaszania i obsługi incydentów.

W ramach UKSC na podmiotach finansowych będących podmiotami kluczowymi lub podmiotami ważnymi nie będzie więc ciążył obowiązek dodatkowego raportowania do KNF incydentów poważnych, który stanowiłby powielenie obowiązków wynikających z rozporządzenia 2022/2554. 

2. Czym jest poważny incydent związany z ICT?

Poważny incydent związany z ICT to incydent związany z ICT o dużym negatywnym wpływie na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego.

Pod pojęciem „incydentu związanego z ICT” rozumie się zaś zgodnie z przepisami rozporządzenia 2022/2554 pojedyncze zdarzenie lub serię powiązanych ze sobą zdarzeń, nieplanowanych przez dany podmiot finansowy, które naruszają bezpieczeństwo sieci i systemów informatycznych i mają negatywny wpływ na dostępność, autentyczność, integralność lub poufność danych lub na usługi świadczone przez ten podmiot finansowy. 

3. W jakim czasie należy zgłosić incydent poważny?

Poważny incydent związany z ICT należy zgłosić tak szybko, jak to możliwe, ale w każdym razie w ciągu czterech godzin od sklasyfikowania incydentu związanego z ICT jako poważny incydent związany z ICT i nie później niż 24 godziny od momentu, w którym podmiot finansowy dowiedział się o incydencie związanym z ICT. 

4. Jak zgłosić poważny incydent związany z ICT?

Zgłoszenia poważnych incydentów związanych z ICT należy przekazywać do KNF jako właściwego organu z rozporządzenia 2022/2554, co następuje z wykorzystaniem systemu dedykowanego do zgłaszania poważnych incydentów związanych z ICT (System Obsługi Incydentów DORA (SOID): https://csirt.knf.gov.pl/), po zalogowaniu za pomocą Profilu Zaufanego.