Opublikowane w lipcu akty wykonawcze do rozporządzenia DORA ( tzw. RTS) przewidują konieczność składania aż trzech różnych raportów związanych z poważnym incydentem ICT (teleinformatycznym). Maksymalnie w ciągu doby należy złożyć zawiadomienie wstępne, w ciągu kolejnych 72 godzin – pośrednie. Po upływie miesiąca do organu powinno wpłynąć sprawozdanie końcowe.
Ten surowy reżim sprawozdawczy dotyczy poważnych incydentów. Dlatego natychmiast po stwierdzeniu zdarzenia organizacja powinna ocenić jego wagę. Jeśli incydent zostanie zakwalifikowany jako poważny wstępne zawiadomienie należy złożyć w ciągu 4 godzin od dokonania tej oceny, ale nie później niż 24 godziny od momentu, w którym podmiot finansowy dowiedział się o zdarzeniu.
Cztery godziny od zmiany zdania
Wytyczne przewidują też sytuację, w której organizacja zmieni ocenę. Może to wynikać np. z dodatkowych informacji, które wpłyną do organizacji, czy też z widocznych skutków zdarzenia. DORA wskazuje, że z poważ- nym incydentem ICT mamy do czynienia, jeśli ma on duży negatywny wpływ na sieci i systemy informatyczne, które wspierają krytyczne lub istotne funkcje podmiotu finansowego.
Jeśli od zdarzenia minęły już 24 godziny a okazuje się, że incydent jest jednak poważny, to wstępne powiadomienie należy zgłosić w ciągu czterech godzin po tym nowym sklasyfikowaniu incydentu.
Złożenie tego wstępnego powiadomienia to jednak dopiero początek raportowania. W ciągu następnych 72 godzin (liczonych od złożenia wstępnego powiadomienia) należy złożyć raport pośredni. A ciągu kolejnego miesiąca od złożenia raportu pośredniego podmiot finansowy musi wysłać do urzędu sprawozdanie końcowe.
59 punktów w formularzach
Czy różną się te raporty? Oczywiście w każdym z nich należy opisać jak najbardziej aktualną sytuację. Ta, w przypadku incydentów, może być dynamiczna. W każdym ze sprawozdań są też wskazane do opisania konkretne punkty. W przypadku raportu wstępnego jest siedem punktów obowiązkowych oraz trzy dodatkowe. W trakcie konsultacji projektu RTS zmniejszono, pod naciskiem rynku, liczbę tych pytań. Początkowo proponowano bowiem aż 9 obowiązkowych punktów i osiem dodatkowych. W sprawozdaniu pośrednim organizacja musi odpowiedzieć aż na 14 pytań obowiązkowych i 21 dodatkowych. W sprawozdaniu końcowym należy opisać siedem kwestii obowiązkowo i siedem dodatkowych. Oznacza to, że we wszystkich trzech raportach podmiot finansowy będzie musiał wypełnić aż 28 obowiązkowych rubryk i 31 dodatkowych. Skala raportowania jest więc bardzo duża, na co w trakcie konsultacji zwracali uwagę przedstawiciele rynku finansowego z całej Europy.
Ostatecznie w RTS-ach przewidziano sytuację, w której organizacja nie będzie w stanie złożyć kompletnego powiadomienia wstępnego lub któregoś ze sprawozdań (okresowego lub końcowego). W takiej sytuacji podmiot finansowy powinien powiadomić organ o tym, że takiego raportu w terminie jest w stanie złożyć. Powinien to zrobić bez zbędnej zwłoki, jednak nie później niż w odpowiednim terminie złożenia powiadomienia/sprawozdania. Należy też wyjaśnić przyczyny opóźnienia.
Weekend nie dla wszystkich
A co jeśli termin na złożenie któregoś z raportów przypadnie w weekend lub inny dzień wolny od pracy? W takiej sytuacji termin może ulec przedłużeniu. W pierwotnej wersji RTS wskazano, że upłynie on w ciągu pierwszej godziny pracującej w dniu roboczym po weekendzie. Po konsultacjach zdecydowano się jednak na wydłużenie tego terminu. Zgodnie z najnowszą wersją podmioty finansowe będą miały czas do południa następnego dnia roboczego.
Jednak nie wszyscy będą mogli w weekend odpocząć. Przepisy przedłużające termin do dnia roboczego nie będą dotyczyły wstępnego powiadomienia i sprawozdania okresowego przez instytucje kredytowe, kontrahentów centralnych, operatorów systemów obrotu i inne podmioty finansowe określone jako podmioty podstawowe lub ważne zgodnie z przepisami krajowymi dotyczącymi krajowego systemu cyberbezpieczeństwa lub podmioty finansowe uznane za istotne lub systemowe przez właściwy organ. Pracownicy tych organizacji będą musieli składać zawiadomienia i sprawozdania nawet w weekend.
Najnowsze akty wykonawcze do DORA zostały opublikowane przez Europejskie Urzędy Nadzoru do Komisji Europejskiej 17 lipca. Trafiły teraz do Komisji Europejskiej, która może wprowadzić dodatkowe zmiany. Instytucje finansowe mają czas na wdrożenie rozporządzenia DORA do 17 stycznia 2025 r.