Krzysztof Dąbrowski, Dyrektor Zarządzający Pionem Bezpieczeństwa w Urzędzie KNF, wziął udział w panelu „Cyber Defence Meets Finance: National Capabilities, Sector Resilience”, podczas Future Finance Summit 2025.

Zarządzanie ryzykiem ICT z perspektywy UKNF jest jednym z najważniejszych priorytetów w celu zapewnienia cyfrowej odporności operacyjnej każdej instytucji – powiedział Krzysztof Dąbrowski.

Dlaczego jest to tak ważne? Ponieważ instytucje finansowe w coraz większym stopniu polegają na zewnętrznych dostawcach usług ICT, co zwiększa narażenie na ryzyko koncentracji oraz uzależnienia od podmiotów trzecich.

„Oczekujemy, że podmioty finansowe zwrócą szczególną uwagę na pełne dostosowanie swoich praktyk do wymogów nakładanych przez DORA w tym zakresie. Ramy zarządzania ryzykiem ICT stanowią fundament budowania odporności cyfrowej w oparciu o to kluczowe rozporządzenie” – podkreślił Krzysztof Dąbrowski.

Wśród incydentów cyberbezpieczeństwa obserwowanych w ramach działań nadzorczych to właśnie zakłócenia mające swoje źródło u zewnętrznych dostawców mają największy wpływ na podmioty finansowe. Wobec tego „oczekujemy, że podmioty finansowe będą przykładać szczególną wagę do pełnego dostosowania swoich praktyk do wymogów rozporządzenia DORA, w tym prowadzenia i aktualizacji rejestrów postanowień umownych z zewnętrznymi dostawcami usług ICT” – podkreślił Krzysztof Dąbrowski.

Ważnym aspektem realizacji wymogów DORA jest również sprawozdawczość, stąd UKNF będzie kontynuował ścisły nadzór nad jakością i terminowością raportowania przez instytucje finansowe.

Szczególną uwagę zwracamy na:

    1) terminowe i rzetelne raportowanie poważnych incydentów ICT, co pozwala instytucjom finansowym identyfikować słabości, zarządzać ryzykiem ICT,

    2) utrzymywanie aktualnych rejestrów umów outsourcingowych, co bezpośrednio wpływa na skuteczne zarządzanie ryzykiem wynikającym ze współpracy z dostawcami ICT.

Bardzo ważnym obszarem, jak podkreślił Krzysztof Dąbrowski, jest testowanie odporności cyfrowej, w tym przeprowadzanie testów TLPT (Threat-Led Penetration Testing). To nowy rodzaj testów, który będzie wdrażany w przyszłym roku. Jest to spore wyzwanie dla podmiotu finansowego, gdyż TLPT jest procesem wieloetapowym, ściśle regulowanym i przeprowadzanym na systemach działających produkcyjnie. Wobec tego wymaga bardzo skrupulatnego planowania i koordynacji – zarówno ze strony instytucji, jak i organu nadzoru – powiedział Krzysztof Dąbrowski.