Rozporządzenie DORA: koszty mniejsze niż się wydaje?

Przeczytaj także: Kto zyska, a kto straci na rozporządzeniu DORA?

Poziom uzależnienia od technologii, liczba cyfrowych danych i wzajemnych powiązań pomiędzy instytucjami finansowymi rośnie tak szybko, że w trosce o bezpieczeństwo naszych porfeli i stabilność gospodarki, należy wzmocnić odporność na cyberzagrożenia. To w bardzo dużym uproszczeniu idea, która skłoniła UE do wprowadzenia DORA, regulacji, które mają zwiększyć bezpieczeństwo instytucji finansowych. Te zależności między firmami i dostawcami IT było widać, gdy na skutek lipcowej awarii Crowdstrike, problemów z dostępnością swoich usług doświadczyły firmy na całym świecie.

Eksperci są więc zgodni: regulacje są bardzo potrzebne, zapewniają instytucjom finansowym niezbędną ciągłość działania, ale wymuszają też szereg zmian w obszarze zarządzania ryzykiem, procedur i inwestycji w technologie. Jak dużych i ile będą one kosztować?

O konkrety zapytała przedsiębiorstwa z sektora ubezpieczeniowego i bankowego oraz dostawców usług IT amerykańska firma doradcza McKinsey. W marcu br. próbowała ona zdiagnozować stan przygotowań a także określić, ile kosztować będzie dostosowanie firm do unijnego rozporządzenia, które zacznie obowiązywać już 17 stycznia 2025 r.

Nie taki diabeł straszny

Na pierwszy rzut oka kwoty są dość szokujące. Aż 58% badanych określiło wydatki (przy obecnym kursie złotówki) w przedziale pomiędzy 19 a 57 mln dolarów, a 8% oszacowało, że proces dostosowania będzie kosztował je nawet więcej. Wstępne wyliczenia mówią, że początkowych wydatków mocno jednak niedoszacowano i będą one wyższe. Jedna z firm określiła je na poziomie grupy na 100 mln dolarów, co w przeliczeniu na złotówki daje kwotę bliską 400 mln zł. To kwota astronomiczna - mniej więcej tyle, ile zysku netto wypracował w Polsce BNP Paribas w ciągu 2 miesięcy tego roku (w I kwartale 2024 r. – zysk netto wyniósł 623 mln zł).

Eksperci przekonują, że do tych liczb należy podchodzić z rezerwą - zapewne wynikają one z ograniczonej próby badawczej. McKinsey zrealizował bowiem badania jakościowe a nie ilościowe - przebadał grupę 18 liderów z wiodących instytucji finansowych w UE oraz dostawców usług IT. Tymczasem regulacjom podlegać będzie aż 22 tysiące firm na terenie UE. Wśród nich znajdą się zarówno duże banki, jak i np. mniejsi operatorzy usług. A to robi różnicę.

Z perspektywy firmy doradczej byłoby fantastycznie operować takimi budżetami, ale te kwoty mają się nijak do polskiej rzeczywistości. W przypadku największych banków koszty przygotowań należy liczyć w milionach, a nie dziesiątkach czy setkach mln zł. Dla mniejszych organizacji skala wydatków, które trzeba ponieść będzie znacząco niższa. To efekt tego, że dla dużej części organizacji finansowych w Polsce DORA nie jest rewolucją, ale ewolucją i szansą na zwiększenie bezpieczeństwa cybernetycznego a nie przykrym obowiązkiem wynikającym z prawa. Firmy potrzebują zazwyczaj uzupełnień w dokumentacji i procesach, a nie całkowitej zmiany podejścia - tłumaczy Michał Cherek z firmy Crayon Polska, która doradza przedsiębiorstwom w procesie dostosowania się do nowych regulacji.

Inwestycja a nie koszt

Nietrudno tu o analogię z bliźniaczymi, bo też dotyczącymi kwestii cyberbezpieczeństwa, regulacjami NIS2. Eksperci oszacowali, m.in. na podstawie kosztów dostosowania się do pierwszej wersji dyrektywy z 2016 roku, że w perspektywie kolejnych 3-4 lat organizacje będą musiały zwiększyć swoje wydatki na zabezpieczenia sieci i cyfrowych informacji o około 22 proc.

Ale uwaga. O ile średnie przedsiębiorstwa, które będą musiały zbudować cyberbezpieczeństwo od podstaw, powinny się przygotować na wzrost wydatków o około 25 proc, to w przypadku firm dysponujących zabezpieczeniami, podlegającymi już wcześniej pod Dyrektywę NIS, wydatki będą niższe aż o połowę. Dane te pochodzą z oficjalnego dokumentu Komisji Europejskiej dotyczącego potencjalnych skutków wprowadzenia NIS2 (Proposal for a Directive of the European Parliament and of the Councilon measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148).

Jak przyznaje sama Komisja Europejska, koszty dostosowania się do przepisów NIS2 w perspektywie średnio- i długoterminowej mogą przynieść przedsiębiorstwom jedynie korzyści. To m.in. zmniejszenie liczby incydentów naruszeń bezpieczeństwa i strat związanych z cyberprzestępczością, zmniejszenie kosztów niedostępności usług i odpowiedzialności za naruszenia, a w efekcie wzrost zaufania klientów, poprawa reputacji firmy czy ochrona przed nieuczciwą konkurencją związaną np. ze szpiegostwem przemysłowym.

Na regulacje DORA trzeba patrzeć podobnie, jak na NIS2. Dla wielu firm są one prawdziwym impulsem do zmiany podejścia. Organizacje, które wcześniej traktowały cyberbezpieczeństwo jako formalność, nagle zyskały bodziec do głębszej refleksji. DORA wymusiła bowiem na nich spojrzenie na bezpieczeństwo w kategorii strategicznego elementu, który może napędzać rozwój, a nie kosztu. Prawda jest taka, że cyberbezpieczeństwo przekłada się nie tylko na większą stabilność operacyjną, ale również na konkurencyjność. Naturalnie czasem koszty są znaczące, ale inwestycja prawie zawsze okazuje się długoterminowo opłacalna – tłumaczy Michał Cherek z Crayon.

Zegar tyka coraz głośniej

Rozporządzenie DORA weszło w życie 16 stycznia 2023 roku, a termin wdrożenia rozwiązań wyznaczony został na 17 stycznia 2025 roku. Na dostosowanie się do zmian firmy mają więc jeszcze 4 miesiące. Zdaniem ekspertów stan przygotowań należy uznać za wysoki, choć z pewnymi wyjątkami.

Większość firm zaczęła przygotowania do DORA z odpowiednim wyprzedzeniem, Oczywiście, są też takie organizacje, które wstrzymały przygotowania np. ze względu na zmiany personalne. Jest to ryzykowne, bo widzieliśmy sytuacje, gdzie opóźnienia kończyły się kosztownymi korektami po audytach. Kluczowe jest to, by wychwycić najpierw kluczowe dla działalności kwestie a następnie stosować zwinne podejście pozwalające uniknąć opóźnień i kosztownych potknięć – mówi Michał Cherek.

Gabriela Kocurek, radca prawny i ekspertka ds. regulacji FinTech w KWKR Konieczny Wierzbicki i Partnerzy zwraca uwagę, że Komisja Europejska w dużej mierze wypełniła harmonogram po swojej stronie – harmonogram ten wymaga jednak od wdrażających odpowiedniego podejścia projektowego i sprawnego działania.

Zgodnie z planem, 17 lipca opublikowany został drugi pakiet finalnych wersji projektów standardów technicznych uzupełniających wymagania wynikające z DORA. Po terminie, dopiero 26 lipca, publikacji doczekała się także finalna wersja projektu standardów technicznych dotyczących podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje. Standardy te mają kluczowe znaczenie zarówno dla podmiotów finansowych, jak i dostawców ICT, którzy powinni dostosować się do wymogów DORA.

Wcześniej w toku wdrożeń opieraliśmy się o wersje RTS udostępnione na etapie konsultacji publicznych, które uległy zmianie - co generowało dodatkowe prace w projektach wdrożeniowych. Harmonogram wydawania RTS był jednak znany, stąd na te zmiany przewidzieliśmy w projektach stosowny bufor kosztowy i czasowy. Obecnie oczekujemy na formalne zatwierdzenie przez KE kompletu finalnych wersji drugiego pakietu RTS – zakładamy jednak, że te nie ulegną zmianie i nie będą generować opóźnień ani zwiększać kosztów – podkreśla Gabriela Kocurek.