Powrót

Zarządzanie incydentami cyberbezpieczeństwa w usługach płatniczych – nowe wytyczne EBA

28 paź 2021
Incydenty cyberbezpieczeństwa stały się niemal codziennością każdej organizacji świadczącej usługi cyfrowe. Niestety sektor finansowy, a szczególnie procesy płatnicze nieustannie są w niechlubnej czołówce zainteresowań cyberprzestępców. Uchronienie się przed zdarzeniami tego rodzaju należy traktować jak „filozoficzną doskonałość”, dlatego wśród wymagań prawnych nie ma obowiązku zapewnienia pełnej ochrony przed nimi, a wymóg właściwego zarządzania incydentami. Do stycznia 2022 roku wszystkie Instytucje Płatnicze zobowiązane są do dostosowania swoich systemów cyberbezpieczeństwa do zmienionych Wytycznych EBA dotyczących zgłaszania poważnych incydentów zgodnie z dyrektywą PSD2 (EBA/GL/2021/03). Choć zmiana w odniesieniu do aktualnie obowiązujących Wytycznych (EBA/GL/2017/10) ma pozornie „kosmetyczny” charakter, to warto jednak wykorzystać ją do rewizji głównych zasad procesu zarządzania incydentami w organizacji, szczególnie przez pryzmat naruszeń bezpieczeństwa sieci i systemów teleinformatycznych. Przede wszystkim należy jednak pamiętać, że profesjonalizm w postępowaniu z incydentami, to nie wymóg prawny i regulacyjny, a zobowiązanie wobec Klientów i partnerów biznesowych. To oni pierwsi ocenią skuteczność naszych działań.
  1. Incydent w usłudze płatniczej – tytułem wprowadzenia (r. pr. Maciej Miąsko, dr Łukasz Kister).
  2. Zarządzanie incydentami wg. wytycznych EBA – wybrane wymagania (dr Łukasz Kister).
    • Ocena wpływu w klasyfikacji incydentu poważnego.
    • Zlecanie obsługi incydentów podmiotom wyspecjalizowanym.
    • Zarządzanie incydentami w Polityce operacyjnej i bezpieczeństwa.
  3. Incydenty vs. regulator – zgłoszenia, kontrole (r. pr. Maciej Miąsko)
    • Trzy poziomy zgłoszeń incydentów do UKNF – wstępne, okresowe i końcowe.
    • Zgłoszenie do UKNF, a obowiązek zgłoszenia do innych organów (Prezes UODO, Prokuratura).
    • Kontrole UKNF w obszarze zarządzania incydentami.
  4. Profesjonalizacja zarządzania incydentami (dr Łukasz Kister).
    • Standaryzacja – by nie wysadzać otwartych drzwi.
    • Faza przygotowania jako gwarant skutecznego zarządzania incydentem.
    • Zarządzanie incydentem cyberbezpieczeństwa, to nie problem IT.
grudzień