Poważne incydenty związane z technologiami informacyjno-komunikacyjnymi w ramach DORA w 2025 r.

Europejskie organy nadzorcze opublikowały raport za rok 2025 dotyczący poważnych incydentów związanych z technologiami informacyjno-komunikacyjnymi (ICT), sporządzony zgodnie z art. 22 rozporządzenia DORA.

Dla podmiotów finansowych objętych zakresem rozporządzenia DORA jest to z pewnością raport, z którym warto się dokładnie zapoznać. Ma on jednak również duże znaczenie dla organów regulacyjnych, ponieważ zawarte w nim dane mogą pomóc w prognozowaniu trendów na przyszłe okresy, zwłaszcza w połączeniu z raportami dotyczącymi analizy zagrożeń oraz przewidywaniami dotyczącymi ewolucji ryzyka związanego z technologiami ICT i cyberbezpieczeństwem.

Foto: www.magnific.com/pl/darmowe-wektory/laptop-z-ikona-akademicka-na-bialym-tle_20498533.htm">Obraz autorstwa Magnific

Raport obejmuje poważne incydenty związane z technologiami informacyjno-komunikacyjnymi (ICT), zgłoszone w 2025 r. w sektorach finansowych UE. Łącznie zgłoszono 3 383 poważne incydenty, z których większość miała miejsce w sektorach kredytowym i płatniczym. Europejskie Urzędy Nadzoru (ESA) podkreślają, że tej koncentracji nie należy automatycznie interpretować jako oznaki słabości charakterystycznej dla danego sektora. Może ona również odzwierciedlać strukturę rynku, wcześniejsze obowiązki sprawozdawcze oraz wysoce cyfrowy, zorientowany na klienta charakter usług bankowych i płatniczych.

Jednym z kluczowych wniosków jest to, że pomimo dużej liczby incydentów ich wpływ na klientów, transakcje i kontrahentów finansowych był często ograniczony. W raporcie zauważono, że dwie trzecie poważnych incydentów nie spowodowało żadnych lub spowodowało jedynie niewielkie zakłócenia dla klientów i transakcji. Może to sugerować, że terminowe wykrywanie, reagowanie oraz środki ograniczające skutki okazały się skuteczne w ograniczaniu szkód operacyjnych i efektów ubocznych.

Raport wskazuje na systemowy charakter ryzyka związanego z technologiami informacyjno-komunikacyjnymi (ICT). Około jedna trzecia poważnych incydentów miała skutki transgraniczne, co potwierdza, że ryzyko związane z ICT w sektorze finansowym w coraz większym stopniu wykracza poza granice państw. Wspólna infrastruktura, wspólni dostawcy technologii, usługi zlecane podmiotom zewnętrznym oraz transgraniczne modele biznesowe oznaczają, że jeden incydent może szybko wpłynąć na wiele podmiotów, sektorów i jurysdykcji.

W przypadku 51% poważnych incydentów odnotowano awarie systemowe, w 27% – zdarzenia zewnętrzne, a w 18% – incydenty związane z płatnościami. Incydenty związane z cyberbezpieczeństwem stanowiły 10% wszystkich incydentów. W przypadku incydentów związanych z cyberbezpieczeństwem najczęściej stosowanymi technikami były ataki DDoS oraz wyciek danych / manipulacja danymi, w tym kradzież tożsamości.

Stosunkowo niski odsetek incydentów związanych z cyberbezpieczeństwem może wskazywać na skuteczne zabezpieczenia, ale może również odzwierciedlać sposób klasyfikacji, stopień dojrzałości systemu raportowania lub fakt, że wiele incydentów operacyjnych nie ma charakteru „cyber” w wąskim znaczeniu tego słowa, a mimo to stwarza ryzyko dla odporności systemu.

Prawie jedna trzecia poważnych incydentów wynikała z awarii przypisywanych podmiotom zewnętrznym, w tym zewnętrznym dostawcom usług ICT, innym podmiotom finansowym oraz dostawcom infrastruktury. Potwierdza to wyraźnie, dlaczego w rozporządzeniu DORA kładzie się tak duży nacisk na zarządzanie ryzykiem związanym z zewnętrznymi dostawcami usług ICT, ustalenia umowne, nadzór, planowanie wyjścia oraz koordynację podczas incydentów.

Link

Autor: Sebastian Burgemejster