
Strategia ICT to za mało. KNF pyta o operacyjną odporność cyfrową Banku
Ocena KNF ryzyka ICT za 2025 r. pokazała, że sama strategia informatyczna nie wystarczy
Ocena nadzorcza KNF ryzyka ICT za 2025 r. pokazała bankom spółdzielczym ważną rzecz: posiadanie Strategii ICT nie oznacza jeszcze, że Bank posiada strategię operacyjnej odporności cyfrowej zgodną z DORA.
To nie jest różnica wyłącznie w nazwie dokumentu. To różnica w podejściu do zarządzania ryzykiem ICT.
Strategia ICT często opisuje kierunki rozwoju informatyki, utrzymanie systemów, modernizację infrastruktury, cyberbezpieczeństwo, inwestycje, usługi zewnętrzne i rozwój technologiczny. Natomiast strategia operacyjnej odporności cyfrowej powinna pokazywać, w jaki sposób Bank zapewnia ciągłość, bezpieczeństwo, odporność, testowanie, nadzór nad dostawcami, zarządzanie incydentami i raportowanie ryzyka ICT do Zarządu.
Innymi słowy: strategia ICT mówi, co Bank chce rozwijać. Strategia operacyjnej odporności cyfrowej pokazuje, jak Bank przetrwa awarię, cyberatak, problem z dostawcą, błąd systemu, incydent ICT albo zakłócenie funkcji krytycznej lub istotnej.
Dlaczego temat jest ważny po ocenie KNF ryzyka ICT za 2025 r.?
W raportach z oceny nadzorczej KNF pojawiły się zalecenia i oczekiwania dotyczące strategii operacyjnej odporności cyfrowej, strategii ciągłości działania ICT oraz strategii zarządzania ryzykiem zewnętrznych dostawców usług ICT.
To oznacza, że nadzór patrzy już nie tylko na to, czy Bank ma dokumenty, ale czy są one:
spójne, aktualne, przeglądane, powiązane z ryzykiem, BIA, KLIF, dostawcami ICT, testami odporności, incydentami i raportowaniem do Zarządu.
Jeżeli strategia jest dokumentem oderwanym od rzeczywistości Banku, to nie pomaga. Może wręcz szkodzić, bo pokazuje brak realnego powiązania między dokumentacją a praktyką działania Banku.
Oderwana od rzeczywistości strategia to pierwszy krok do problemu przy kolejnej ocenie, audycie lub kontroli.
Rola pisma SOZ BPS i pytań kierowanych do SOZ BPS
Ważnym elementem obecnej sytuacji jest również komunikat SOZ BPS, w którym wskazano, że banki powinny przekazywać uwagi, pytania i zastrzeżenia do oceny nadzorczej w sposób skoordynowany, za pośrednictwem ankiety w systemie KOS, a nie prowadzić indywidualnych prób wyjaśniania sprawy bezpośrednio z UKNF. SOZ BPS wskazał, że koordynuje proces zbierania uwag w celu wspólnego ustalenia stanowiska z KNF.
Dlatego Bank powinien zrobić dwie rzeczy równolegle.
Po pierwsze, powinien przygotować pytania i uwagi do SOZ BPS, jeżeli ocena wymaga doprecyzowania, np. w zakresie tego, jak KNF interpretuje wymóg strategii operacyjnej odporności cyfrowej, przeglądu strategii, powiązania strategii z innymi dokumentami, formy dokumentu albo minimalnego pakietu dowodowego.
Po drugie, Bank nie powinien czekać biernie na wyjaśnienia. Powinien rozpocząć porządkowanie dokumentacji i przygotować strategię tak, aby była spójna z całym środowiskiem proceduralnym Banku.
Strategia operacyjnej odporności cyfrowej nie może być samotną wyspą
Największym błędem byłoby opracowanie strategii jako osobnego, ładnie brzmiącego dokumentu, który nie ma związku z realnym środowiskiem Banku.
Strategia powinna czerpać z dokumentów i analiz, które już funkcjonują w Banku, w szczególności z:
- analizy ryzyka środowiska ICT Banku,
- analizy procesów BIA,
- klasyfikacji funkcji krytycznych lub istotnych,
- rejestru systemów ICT,
- rejestru zasobów ICT,
- rejestru usług ICT,
- rejestru dostawców ICT,
- procedur zarządzania incydentami ICT,
- procedur backupu i odtwarzania,
- BCP/DRP,
- programu testowania odporności cyfrowej,
- wyników audytów i testów,
- rejestru podatności,
- przeglądu umów ICT,
- planów wyjścia od dostawców,
- raportów dla Zarządu.
Dopiero z tych elementów powstaje strategia, która ma sens.
Jeżeli Bank opracuje strategię bez odniesienia do BIA, ryzyka ICT, dostawców, testów, systemów i procesów, to będzie to dokument deklaratywny. A dokument deklaratywny w DORA nie wystarcza.
Co powinna zawierać dobra strategia operacyjnej odporności cyfrowej?
Strategia powinna odpowiadać na konkretne pytania zarządcze.
1. Jakie cele Bank chce osiągnąć w zakresie odporności cyfrowej?
Nie chodzi o ogólne hasło „zapewniamy bezpieczeństwo”. Trzeba wskazać konkretne cele, np.:
- utrzymanie ciągłości działania funkcji krytycznych lub istotnych,
- ograniczenie skutków incydentów ICT,
- zwiększenie skuteczności testów odporności,
- poprawę nadzoru nad dostawcami ICT,
- skrócenie czasu reakcji na incydenty,
- poprawę jakości raportowania do Zarządu,
- zapewnienie aktualności dokumentacji ICT/DORA.
2. Jak Bank zarządza ryzykiem ICT?
Strategia musi pokazać, że ryzyko ICT nie jest wyłącznie sprawą informatyka. To ryzyko operacyjne, regulacyjne, reputacyjne i biznesowe.
Dokument powinien wskazywać:
- kto identyfikuje ryzyko ICT,
- kto je ocenia,
- kto akceptuje ryzyko,
- kto odpowiada za działania naprawcze,
- jak ryzyko jest raportowane,
- jak często jest przeglądane,
- jak jest powiązane z systemami, procesami i dostawcami.
3. Jak strategia łączy się z BIA?
To jeden z kluczowych elementów.
Jeżeli BIA wskazuje, które procesy są krytyczne lub istotne, to strategia musi pokazać, jak Bank zabezpiecza systemy ICT, dostawców, dane, RTO/RPO i plany awaryjne dla tych procesów.
BIA bez powiązania ze strategią odporności cyfrowej jest tylko analizą. Strategia bez BIA jest oderwana od rzeczywistości Banku.
4. Jak Bank testuje odporność cyfrową?
Strategia powinna wskazywać, że Bank posiada program testowania odporności ICT, obejmujący m.in.:
- testy kopii zapasowych,
- testy odtwarzania,
- testy scenariuszowe,
- testy incydentowe,
- testy systemów wspierających funkcje krytyczne lub istotne,
- skany podatności,
- testy bezpieczeństwa usług dostępnych z Internetu,
- retesty po wdrożeniu zaleceń.
Nie wystarczy napisać, że „Bank prowadzi testy”. Trzeba pokazać, co jest testowane, jak często, z jakim wynikiem i kto odpowiada za działania naprawcze.
5. Jak Bank nadzoruje dostawców ICT?
Strategia musi pokazać, że Bank wie, którzy dostawcy są krytyczni lub istotni z punktu widzenia działania Banku.
Powinna obejmować:
- klasyfikację dostawców,
- powiązanie dostawców z funkcjami krytycznymi lub istotnymi,
- monitorowanie SLA,
- przeglądy umów,
- audyty lub kontrole dostawców,
- analizę podwykonawców,
- ryzyko koncentracji,
- plany wyjścia,
- raportowanie ryzyka dostawców do Zarządu.
6. Jak Zarząd nadzoruje odporność cyfrową?
Strategia powinna wskazywać, jakie informacje trafiają do Zarządu, jak często i w jakiej formie.
Zarząd powinien otrzymywać informacje o:
- incydentach ICT,
- podatnościach,
- testach odporności,
- dostawcach ICT,
- stanie dokumentacji,
- wynikach przeglądów,
- ryzykach przekraczających akceptowany poziom,
- zaległych działaniach naprawczych,
- potrzebach budżetowych,
- decyzjach wymagających akceptacji Zarządu.
Największy błąd: strategia napisana „obok” Banku
Najgorsze, co można zrobić, to przygotować strategię operacyjnej odporności cyfrowej jako dokument piękny formalnie, ale oderwany od praktyki.
Takie dokumenty zwykle mają kilka problemów:
- opisują model idealny, którego Bank nie stosuje,
- nie odwołują się do aktualnej analizy ryzyka ICT,
- nie wynikają z BIA,
- nie wskazują realnych systemów i dostawców,
- nie mają mierników,
- nie wskazują właścicieli działań,
- nie są powiązane z testami,
- nie zawierają mechanizmu przeglądu,
- nie pokazują raportowania do Zarządu,
- nie zawierają realnych działań naprawczych.
Taka strategia nie buduje odporności. Taka strategia buduje ryzyko nadzorcze.
Co Bank powinien zrobić praktycznie?
Bank powinien podejść do strategii jak do dokumentu spinającego całe środowisko ICT/DORA.
Krok 1. Zebrać dokumenty źródłowe
Przed aktualizacją strategii należy zebrać:
- analizę ryzyka ICT,
- BIA,
- BCP/DRP,
- rejestr systemów ICT,
- rejestr usług ICT,
- rejestr dostawców ICT,
- program testów,
- wyniki testów,
- rejestr incydentów,
- rejestr podatności,
- raporty z audytów,
- przegląd dokumentacji ICT/DORA.
Krok 2. Sprawdzić spójność
Należy sprawdzić, czy te dokumenty mówią to samo.
Przykład: jeżeli BIA wskazuje proces jako krytyczny, to strategia powinna wskazywać, jakie systemy ten proces wspierają, jacy dostawcy są zaangażowani, jakie są wymagania ciągłości, jakie testy są prowadzone i jakie ryzyka są raportowane.
Krok 3. Uzupełnić strategię o mierniki
Strategia powinna zawierać lub odwoływać się do KPI/KRI, np.:
- procent systemów objętych oceną ryzyka ICT,
- procent systemów KLIF objętych testami,
- liczba zaległych podatności krytycznych,
- procent dostawców KLIF objętych przeglądem,
- liczba incydentów ICT,
- liczba zaległych działań naprawczych,
- status przeglądu dokumentacji ICT/DORA.
Krok 4. Przedstawić strategię Zarządowi
Strategia nie powinna być wyłącznie dokumentem technicznym. To dokument zarządczy.
Zarząd powinien wiedzieć:
- jakie są najważniejsze ryzyka ICT,
- jakie działania są zaplanowane,
- jakie środki są potrzebne,
- jakie decyzje należy podjąć,
- jakie obszary wymagają poprawy,
- jakie elementy będą raportowane cyklicznie.
Krok 5. Zapewnić coroczny przegląd
Strategia musi mieć mechanizm przeglądu:
- co najmniej raz w roku,
- po poważnym incydencie ICT,
- po istotnej zmianie systemu lub dostawcy,
- po audycie,
- po testach odporności,
- po zaleceniach nadzorczych.
Pytania, które Bank może skierować do SOZ BPS
W związku z pismem SOZ BPS i koordynacją pytań do KNF warto, aby Bank rozważył przekazanie następujących pytań:
1. Czy strategia operacyjnej odporności cyfrowej musi być odrębnym dokumentem, czy może być częścią szerszej Strategii ICT, pod warunkiem że zawiera wszystkie wymagane elementy DORA?
2. Czy przegląd strategii operacyjnej odporności cyfrowej może być częścią kompleksowego przeglądu ram zarządzania ryzykiem ICT, czy powinien być udokumentowany oddzielnie?
3. Jakie minimalne dowody KNF uznaje za wystarczające do potwierdzenia, że strategia została faktycznie wdrożona i podlega przeglądowi?
4. Czy strategia powinna zawierać szczegółowe KPI/KRI, czy wystarczy odwołanie do katalogu wskaźników i raportu ICT dla Zarządu?
5. Jak KNF ocenia spójność strategii z BIA, analizą ryzyka ICT, programem testów odporności i rejestrem dostawców ICT?
Takie pytania są rzeczowe, niekonfrontacyjne i pomagają uzyskać wspólną interpretację dla banków spółdzielczych.
Pytania i odpowiedzi
Czy Strategia ICT wystarczy do spełnienia wymagań DORA?
Może wystarczyć tylko wtedy, gdy faktycznie zawiera elementy strategii operacyjnej odporności cyfrowej, jest powiązana z ryzykiem ICT, BIA, dostawcami, testami, incydentami i raportowaniem do Zarządu. Jeżeli jest wyłącznie dokumentem rozwoju informatyki, to nie wystarczy.
Czy strategia operacyjnej odporności cyfrowej musi być osobnym dokumentem?
Nie zawsze musi być osobnym dokumentem, ale musi być jednoznacznie identyfikowalna, kompletna i możliwa do przeglądu. W praktyce dla przejrzystości warto przygotować odrębny dokument albo wyraźnie wydzielony rozdział w Strategii ICT.
Czy strategia powinna wynikać z BIA i analizy ryzyka ICT?
Tak. Bez tego strategia jest oderwana od rzeczywistości Banku. BIA pokazuje krytyczność procesów, a analiza ryzyka ICT pokazuje zagrożenia i słabości środowiska. Strategia powinna spinać te informacje w jeden kierunek działania.
Czy strategia powinna być raportowana do Zarządu?
Tak. Strategia operacyjnej odporności cyfrowej dotyczy odpowiedzialności organu zarządzającego. Zarząd powinien zatwierdzać strategię, otrzymywać raporty z jej realizacji i podejmować decyzje w sprawie ryzyk, działań naprawczych i zasobów.
Co jest najważniejsze przy opracowaniu strategii?
Spójność. Strategia musi być zgodna z dokumentacją Banku, praktyką operacyjną, rejestrami, BIA, ryzykiem ICT, testami, dostawcami i raportowaniem. Siła jest w kompleksowości, nie w odrębnych wyspach dokumentacyjnych.
Najważniejszy wniosek dla Banku
Po ocenie KNF ryzyka ICT za 2025 r. Bank nie powinien pytać wyłącznie: „czy mamy Strategię ICT?”.
Bank powinien zapytać:
czy nasza strategia pokazuje realną operacyjną odporność cyfrową Banku?
Czyli:
- czy wynika z BIA,
- czy wynika z analizy ryzyka ICT,
- czy obejmuje dostawców ICT,
- czy uwzględnia testy odporności,
- czy opisuje incydenty i ciągłość działania,
- czy ma mierniki,
- czy jest przeglądana,
- czy jest raportowana Zarządowi,
- czy jest zgodna z realnym środowiskiem Banku.
Jeżeli odpowiedź brzmi „nie” albo „częściowo”, to dokument wymaga uporządkowania.
Strategia ICT to za mało, jeżeli nie pokazuje odporności Banku.
10 wybranych najważniejszych tematów po ocenie KNF ryzyka ICT 2025
Strategia ICT to za mało. KNF pyta o operacyjną odporność cyfrową Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/strategia-ict-to-za-malo-knf-pyta-o-operacyjna-odpornosc-cyfrowa-banku/
Backup jest? To za mało. KNF zapyta, czy Bank potrafi się odtworzyć:
https://premiumbank.zadbajobezpieczenstwo.pl/backup-jest-to-za-malo-knf-zapyta-czy-bank-potrafi-sie-odtworzyc-strategia-ciaglosci-dzialania-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Skan to za mało. KNF zapyta, czy Bank naprawdę testuje odporność ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/skan-podatnosci-to-nie-test-odpornosci-knf-zapyta-czy-bank-naprawde-testuje-ict/Jeden dostawca, wiele systemów, jedno duże ryzyko. KNF pyta o koncentrację ICT:
https://premiumbank.zadbajobezpieczenstwo.pl/jeden-dostawca-wiele-systemow-jedno-duze-ryzyko-knf-pyta-o-koncentracje-ict/Audyt ZDU — czy wiesz, kogo naprawdę powinien kontrolować Bank?:
https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zdu-w-banku-spoldzielczym-jak-kontrolowac-dostawcow-zewnetrznych-zgodnie-z-dora/Zarząd musi wiedzieć. KNF zapyta, kto naprawdę nadzoruje ryzyko ICT w Banku:
https://premiumbank.zadbajobezpieczenstwo.pl/raport-ict-do-zarzadu-knf-pyta-kto-nadzoruje-ryzyko-ict-w-banku/Znalazłeś podatność? KNF zapyta, kiedy ją usunąłeś:
https://premiumbank.zadbajobezpieczenstwo.pl/znalazles-podatnosc-knf-zapyta-kiedy-ja-usunales-zarzadzanie-podatnosciami-ict-po-ocenie-knf-ryzyka-ict-za-2025-r/Masz procedury DORA? KNF zapyta: kiedy ostatnio naprawdę je przeczytałeś?:
https://premiumbank.zadbajobezpieczenstwo.pl/coroczny-przeglad-dokumentacji-ict-dora-w-banku-spoldzielczym-po-ocenie-nadzorczej-knf-ryzyka-ict-za-2025-r/DORA nie zna wymówki: pracownik nie miał czasu na szkolenie:
https://premiumbank.zadbajobezpieczenstwo.pl/szkolenia-ict-dora-po-ocenie-knf-ryzyka-ict-za-2025-r-czy-bank-przeszkolil-wszystkich-czy-tylko-ma-plan-szkolenia/Dokument jest? KNF zapyta o dowód, że działa:
https://premiumbank.zadbajobezpieczenstwo.pl/dokument-jest-knf-zapyta-o-dowod-ze-dziala/
O genezie powstania 10 wybranych tematów można dowiedzieć się więcej :
https://premiumbank.zadbajobezpieczenstwo.pl/10-wybranych-najwazniejszych-zalecen-knf-po-ocenie-ryzyka-ict-2025-praktyczne-podsumowanie-dla-bankow-spoldzielczych/
Servus Comp Kraków — wsparcie dla banków spółdzielczych
Servus Comp Kraków wspiera banki spółdzielcze w opracowaniu, przeglądzie i aktualizacji dokumentacji ICT/DORA, w tym również strategii operacyjnej odporności cyfrowej.
W ramach współpracy pomagamy bankom powiązać strategię z pełnym środowiskiem proceduralnym, w szczególności z:
- analizą ryzyka środowiska ICT Banku,
- analizą procesów BIA,
- BCP/DRP,
- rejestrem systemów i usług ICT,
- rejestrem dostawców ICT,
- dokumentacją incydentową,
- programem testowania odporności cyfrowej,
- przeglądami dokumentacji ICT/DORA,
- raportowaniem do Zarządu,
- pytaniami i uwagami kierowanymi do SOZ BPS.
Wspieramy banki zarówno w ramach stałej współpracy, jak i w formie oddzielnych ofert na opracowanie lub przegląd wymaganej dokumentacji.
Jeżeli Państwa Bank chce opracować strategię operacyjnej odporności cyfrowej, która nie będzie dokumentem oderwanym od rzeczywistości, ale spójnym elementem zarządzania ryzykiem ICT, zapraszamy do kontaktu z Servus Comp Kraków.
Zadzwoń lub napisz do Servus Comp, aby omówić temat.
Strona główna: https://premiumbank.zadbajobezpieczenstwo.pl
Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
#DORA #KNF #RyzykoICT #StrategiaICT #OdpornośćCyfrowa #BankSpółdzielczy #SOZBPS #BIA #Cyberbezpieczeństwo #ServusComp

Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.