20 maj 2025

Cyberbezpieczeństwo i zarządzanie ryzykiem ICT w bankach spółdzielczych – zgodność z DORA i RTS

CYBERBEZPIECZEŃSTWO I ZARZĄDZANIE RYZKIEM ICT W BANKACH SPÓŁDZIELCZYCH ZGODNOŚC DORA I RTS
CYBERBEZPIECZEŃSTWO I ZARZĄDZANIE RYZKIEM ICT W BANKACH SPÓŁDZIELCZYCH ZGODNOŚC DORA I RTS

 

Zarządzanie ryzykiem ICT oraz zapewnienie odporności cyfrowej to obecnie nie tylko dobra praktyka, ale też obowiązek wynikający z rozporządzenia DORA (Digital Operational Resilience Act). Obowiązki te dotyczą również banków spółdzielczych, które – niezależnie od swojej wielkości – muszą działać zgodnie z wymogami UE, KNF, EBA oraz Regulatory Technical Standards (RTS).

Co znajdziesz w tym artykule?

Dowiesz się:

  • jak przeprowadzić mapowanie i ocenę ryzyk ICT zgodnie z DORA,

  • jak wdrożyć strategię odporności cyfrowej w banku spółdzielczym,

  • jak określić role i odpowiedzialności za ICT w strukturze organizacyjnej,

  • jak prowadzić i aktualizować rejestr incydentów ICT.

Mapowanie i ocena ryzyk ICT w banku spółdzielczym

Co mówi DORA o zarządzaniu ryzykiem ICT?

Zgodnie z art. 5–9 rozporządzenia DORA, każdy bank – również spółdzielczy – musi posiadać wdrożony, aktualny i regularnie przeglądany system zarządzania ryzykiem ICT.

Kluczowe kroki:

  1. Identyfikacja zasobów ICT (systemy, infrastruktura, dane, aplikacje).

  2. Ocena i klasyfikacja ryzyk ICT (poufność, dostępność, integralność).

  3. Analiza wpływu na działalność (BIA) – które procesy krytyczne?

  4. Ocena ryzyk metodą macierzy (prawdopodobieństwo × wpływ).

  5. Określenie poziomu tolerancji na ryzyko (np. wskaźniki KRI, KPI).

Ważne: zgodnie z RTS i normą ISO 27005, ryzyka ICT należy przeglądać minimum raz w roku lub po każdej istotnej zmianie technicznej lub organizacyjnej.

Strategia odporności cyfrowej w praktyce

Co powinna zawierać strategia odporności zgodna z DORA?

Zgodnie z art. 10–13 DORA, każda instytucja finansowa powinna wdrożyć strategię odporności cyfrowej, która obejmuje:

  • polityki i procedury ICT zatwierdzone przez zarząd,

  • plany ciągłości działania (BCP) i odtworzenia po awarii (DRP),

  • określone parametry RTO (maksymalny czas odtworzenia) i RPO (maksymalna dopuszczalna utrata danych),

  • procedury wykrywania, rejestrowania i reagowania na incydenty ICT,

  • regularne testy odporności technicznej i organizacyjnej.

Rekomendacja: bank powinien posiadać komplet dokumentów ICT gotowy do okazania KNF, audytorowi zewnętrznemu lub SSOZ, w tym polityki, rejestry, harmonogramy testów i raporty z wdrożeń.

Role i odpowiedzialności za ICT w strukturze banku

Trzy linie obrony w zarządzaniu ICT

W strukturze zarządzania ryzykiem ICT należy zastosować model trzech linii obrony:

I linia – Kierownik IT, administratorzy
Zakres: operacyjne zarządzanie ICT, backupy, aktualizacje, monitoring.

II linia – ABI, CSO, compliance
Zakres: opracowywanie polityk, nadzór nad zgodnością z DORA, RTS, EBA.

III linia – Audyt wewnętrzny, SSOZ
Zakres: niezależna kontrola skuteczności zarządzania ryzykiem ICT.

W mniejszych bankach możliwe jest łączenie funkcji – ważne jednak, aby każda rola była formalnie przypisana i zatwierdzona przez zarząd.

Rejestr incydentów ICT – obowiązek zgodny z DORA

Co powinien zawierać rejestr incydentów ICT?

Zgodnie z art. 17–20 DORA, banki zobowiązane do prowadzenia aktualnego i szczegółowego rejestru incydentów ICT, zawierającego:

  • datę i godzinę zdarzenia,

  • opis objętych systemów,

  • klasyfikację incydentu (np. naruszenie dostępności, poufności),

  • wpływ na działalność banku,

  • parametry RTO i RPO,

  • działania naprawcze i prewencyjne.

Dobra praktyka: rejestr incydentów powinien być prowadzony w systemie elektronicznym (np. ticketowym), zabezpieczony i dostępny tylko dla osób uprawnionych. Powinien być też gotowy do okazania podczas audytów zewnętrznych lub kontroli SSOZ.

Masz trudności z wdrożeniem DORA? Pomożemy!

Jeżeli Twój bank spółdzielczy napotyka trudności z wdrożeniem strategii cyberbezpieczeństwa, zarządzaniem ryzykiem ICT lub dokumentacją zgodną z DORA – skontaktuj się z nami.

Zespół Servus Comp Kraków wspiera banki spółdzielcze w:

  • opracowaniu i wdrożeniu pełnych polityk i procedur ICT,

  • przygotowaniu rejestrów, planów BCP/DRP, testów odporności,

  • audytach zgodności z DORA, RTS, EBA oraz wymogami SSOZ.

Zapraszamy do kontaktu – wspieramy banki spółdzielcze w każdym etapie wdrażania DORA.

Zapraszamy Państwa do zapoznania się z naszą ofertą:

PLATFORMA KRÓTKICH SZKOLEŃ  – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zgodnosci-z-dora-jak-uzyskac-pelny-obraz-bezpieczenstwa-ict-banku-spoldzielczego/

ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/analiza-umow-outsourcingowych-wazny-element-cyberbezpieczenstwa-w-srodowisku-ict-banku-spoldzielczego/

NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?

https://premiumbank.zadbajobezpieczenstwo.pl/nowa-era-audytow-bezpieczenstwa-informacji-w-bankach-spoldzielczych-dlaczego-warto-dzialac-juz-teraz/

https://premiumbank.zadbajobezpieczenstwo.pl

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz