21 maj 2025

Rola ABI, IOD i ASI w banku spółdzielczym – kto za co odpowiada?

ROLA ABI, ASI, IOD W BANKU SPÓŁDZIELCZYM- KTO ZA CO ODPOWIADA
ROLA ABI, ASI, IOD W BANKU SPÓŁDZIELCZYM- KTO ZA CO ODPOWIADA

Wymogi określone w rozporządzeniu DORA (Rozporządzenie o Cyfrowej Odporności Operacyjnej) oraz zalecenia Komisji Nadzoru Finansowego (KNF), Europejskiego Urzędu Nadzoru Bankowego (EUNB) i Systemu Standaryzacji Obsługi Zrzeszonych (SSOZ) stawiają przed bankami spółdzielczymi jasne wymagania:
trzeba formalnie rozdzielić odpowiedzialności za bezpieczeństwo informacji i systemów informatycznych.

W tym artykule wyjaśniamy:

  • jak odróżnić obowiązki ABI, IOD i ASI,

  • jak zastosować model trzech linii odpowiedzialności w banku,

  • dlaczego warto regularnie szkolić zarząd i pracowników z podstaw bezpieczeństwa ICT.

ABI, IOD i ASI – kto za co odpowiada?

Administrator Bezpieczeństwa Informacji (ABI)

  • odpowiada za wdrożenie i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji (SZBI),

  • tworzy i aktualizuje polityki bezpieczeństwa, ocenia ryzyka ICT, zarządza incydentami,

  • przygotowuje dokumentację zgodną z wymaganiami DORA i RTS,

  • raportuje bezpośrednio do zarządu.

Inspektor Ochrony Danych (IOD)

  • nadzoruje zgodność przetwarzania danych osobowych z przepisami Rozporządzenia o Ochronie Danych Osobowych (RODO),

  • opiniuje procedury, prowadzi rejestr czynności przetwarzania,

  • nie odpowiada za zarządzanie ryzykiem ICTto rola ABI,

  • nie powinien pełnić równocześnie funkcji ABI (ryzyko konfliktu interesów).

Administrator Systemów Informatycznych (ASI)

  • zajmuje się utrzymaniem i zabezpieczeniem systemów informatycznych,

  • wdraża aktualizacje, tworzy kopie zapasowe, zarządza dostępami, monitoruje infrastrukturę,

  • działa zgodnie z procedurami opracowanymi przez ABI i IOD,

  • odpowiada za realizację technicznych aspektów bezpieczeństwa informacji.

W wielu bankach spółdzielczych jedna osoba pełni więcej niż jedną z powyższych funkcji. Niezbędne jest jednak formalne przypisanie ról i zakresów odpowiedzialności oraz ich zatwierdzenie przez zarząd.

Model trzech linii odpowiedzialności – jak działa w banku?

Pierwsza linia – użytkownicy i dział operacyjny (np. ASI, pracownicy oddziałów)

  • wykonują codzienne obowiązki zgodnie z obowiązującymi politykami i procedurami,

  • zgłaszają incydenty, wykonują kopie zapasowe, realizują zalecenia ABI,

  • odpowiadają za bezpieczne korzystanie z systemów i danych.

Druga linia – nadzór i kontrola (ABI, IOD, specjaliści ds. zgodności)

  • tworzy i nadzoruje realizację polityk bezpieczeństwa informacji,

  • prowadzi ocenę ryzyk ICT i rejestr incydentów,

  • szkoli pracowników i prowadzi audyty wewnętrzne,

  • nadzoruje realizację zaleceń oraz testów planów ciągłości działania.

Trzecia linia – audytorzy i instytucje zewnętrzne (audyt wewnętrzny, SSOZ, KNF)

  • przeprowadzają niezależne kontrole dokumentacji i działań banku,

  • oceniają skuteczność wdrożonych zabezpieczeń,

  • wydają zalecenia pokontrolne, które bank musi wdrożyć w określonym terminie.

Wdrożenie modelu trzech linii zwiększa przejrzystość struktury odpowiedzialności oraz pozwala lepiej przygotować się do audytu.

Szkolenia z bezpieczeństwa ICT – obowiązek, nie opcja

Kto powinien być szkolony?

  • Zarząd bankuco najmniej raz w roku, w zakresie nadzoru nad ryzykiem ICT, polityk DORA, roli ABI i IOD,

  • Kierownicy działów i oddziałówznajomość procedur awaryjnych, polityk bezpieczeństwa, BCP i DRP,

  • Wszyscy pracownicy operacyjnibezpieczne korzystanie z systemów bankowych, rozpoznawanie zagrożeń, procedura zgłaszania incydentów.

Co powinno zawierać szkolenie?

  • podstawy bezpiecznego korzystania z poczty, internetu i danych,

  • obowiązki wynikające z polityki bezpieczeństwa informacji,

  • zgłaszanie incydentów i naruszeń bezpieczeństwa,

  • aktualne wymagania wynikające z DORA, RODO, wytycznych KNF i normy ISO 27001.

Szkolenia powinny być dokumentowane (np. testem wiedzy lub potwierdzeniem uczestnictwa) i przechowywane w rejestrze szkoleń.

Potrzebujesz pomocy? Skorzystaj z naszego wsparcia

Zespół Servus Comp Kraków wspiera banki spółdzielcze w:

  • przygotowaniu struktury odpowiedzialności zgodnej z DORA,

  • opracowaniu dokumentów dla ABI, IOD i ASI,

  • prowadzeniu obowiązkowych szkoleń z bezpieczeństwa ICT,

  • przygotowaniu banku do audytu KNF i SSOZ.

Skontaktuj się z nami – zadbaj o czytelny podział ról i pełną zgodność z wymaganiami nadzoru.

Zapraszamy Państwa do zapoznania się z naszą ofertą:

PLATFORMA KRÓTKICH SZKOLEŃ  – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/audyt-zgodnosci-z-dora-jak-uzyskac-pelny-obraz-bezpieczenstwa-ict-banku-spoldzielczego/

ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO

https://premiumbank.zadbajobezpieczenstwo.pl/analiza-umow-outsourcingowych-wazny-element-cyberbezpieczenstwa-w-srodowisku-ict-banku-spoldzielczego/

NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?

https://premiumbank.zadbajobezpieczenstwo.pl/nowa-era-audytow-bezpieczenstwa-informacji-w-bankach-spoldzielczych-dlaczego-warto-dzialac-juz-teraz/

https://premiumbank.zadbajobezpieczenstwo.pl

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz