Samoidentyfikacja banku w UKSC – dlaczego to ważny obowiązek?
Samoidentyfikacja banku w zakresie UKSC to jeden z pierwszych kroków do prawidłowego ustalenia obowiązków wynikających z nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz dyrektywy NIS2.
Bank powinien ustalić, czy na gruncie UKSC posiada status:
- podmiotu kluczowego,
- podmiotu ważnego,
- czy podmiotu finansowego objętego szczególnym zakresem obowiązków wynikających z art. 67k UKSC.
Nie jest to wyłącznie formalna kwalifikacja. Wynik samoidentyfikacji wpływa na dalsze obowiązki banku, w tym obowiązki rejestrowe, organizacyjne, kontaktowe, nadzorcze i dokumentacyjne. Ma również znaczenie przy ustalaniu relacji banku z organem właściwym do spraw cyberbezpieczeństwa, właściwym CSIRT oraz systemem S46.
W praktyce bank powinien nie tylko ustalić swój status, ale także posiadać dokumentację, która pokazuje, na podstawie jakich danych, założeń i kryteriów przyjęto określoną kwalifikację.
Najważniejsze wnioski dla banku
Samoidentyfikacja w UKSC powinna być przeprowadzona w sposób uporządkowany i możliwy do odtworzenia.
Bank powinien zwrócić szczególną uwagę na:
- poprawne ustalenie, czy spełnia kryteria podmiotu kluczowego albo ważnego,
- prawidłowe wykonanie testu wielkości,
- udokumentowanie danych finansowych i poziomu zatrudnienia,
- ocenę przedsiębiorstw partnerskich i powiązanych,
- weryfikację, czy wobec banku występuje decyzja organu albo status podmiotu krytycznego,
- ustalenie relacji pomiędzy UKSC, NIS2 i DORA,
- zachowanie dokumentów potwierdzających wynik samoidentyfikacji.
Dobrze przygotowana dokumentacja ogranicza ryzyko błędnej kwalifikacji i ułatwia bankowi późniejsze wyjaśnienie przyjętego stanowiska podczas kontroli, audytu lub korespondencji z organem.
Czym jest samoidentyfikacja banku w UKSC?
Samoidentyfikacja polega na ustaleniu przez bank, jaki status posiada na gruncie ustawy o krajowym systemie cyberbezpieczeństwa. Jest to proces, w którym bank analizuje swoje dane organizacyjne, finansowe, kadrowe oraz regulacyjne i na tej podstawie określa, czy podlega określonym obowiązkom przewidzianym w UKSC.
W przypadku banków samoidentyfikacja wymaga szczególnej ostrożności, ponieważ sektor finansowy jest jednocześnie objęty rozporządzeniem DORA. Oznacza to, że bank powinien spojrzeć na swoje obowiązki szerzej i ustalić, które wymagania wynikają z UKSC, które z DORA, a które powinny być realizowane w sposób spójny w ramach jednego systemu zarządzania bezpieczeństwem ICT i odpornością operacyjną.
Dobrze przeprowadzona samoidentyfikacja nie powinna kończyć się wyłącznie zaznaczeniem odpowiedzi w ankiecie. Powinna prowadzić do powstania czytelnego dokumentu, który pokazuje wynik oceny oraz sposób jego ustalenia.
Test wielkości UKSC – najczęstsze źródło wątpliwości
Najwięcej pytań w praktyce budzi tzw. test wielkości. To właśnie na tym etapie bank ustala dane, które mogą mieć wpływ na wynik samoidentyfikacji.
Wątpliwości najczęściej dotyczą:
- sposobu liczenia liczby zatrudnionych,
- ustalenia rocznego obrotu,
- ustalenia rocznej sumy bilansowej,
- wyboru właściwych pozycji ze sprawozdania finansowego,
- przeliczenia wartości na euro,
- uwzględniania przedsiębiorstw partnerskich i powiązanych,
- dokumentowania źródeł danych przyjętych do wyliczeń.
W przypadku banków spółdzielczych test wielkości powinien być przeprowadzony szczególnie starannie. Nie wystarczy ogólne stwierdzenie, że bank mieści się w określonej kategorii. Warto wskazać, z jakiego dokumentu pochodzą dane, jakie wartości przyjęto do kalkulacji i kto zatwierdził końcowy wynik.
Jakie dokumenty powinien zachować bank po samoidentyfikacji UKSC?
Bank powinien zachować dokumentację, która pozwala odtworzyć sposób przeprowadzenia samoidentyfikacji oraz uzasadnić przyjęty wynik.
W szczególności warto zachować:
- zatwierdzone sprawozdanie finansowe,
- dane dotyczące poziomu zatrudnienia,
- rachunek zysków i strat z oznaczeniem pozycji przyjętych do wyliczenia rocznego obrotu,
- bilans z oznaczeniem pozycji „aktywa razem”,
- informację o sposobie przeliczenia wartości na euro,
- dane dotyczące przedsiębiorstw partnerskich i powiązanych,
- opis przyjętej metody kalkulacji,
- wypełnioną ankietę samoidentyfikacyjną,
- notatkę lub raport z wynikiem samoidentyfikacji,
- decyzję lub akceptację właściwego organu wewnętrznego banku, jeżeli bank przyjmie taki model zatwierdzania.
Taki zestaw dokumentów może mieć istotne znaczenie w przypadku późniejszych pytań organu, kontroli, audytu wewnętrznego, przeglądu zgodności albo ponownej weryfikacji statusu banku.
Dlaczego sama ankieta samoidentyfikacyjna może nie wystarczyć?
Ankieta samoidentyfikacyjna jest bardzo przydatnym narzędziem, ale sama ankieta nie zawsze pokazuje pełny tok rozumowania. Może wskazywać wynik, ale nie musi wystarczająco wyjaśniać, dlaczego bank przyjął określoną kwalifikację.
Dlatego bank powinien zadbać o to, aby wynik samoidentyfikacji był poparty dokumentacją źródłową i opisem przyjętej metody. W praktyce oznacza to, że bank powinien być w stanie odpowiedzieć na pytania:
- jakie dane zostały wykorzystane,
- z jakich dokumentów pochodzą dane,
- czy uwzględniono przedsiębiorstwa partnerskie i powiązane,
- jak obliczono zatrudnienie, obrót i sumę bilansową,
- kto przeprowadził ocenę,
- kto zaakceptował wynik,
- jakie dalsze obowiązki wynikają z przyjętej kwalifikacji.
Takie podejście jest bezpieczniejsze niż ograniczenie się wyłącznie do zaznaczenia odpowiedzi w formularzu.
UKSC, NIS2 i DORA – jak bank powinien podejść do obowiązków?
Banki działają w szczególnym otoczeniu regulacyjnym. Z jednej strony nowelizacja UKSC wdraża obowiązki wynikające z dyrektywy NIS2. Z drugiej strony banki są objęte rozporządzeniem DORA, które reguluje operacyjną odporność cyfrową sektora finansowego.
Dlatego samoidentyfikacja UKSC powinna być prowadzona z uwzględnieniem DORA. Bank powinien ustalić, które obowiązki wynikają bezpośrednio z UKSC, które z DORA, a które mogą być realizowane w ramach istniejących procesów zarządzania ryzykiem ICT, incydentami, ciągłością działania, testowaniem odporności i nadzorem nad dostawcami ICT.
Takie podejście pozwala uniknąć dwóch problemów:
- pominięcia obowiązków wynikających z UKSC,
- dublowania działań, które bank realizuje już w ramach DORA.
Właściwa samoidentyfikacja pomaga więc nie tylko ustalić status banku, ale również uporządkować dalsze działania organizacyjne, dokumentacyjne i nadzorcze.
Co powinien zawierać raport z samoidentyfikacji banku?
Raport lub notatka z samoidentyfikacji powinny być przygotowane w sposób prosty, czytelny i możliwy do wykorzystania podczas kontroli lub audytu.
Dokument może obejmować:
1. Cel samoidentyfikacji
W tej części warto wskazać, że celem dokumentu jest ustalenie statusu banku na gruncie UKSC oraz określenie dalszych obowiązków wynikających z przyjętej kwalifikacji.
2. Podstawę prawną i regulacyjną
Bank powinien wskazać, że analiza została przeprowadzona z uwzględnieniem UKSC, dyrektywy NIS2 oraz rozporządzenia DORA w zakresie właściwym dla sektora finansowego.
3. Dane wykorzystane do oceny
W raporcie należy wskazać dane finansowe, kadrowe i organizacyjne wykorzystane do przeprowadzenia testu wielkości oraz ustalenia statusu banku.
4. Wynik testu wielkości
Bank powinien opisać sposób ustalenia zatrudnienia, rocznego obrotu, sumy bilansowej oraz ewentualnego uwzględnienia przedsiębiorstw partnerskich i powiązanych.
5. Wynik samoidentyfikacji
Ta część powinna jasno wskazywać, jaki status przyjął bank oraz jakie argumenty przemawiają za takim wynikiem.
6. Dalsze działania
Na końcu warto wskazać dalsze kroki, w tym obowiązki rejestrowe, organizacyjne, kontaktowe, dokumentacyjne oraz działania związane z zapewnieniem spójności UKSC i DORA.
Praktyczne materiały dla banków
Aby ułatwić bankom przeprowadzenie samoidentyfikacji, przygotowaliśmy praktyczne materiały obejmujące:
- ankietę samoidentyfikacyjną banku w zakresie UKSC,
- pomocnicze Q&A dotyczące testu wielkości,
- wskazówki dotyczące dokumentowania danych finansowych i kadrowych,
- schemat ustalania statusu banku,
- rekomendacje dotyczące dokumentów, które warto zachować po zakończeniu oceny.
Materiały pomagają uporządkować:
- logikę samoidentyfikacji banku,
- kryteria podmiotu kluczowego i ważnego,
- znaczenie art. 67k UKSC dla banków objętych DORA,
- sposób liczenia zatrudnienia, obrotu i sumy bilansowej,
- zasady uwzględniania przedsiębiorstw partnerskich i powiązanych,
- dokumentację, którą bank powinien zachować,
- dalsze kroki po ustaleniu statusu banku.
Celem materiałów nie jest wyłącznie wypełnienie ankiety. Ich zadaniem jest przygotowanie banku do wykazania, że samoidentyfikacja została przeprowadzona w sposób rzetelny, uporządkowany i możliwy do odtworzenia.
Co zyskuje bank?
Prawidłowo przeprowadzona samoidentyfikacja UKSC daje bankowi konkretne korzyści organizacyjne i regulacyjne.
Bank zyskuje:
- uporządkowany proces ustalenia statusu,
- czytelny dokument potwierdzający wynik oceny,
- lepsze przygotowanie do obowiązków wynikających z UKSC,
- wsparcie przy ustalaniu danych do testu wielkości,
- ograniczenie ryzyka błędnej kwalifikacji,
- spójność podejścia z DORA,
- dokumentację przydatną podczas kontroli, audytu lub kontaktu z organem,
- jasną podstawę do zaplanowania dalszych działań.
Dla Zarządu, komórek zgodności, ryzyka, bezpieczeństwa informacji, ICT oraz audytu wewnętrznego taka dokumentacja stanowi praktyczne potwierdzenie, że bank podszedł do nowych obowiązków w sposób świadomy i kontrolowany.
Jak rozpocząć samoidentyfikację UKSC w banku?
Najlepiej rozpocząć od zebrania danych źródłowych i ustalenia odpowiedzialności za proces samoidentyfikacji.
Rekomendowany schemat działania obejmuje:
- zebranie danych finansowych i kadrowych,
- ustalenie, czy występują przedsiębiorstwa partnerskie lub powiązane,
- przeprowadzenie testu wielkości,
- analizę kryteriów podmiotu kluczowego i ważnego,
- weryfikację znaczenia art. 67k UKSC dla banku,
- wypełnienie ankiety samoidentyfikacyjnej,
- przygotowanie notatki lub raportu z wynikiem,
- określenie dalszych obowiązków banku,
- zachowanie dokumentacji potwierdzającej wynik.
Takie podejście pozwala uniknąć sytuacji, w której bank zna wynik samoidentyfikacji, ale nie posiada dokumentów pokazujących, w jaki sposób ten wynik został ustalony.
Samoidentyfikacja UKSC w banku – podsumowanie
Samoidentyfikacja banku w UKSC to nie tylko obowiązek formalny. To proces, który pozwala ustalić status banku, określić dalsze obowiązki i uporządkować relację pomiędzy UKSC, NIS2 i DORA.
Największe znaczenie ma prawidłowe wykonanie testu wielkości oraz zachowanie dokumentacji potwierdzającej wynik. Bank powinien być w stanie wykazać, jakie dane przyjął, jak je obliczył i dlaczego uznał, że posiada określony status na gruncie UKSC.
Dobrze udokumentowana samoidentyfikacja ogranicza ryzyko błędnej kwalifikacji i ułatwia dalsze działania regulacyjne, organizacyjne oraz nadzorcze.
Chcesz przeprowadzić samoidentyfikację UKSC w swoim banku?
Skontaktuj się z nami. Przekażemy wzór ankiety samoidentyfikacyjnej oraz pomocnicze Q&A dotyczące ustalania danych do testu wielkości.
Możemy również pomóc w analizie wyniku ankiety, przygotowaniu uzasadnienia przyjętej kwalifikacji oraz wskazaniu dalszych kroków odpowiednich do statusu banku.
Samoidentyfikacja to pierwszy krok do właściwego ustalenia obowiązków banku na gruncie UKSC.
FAQ – samoidentyfikacja banku w UKSC
Czy bank musi przeprowadzić samoidentyfikację w UKSC?
Bank powinien ustalić swój status na gruncie UKSC, w szczególności w kontekście podmiotu kluczowego, podmiotu ważnego albo podmiotu finansowego objętego szczególnymi zasadami wynikającymi z art. 67k UKSC. Samoidentyfikacja pomaga określić dalsze obowiązki banku i udokumentować podstawę przyjętej kwalifikacji.
Czym jest test wielkości UKSC?
Test wielkości polega na ustaleniu danych, które mogą mieć wpływ na kwalifikację podmiotu. W praktyce obejmuje przede wszystkim liczbę zatrudnionych, roczny obrót, roczną sumę bilansową oraz ewentualne uwzględnienie przedsiębiorstw partnerskich i powiązanych.
Jakie dokumenty warto zachować po samoidentyfikacji?
Warto zachować zatwierdzone sprawozdanie finansowe, dane o zatrudnieniu, rachunek zysków i strat, bilans, sposób przeliczenia wartości na euro, informacje o przedsiębiorstwach partnerskich i powiązanych, wypełnioną ankietę samoidentyfikacyjną oraz opis przyjętej metody kalkulacji.
Czy UKSC zastępuje DORA w banku?
Nie. UKSC i DORA są odrębnymi regulacjami, które należy analizować łącznie. DORA dotyczy operacyjnej odporności cyfrowej sektora finansowego, natomiast UKSC wdraża krajowe obowiązki wynikające z NIS2. W przypadku banków istotne jest ustalenie, które obowiązki mają zastosowanie i jak je prawidłowo udokumentować.
Dlaczego sama ankieta samoidentyfikacyjna może nie wystarczyć?
Ankieta wskazuje wynik, ale nie zawsze pokazuje cały sposób jego ustalenia. Dlatego bank powinien zachować dokumentację źródłową i opis metody kalkulacji, aby w razie potrzeby móc odtworzyć tok rozumowania i uzasadnić przyjętą kwalifikację.
Kto powinien uczestniczyć w samoidentyfikacji UKSC w banku?
W procesie powinny uczestniczyć osoby odpowiedzialne za zgodność, ryzyko, bezpieczeństwo informacji, ICT, finanse oraz osoby nadzorujące obszar regulacyjny. Wynik powinien być znany Zarządowi, ponieważ wpływa na dalsze obowiązki organizacyjne i nadzorcze banku.
Zadzwoń lub napisz do Servus Comp, aby omówić temat.
Strona główna: https://premiumbank.zadbajobezpieczenstwo.pl
Servus Comp Data Security, Świętokrzyska 12/403, 30-015 Kraków
tel. +48 608 407 668, +48 12 631 91 22 • biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS
#UKSC #NIS2 #DORA #Cyberbezpieczeństwo #BankSpółdzielczy #SamoidentyfikacjaUKSC #TestWielkości #PodmiotKluczowy #PodmiotWażny #Art67kUKSC #KrajowySystemCyberbezpieczeństwa #OdpornośćOperacyjna #RyzykoICT #Compliance #BezpieczeństwoICT
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.