Audyt cyberbezpieczeństwa MiCA DORA – kiedy musisz go wykonać?

Audyt cyberbezpieczeństwa MiCA DORA – kiedy musisz go wykonać?

Przygotowując wnioski MiCA, coraz częściej pojawia się pytanie o audyt cyberbezpieczeństwa. Jeszcze w pierwotnej wersji RTS (regulacyjnych standardów technicznych) mowa była o obowiązkowym audycie. W nowej wersji dokumentu sformułowanie jest bardziej miękkie – audyt ma być przedkładany, jeśli ma zastosowanie (ang. „if applicable”). Oznacza to, że nie jest bezwzględnie obligatoryjny. Ale to wcale nie oznacza, że można temat zignorować – szczególnie w kontekście rozporządzenia DORA, które również obejmuje dostawców usług w zakresie kryptoaktywów. Czy audyt jest obowiązkowy? Jeśli tak to kto powinien przeprowadzić audyt w związku z DORA? Dowiedz się więcej na ten temat właśnie w tym artykule. 

MiCA – ramy regulacyjne i obowiązki bezpieczeństwa

Rozporządzenie MiCA tworzy kompleksowe ramy prawne dla rynku kryptoaktywów. Każdy dostawca usług kryptoaktywów (Crypto-Asset Service Provider, CASP) musi uzyskać zezwolenie i spełnić liczne wymogi, m.in. przedstawić procedury i systemy zapewniające bezpieczeństwo informacji, w tym cyberbezpieczeństwo​. Więcej o To oznacza wdrożenie odpowiednich polityk bezpieczeństwa, skutecznych zabezpieczeń technicznych oraz wykwalifikowanego personelu ds. cyberbezpieczeństwa.

MiCA wyróżnia trzy klasy (I, II, III) zależnie od rodzaju usług. Klasa I obejmuje np. doradztwo, zarządzanie portfelem czy wykonywanie zleceń; klasa II dodaje usługi przechowywania (custody) i wymiany kryptoaktywów; klasa III dotyczy podmiotów prowadzących platformy obrotu (giełdy)​.  Więcej na temat m.in. klasyfikacji krypto wedle MiCA przeczytasz w jednym z wcześniejszych wpisów. Wyższa klasa to szerszy zakres działalności i bardziej rygorystyczne wymogi. Niezależnie jednak od klasy każdy CASP musi zadbać o adekwatne zabezpieczenia cyfrowe – nadzorca będzie to weryfikować.

DORA stawia wyższe wymagania i idzie w parze z MiCA

Co więcej – mimo że MiCA i RTS nie nakładają obowiązku wprost, to już DORA wymaga od takich podmiotów wdrożenia procedur minimalizujących ryzyka ICT, w tym właśnie audytów cyberbezpieczeństwa. Z perspektywy naszej kancelarii, która wspiera firmy kryptowalutowe w spełnianiu wymogów prawnych, jedno jest pewne: nawet jeśli audyt nie jest jeszcze formalnym obowiązkiem, to i tak warto go wykonać, szczególnie w przypadku podmiotów planujących działalność w klasie trzeciej (giełdy kryptoaktywów).

Oczekiwania KNF czy organów nadzorczych nie ograniczają się wyłącznie do literalnego brzmienia przepisów. Giełda kryptowalut powinna być przygotowana na testy penetracyjne, ocenę zabezpieczeń infrastruktury IT oraz zgodność z procedurami opartymi na ryzyku. W praktyce wygląda to jak symulacja ataku hakerskiego – audytorzy próbują przełamać zabezpieczenia Twojej organizacji. Jeśli prowadzisz kantor kryptowalutowy i planujesz działać w klasie pierwszej lub drugiej – prawdopodobnie audyt nie będzie wymagany. Ale jeśli zamierzasz prowadzić giełdę lub planujesz ekspansję na inne rynki – bez audytu się nie obejdzie.

Możemy przeprowadzić Cię przez cały proces audytu cyberbezpieczeństw

Jako kancelaria specjalizująca się w obsłudze podmiotów z branży kryptoaktywów pomagamy nie tylko w przygotowaniu dokumentacji do MiCA i DORA, ale też koordynujemy cały proces audytu cyberbezpieczeństwa – we współpracy z certyfikowaną firmą informatyczną. W praktyce firma weryfikuje np. czy logowanie do wewnętrznych sieci odbywa się wyłącznie za pomocą sprzętu, który został certyfikowany przez administratora, czy firma posiada odpowiednie polityki bezpieczeństwa, czy dostęp do infrastruktury jest właściwie zarządzany. To detale, które mogą zaważyć na decyzji nadzoru lub przedłużyć rejestrację nawet o kilka miesięcy.

Nie zwlekaj z decyzją i przeprowadź audyt DORA, jeśli jest wymagany

Nie warto ryzykować. Jeśli planujesz rozpocząć działalność w ramach MiCA – warto zadbać o aspekt techniczny już teraz. Nawet jeśli dziś nikt Ci tego formalnie nie nakaże, jutro może być już za późno. Wkrótce opublikujemy więcej materiałów na temat audytów, a także zorganizujemy webinar, podczas którego wspólnie z firmą technologiczną opowiemy, jak wygląda ten proces krok po kroku. Masz pytania? Skontaktuj się z nami – doradzimy, przygotujemy dokumentację i pomożemy przejść cały proces zgodnie z przepisami.