Wprowadzenie do problemu / definicja
Brytyjski regulator rynku finansowego Financial Conduct Authority sfinalizował nowe zasady raportowania incydentów operacyjnych oraz materialnych relacji z podmiotami trzecimi. Z perspektywy cyberbezpieczeństwa oznacza to istotne wzmocnienie nadzoru nad awariami IT, incydentami bezpieczeństwa, zakłóceniami usług oraz ryzykami wynikającymi z zależności od dostawców zewnętrznych.
Nowe wymagania mają zwiększyć jakość i porównywalność danych przekazywanych regulatorowi, a także ułatwić szybsze identyfikowanie zdarzeń, które mogą wpływać na stabilność usług finansowych. W praktyce chodzi o przejście od rozproszonych i niejednolitych obowiązków notyfikacyjnych do bardziej formalnego modelu oceny oraz raportowania incydentów.
W skrócie
FCA opublikowała dokument PS26/2 18 marca 2026 r., finalizując wymagania dotyczące raportowania incydentów operacyjnych i materialnych uzgodnień z podmiotami trzecimi. Nowy reżim ma wejść w życie 18 marca 2027 r.
- wprowadzono formalną definicję incydentu operacyjnego,
- określono progi raportowania zdarzeń istotnych,
- ustanowiono ustandaryzowany proces pojedynczego zgłoszenia,
- nałożono obowiązek utrzymywania i corocznego przekazywania rejestru materialnych relacji z dostawcami,
- rozszerzono nadzorczą widoczność ryzyk koncentracji w łańcuchu dostaw usług finansowych.
Kontekst / historia
Zmiana wpisuje się w szerszy trend wzmacniania odporności operacyjnej sektora finansowego w Wielkiej Brytanii. Instytucje finansowe od lat zwiększają wykorzystanie usług zewnętrznych, w tym chmury, outsourcingu IT, usług płatniczych, integracji danych oraz rozwiązań opartych na automatyzacji i AI. Taka transformacja poprawia efektywność, ale równocześnie zwiększa skalę zależności od podmiotów trzecich.
W ostatnich latach FCA, Prudential Regulation Authority i Bank Anglii rozwijały wspólne podejście do nadzoru nad odpornością operacyjną. Istotnym etapem były również regulacje dotyczące krytycznych podmiotów trzecich wdrażane w 2024 r. Konsultacje dotyczące nowego modelu raportowania rozpoczęły się 13 grudnia 2024 r., zakończyły 13 marca 2025 r., a finalne stanowisko opublikowano 18 marca 2026 r.
Analiza techniczna
Najważniejszą zmianą jest formalizacja procesu klasyfikacji i raportowania incydentów. FCA definiuje incydent operacyjny w sposób, który ma ograniczyć dotychczasowe różnice interpretacyjne między podmiotami nadzorowanymi. W praktyce obejmuje to nie tylko klasyczne awarie infrastruktury, ale także incydenty cybernetyczne, problemy z danymi, błędy aplikacyjne, niedostępność usług oraz zakłócenia wynikające z działań lub awarii dostawców.
Duże znaczenie mają także progi raportowania. Instytucje nie będą zgłaszały każdego zdarzenia technicznego, ale tylko takie incydenty, które spełniają kryteria istotności z punktu widzenia klientów, usług, rynku albo odporności organizacji. To wymusza wdrożenie lepszych mechanizmów oceny wpływu biznesowego oraz szybszej kwalifikacji zdarzeń.
FCA wprowadza również ustandaryzowany model pojedynczego zgłoszenia. Dla zespołów SOC, IR, compliance i ryzyka operacyjnego oznacza to konieczność lepszego zsynchronizowania procesów, aby informacje przekazywane regulatorowi były kompletne, spójne i terminowe. W praktyce rośnie znaczenie wspólnego workflow między bezpieczeństwem, operacjami i funkcją regulacyjną.
Drugim filarem regulacji jest raportowanie materialnych relacji z podmiotami trzecimi. Firmy będą musiały zgłaszać nowe lub istotnie zmienione uzgodnienia, a także utrzymywać rejestr takich relacji i przekazywać go corocznie regulatorowi. To przesuwa punkt ciężkości z reaktywnego zgłaszania problemów na ciągłe zarządzanie zależnościami oraz ekspozycją na ryzyko dostawców.
Zakres nowych wymagań jest szeroki. W obszarze incydentów obejmuje on m.in. firmy posiadające uprawnienia Part 4A, dostawców usług płatniczych, uznane giełdy inwestycyjne oraz wybrane podmioty infrastrukturalne. W zakresie relacji z podmiotami trzecimi regulacja koncentruje się przede wszystkim na większych i bardziej systemowo istotnych instytucjach finansowych.
Konsekwencje / ryzyko
Dla sektora finansowego nowe zasady oznaczają wzrost wymagań wobec procesów bezpieczeństwa, zarządzania incydentami i nadzoru nad dostawcami. Największym wyzwaniem może okazać się nie samo sporządzenie zgłoszenia, ale szybkie ustalenie, czy dane zdarzenie przekracza próg istotności, jaki jest jego rzeczywisty wpływ oraz czy źródło problemu leży wewnątrz organizacji czy po stronie partnera zewnętrznego.
Regulacja może ujawnić kilka słabości typowych dla dużych instytucji:
- brak pełnej inwentaryzacji krytycznych zależności od stron trzecich,
- ograniczoną widoczność telemetryczną w środowiskach dostawców,
- niespójne procesy eskalacji między bezpieczeństwem, operacjami i compliance,
- niewystarczające zapisy umowne dotyczące notyfikacji i współpracy przy incydentach.
Istotne pozostaje również ryzyko koncentracji. o ile wiele instytucji korzysta z tych samych dostawców technologicznych, pojedyncza awaria albo cyberatak może wywołać zakłócenia wielopodmiotowe, a choćby sektorowe. Dlatego nowe podejście regulatora wzmacnia nie tylko nadzór nad pojedynczymi incydentami, ale też nad strukturą zależności w całym ekosystemie finansowym.
Rekomendacje
Okres do 18 marca 2027 r. organizacje powinny wykorzystać na dostosowanie praktyk operacyjnych, a nie wyłącznie na aktualizację polityk i dokumentacji. najważniejsze będzie połączenie wymagań regulacyjnych z codziennym funkcjonowaniem zespołów technicznych i bezpieczeństwa.
- zaktualizować taksonomię incydentów i powiązać ją z kryteriami regulacyjnymi,
- wdrożyć zintegrowany proces oceny istotności zdarzeń,
- przygotować szablony zgłoszeń oraz jasne role decyzyjne,
- uporządkować rejestr materialnych relacji z podmiotami trzecimi,
- przetestować scenariusze obejmujące awarie chmury, cyberatak na dostawcę SaaS i kompromitację partnera zewnętrznego,
- zweryfikować umowy z dostawcami pod kątem terminów notyfikacji, prawa do audytu, dostępu do logów i wsparcia forensycznego.
Szczególnie ważne będzie prowadzenie ćwiczeń tabletop, które pozwolą sprawdzić nie tylko gotowość zespołów reagowania, ale również zdolność do terminowego raportowania regulatorowi. Bez tego choćby dojrzałe środowisko bezpieczeństwa może mieć trudności z realizacją nowych obowiązków.
Podsumowanie
Finalizacja zasad FCA dotyczących raportowania incydentów operacyjnych i materialnych relacji z podmiotami trzecimi stanowi istotny krok w kierunku bardziej mierzalnej i egzekwowalnej odporności operacyjnej sektora finansowego. Z punktu widzenia cyberbezpieczeństwa oznacza to większą standaryzację klasyfikacji incydentów, lepszą widoczność ryzyk w łańcuchu dostaw oraz rosnącą presję na integrację funkcji bezpieczeństwa, operacji i zgodności.
Dla instytucji finansowych najważniejsze będzie zbudowanie realnej umiejętności szybkiego rozpoznawania, oceny i raportowania incydentów, zwłaszcza tych związanych z usługami świadczonymi przez podmioty trzecie. W praktyce nowe przepisy mogą stać się impulsem do poprawy zarządzania zależnościami technologicznymi i dojrzałości operacyjnej całego sektora.
Źródła
- FCA – PS26/2: Operational incident and third party reporting
- FCA – CP24/28: Operational Incident and Third Party Reporting
- FCA – PS24/16: Operational resilience: Critical third parties to the UK financial sector
- Bank of England – Operational resilience: operational incident and outsourcing and third-party reporting for FMIs
- RPC – FCA consults on new reporting obligations for incidents and third party arrangements
