Czym jest DORA i czego się spodziewać? 

DORA to nowe rozporządzenie o cyfrowej odporności operacyjnej, które wpłynie na dziesiątki tysięcy organizacji świadczących usługi finansowe w UE. W grę wchodzą również zewnętrzni dostawcy technologii informacyjno-komunikacyjnych (ICT). Unia Europejska poprzez swoje działania dąży do stworzenia takiego sektora finansowego, który zapewni klientom dostęp do innowacyjnych produktów finansowych, a jednocześnie zagwarantuje ochronę konsumentów i stabilność finansową. To wszystko sprawia, że praca nad bezpieczeństwem danych w sektorze finansowym jest zadaniem większym niż kiedykolwiek wcześniej. Czego się spodziewać? 

Czym jest DORA? 

Digital Operational Resilience Act (DORA) to ważne rozporządzenie, które obejmuje całą Unię Europejską. Ustala jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT, którzy świadczą usługi ICT. Dotychczasowe regulacje ICT były kierowane wyłącznie do podmiotów finansowych. Praktyka nadzorcza i rynkowa pokazała jednak, że brak bezpośredniego nadzoru nad dostawcami ICT uniemożliwia efektywne zapewnienie cyberbezpieczeństwa w sektorze finansowym.

DORA niesie ze sobą obowiązki dla dostawców kluczowych usług ICT. Od ścisłego zarządzania ryzykiem z dostawcami zewnętrznymi po ciągłe monitorowanie systemów bezpieczeństwa danych i rozkładanie ryzyka związanego z ICT. Ponadto rozporządzenie DORA określa rozbudowane kompetencje nadzorcze, które będą realizowane głównie przez Wiodący Organ Nadzorczy. Wdrożenie DORA to zupełnie nowy poziom wysiłku i zaangażowania wymagany do zachowania zgodności z przepisami.

Oś czasu DORA w skrócie: 

• 28 listopada 2022 r.: Rada Europejska przyjęła DORA 
• 16 stycznia 2023 r.: DORA wchodzi w życie po 24-miesięcznym okresie przygotowawczym 
• 2023 r.: Europejskie Urzędy Nadzoru (ESA) opracują pierwsze standardy techniczne 
• 2024 r.: ESA poinformuje o standardach i przekaże wytyczne zainteresowanym podmiotom finansowym 
• 17 stycznia 2025 r.: Wymogi DORA stają się egzekwowalne 
• 2025 r.: Rozpoczną się testy penetracyjne

Jaki jest cel programu DORA? 

Celem DORA jest wzmocnienie odporności cyfrowej w Unii Europejskiej. Ma na celu ochronę wrażliwych danych dostępnych dla instytucji finansowych i ich dostawców ICT przed złymi ludźmi w cyberświecie. 

DORA tworzy zestaw zasad dla każdego w branży finansowej, mając nadzieję na zharmonizowanie wysiłków na rzecz cyberbezpieczeństwa danych w państwach członkowskich UE, wypełniając luki i naprawiając niespójności w obecnych przepisach UE. 

Jaki jest zakres dyrektywy DORA?

DORA ma zastosowanie do szerokiego zakresu podmiotów finansowych zaangażowanych w system finansowy UE oraz dostawców usług ICT, którzy je wspierają. Tak długo, jak organizacja finansowa działa w jakimkolwiek charakterze na rynku UE, będzie musiała przestrzegać DORA, podobnie jak jej zewnętrzni dostawcy. Dotyczy to nawet firm z siedzibą poza UE. 

Jakich organizacji finansowych dotyczy DORA? 

Wszystkie! Na przykład: 

• banki 
• dostawcy usług płatniczych 
• firmy kryptowalutowe 
• firmy inwestycyjne 
• fundusze emerytalne 
• firmy ubezpieczeniowe 

Zakres DORA wykracza poza instytucje finansowe i obejmuje również zewnętrznych dostawców usług, niezależnie od ich lokalizacji. Dlaczego? Ponieważ logicznie rzecz biorąc, nawet jeśli instytucja finansowa jest w pełni zaangażowana w środki ochrony danych, nie może wpływać na to, co robią jej dostawcy.

Warto zauważyć, że DORA nie ogranicza swoich ram regulacyjnych wyłącznie do podmiotów z siedzibą w UE. Obejmuje również podmioty finansowe spoza UE działające na rynku UE. Oznacza to, że nawet jeśli podmiot finansowy ma siedzibę poza UE, ale działa w jej granicach, nadal podlega przepisom określonym w DORA. 

Jakie są kluczowe cele DORA? 

Przeanalizujmy najważniejsze cele DORA, aby lepiej zrozumieć rozporządzenie. 

 Oto pięć kluczowych filarów DORA: 

1. Zarządzanie ryzykiem ICT 
   
   DORA chce, aby organizacje proaktywnie chroniły wrażliwe dane za pomocą solidnych systemów zarządzania cyberbezpieczeństwem. Podmioty finansowe będą musiały skupić się nie tylko na zapobieganiu, ale także na wykrywaniu, powstrzymywaniu, odzyskiwaniu i naprawianiu. Polityka bezpieczeństwa oparta na ryzyku będzie obowiązkowa. 
   
   Ten przepis DORA podkreśla potrzebę ciągłego monitorowania i kontroli narzędzi bezpieczeństwa ICT. Wymóg ten podkreśla znaczenie przyjęcia zaawansowanych rozwiązań ochrony przed utratą danych (DLP), które oferują zautomatyzowane wykrywanie incydentów i możliwości oceny ryzyka. 
    
   Kolejną kwestią jest koncentracja ryzyka. DORA zabrania organizacjom polegania na jednym dostawcy usług w zakresie krytycznych procesów, preferując szereg dostawców zabezpieczeń. W ten sposób, gdy jeden system lub dostawca zostanie dotknięty, ryzyko dla organizacji finansowej jest rozłożone i zminimalizowane. 
    
2. Zgłaszanie incydentów ICT 
   
   Podmioty finansowe są zobowiązane do zgłaszania właściwym organom poważnych incydentów związanych z ICT i istotnych cyberzagrożeń. Celem jest poprawa przejrzystości i koordynacji w odniesieniu do cyberincydentów. Szybka reakcja to skuteczniejsza reakcja. Oznacza to, że jeśli coś pójdzie nie tak z ich systemami cyfrowymi, muszą natychmiast powiadomić o tym władze. 
   
   Ponadto należy również zgłaszać incydenty, które mają wpływ na dostawców usług ICT, na których polegają organizacje finansowe. W ten sposób wszyscy mogą być świadomi wszelkich potencjalnych zagrożeń, które mogą rozprzestrzeniać się w połączonym ekosystemie finansowym. 
    
3. Testy operacyjnej odporności cyfrowej 
   
   Te coroczne zaawansowane testy zapewniają, że podmioty finansowe są w stanie wytrzymać, reagować i odzyskać sprawność po różnych zakłóceniach i zagrożeniach teleinformatycznych. Dostawcy zewnętrzni będą również musieli współpracować przy okresowych testach penetracyjnych. Wszystkie strony będą następnie musiały wyeliminować wszelkie luki w zabezpieczeniach wykryte przez te testy. 
    
4. Zarządzanie ryzykiem ICT zewnętrznych dostawców usług 
   
   Podmioty finansowe będą odpowiedzialne za zarządzanie i ograniczanie ryzyka stron trzecich. Oznacza to na przykład przeprowadzanie ocen ryzyka dla umów outsourcingowych lub zapewnienie, że umowy z zewnętrznymi dostawcami ICT zawierają wszystkie niezbędne szczegóły dotyczące monitorowania i dostępności, a także wiążące warunki umowne. 
    
5. Udostępnianie informacji
   
   DORA zachęca podmioty i organy finansowe do dzielenia się informacjami i danymi wywiadowczymi na temat cyberzagrożeń i podatności. Dzięki współpracy mogą one lepiej reagować na nowe zagrożenia. Podmioty finansowe będą musiały utworzyć systemy do przeglądu i działania na podstawie udostępnionych informacji. 

Jak organizacje mogą rozpocząć przygotowania do DORA już teraz? 

Chociaż ESA nie opracuje w pełni i nie przekaże standardów technicznych i wymagań DORA do przyszłego roku, istnieją kroki, które instytucje finansowe mogą podjąć, aby zapewnić płynniejszą zgodność z DORA, gdy nadejdzie czas. 

Najważniejszym krokiem będzie ocena luk, podczas której instytucje finansowe mogą odnieść się do innych istniejących przepisów i upewnić się, że są na bieżąco z obecnymi oczekiwaniami dotyczącymi bezpieczeństwa. Zakłada się, że DORA obejmie większość istniejących standardów i zasad, więc jest to podstawowy krok, jaki organizacje mogą podjąć, aby upewnić się, że nie są zbyt daleko w tyle, gdy określone zostaną implikacje DORA. 

Jednym z takich przepisów jest NIS2, dyrektywa UE w sprawie bezpieczeństwa sieci i informacji. Instytucje mogą również dokonać przeglądu swojego systemu zarządzania bezpieczeństwem informacji przy użyciu międzynarodowego standardu ISO 27001. Istotne jest, aby instytucje utrzymywały swoje polityki bezpieczeństwa danych na tyle elastyczne, aby móc wdrożyć wszelkie dodatkowe implikacje, jakie będzie miała DORA. 

Jak Safetica może pomóc w spełnieniu wymogów DORA? 

Korzystanie z solidnego rozwiązania DLP sprawi, że ochrona przed utratą danych będzie łatwiejsza, skuteczniejsza i mniej czasochłonna. Na przykład ręczne monitorowanie i ocena bezpieczeństwa teleinformatycznego byłyby ogromnym przedsięwzięciem, podatnym na niedopatrzenia i opóźnienia. Jednak wykorzystując rozwiązania DLP, na przykład, takie jak Safetica, podmioty finansowe mogą zwiększyć swoje możliwości zarządzania ryzykiem i wyprzedzać pojawiające się zagrożenia w bardziej usprawniony i skuteczny sposób. 

Stosując rozwiązania DLP z funkcjami szybkiego reagowania, podmioty finansowe mogą zwiększyć swoją zdolność do szybkiego identyfikowania i reagowania na potencjalne incydenty bezpieczeństwa. Dzięki alertom w czasie rzeczywistym i zautomatyzowanej ocenie ryzyka, podmioty finansowe mogą podejmować szybkie działania w celu łagodzenia zagrożeń i ochrony wrażliwych danych. Dzięki Safetica i jej politykom DLP możesz mieć pewność, że jesteś gotowy nie tylko na DORA, ale także na zgodność z innymi przepisami, takimi jak RODO, PCI DSS, HIPAA, CMMC i inne. 

Dowiedz się więcej o tym jak Safetica pomaga w utrzymaniu zgodności z przepisami: 

Zgodność z przepisami | Safetica