Czym jest i jak uzyskać zgodność z wymogami DORA (Digital Operational Resilience Act)?
Data publikacji: 09.03.2023
Szukając w Internecie nowego rozporządzenia UE w sprawie wzmocnienia cyberbezpieczeństwa podmiotów finansowych i ich zewnętrznych dostawców IT, zwanego Digital Operational Resilience Act (w skrócie DORA), z pewnością natkniesz się na Dorę Odkrywcę – popularną bajkę dla dzieci. Wbrew pozorom, istnieje pewien ukryty związek między tymi dwoma terminami, gdyż rozporządzenie DORA może pomóc w zbadaniu skutecznych i wydajnych sposobów na uodpornienie się na cyberzagrożenia. Dlatego tak ważne jest, abyś już teraz wyruszył/a w przygodę osiągnięcia zgodności z wymaganiami DORA.
Czym jest DORA?
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA) dotyczy podstawowego problemu w ekosystemie finansowym UE, jakim jest zachowanie odporności przez sektor finansowy podczas poważnych zakłóceń operacyjnych.
W erze cyfrowej złożone systemy informatyczne stały się bijącym sercem naszych gospodarek. Nieodłączne zagrożenia bezpieczeństwa cybernetycznego wprowadzane przez technologie cyfrowe są wzmacniane przez rosnącą cyfryzację i łączność, co sprawia, że społeczeństwo i system finansowy są coraz bardziej podatne na cyberzagrożenia oraz awarie IT. Przed wejściem w życie rozporządzenia DORA instytucje finansowe skupiały się przede wszystkim na zarządzaniu istotnymi kategoriami ryzyka operacyjnego, ale potrzebowały do tego pełnej kontroli nad wszystkimi aspektami odporności operacyjnej. Teraz będą musiały w większym stopniu uwzględnić i integrować odporność cybernetyczną jako nieodłączny aspekt swojego środowiska operacyjnego.
Komunikat prasowy Rady Europejskiej zawiera obszerne oświadczenie na temat celu wydania wspomnianego rozporządzenia:
DORA ustala jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych firm i organizacji działających w sektorze finansowym, a także krytycznych podmiotów trzecich, które świadczą na ich rzecz usługi związane z technologiami ICT (Information Communication Technologies), takie jak platformy chmurowe czy usługi analizy danych. DORA tworzy ramy regulacyjne dotyczące cyfrowej odporności operacyjnej, zgodnie z którymi wszystkie te firmy muszą upewnić się, że są w stanie wytrzymać, zareagować i odzyskać zdolność do działania po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z ICT. Wymogi te są jednolite we wszystkich państwach członkowskich UE. Głównym ich celem jest zapobieganie zagrożeniom cybernetycznym i łagodzenie ich skutków.
Rada Europejska opublikowała powyższy komunikat prasowy 28 listopada 2022 r., czyli w tym samym dniu kiedy wydała właściwe rozporządzenie DORA.
Na kogo wpływa rozporządzenie DORA?
Zgodnie z art. 2 rozporządzenia, DORA dotyczy podmiotów finansowych, w tym banków, firm ubezpieczeniowych, firm inwestycyjnych i dostawców usług kryptograficznych. Rozporządzenie obejmuje również kluczowe strony trzecie oferujące spółkom finansowym m.in. usługi IT oraz usługi związane z cyberbezpieczeństwem.
Ponieważ DORA jest rozporządzeniem, a nie dyrektywą, musi być wykonana i bezpośrednio stosowana we wszystkich państwach członkowskich UE.
Kolejnym istotnym aspektem jest to, że DORA uzupełnia dyrektywę w sprawie bezpieczeństwa sieci i informacji (NIS2), która określa wymagania dotyczące cyberbezpieczeństwa dla ochrony infrastruktury krytycznej, w tym sektora finansowego. DORA opiera się na dyrektywie NIS2 i rozwiązuje możliwe nakładanie się przepisów poprzez wyłączenie „lex specialis”.
W jakim stopniu DORA związana jest z RODO?
DORA to głównie rozporządzenie w sprawie cyberbezpieczeństwa, jednak zgodność z jego wymaganiami jest dużym krokiem naprzód w ochronie prywatności wrażliwych danych osobowych, takich jak dane finansowe, nakazanej przez RODO. Zresztą niemal powszechnie przyjmuje się, że prywatność i cyberbezpieczeństwo wiążą się z tymi samymi zagrożeniami – atakujący, którzy są zdeterminowani, aby włamać się do systemów bankowych (naruszenie cyberbezpieczeństwa) narażają jednocześnie na szwank dane osobowe i finansowe (naruszenie prywatności) atakowanego podmiotu.
Jednocześnie RODO stanowi, że wszystkie objęte nim podmioty, w tym finansowe, muszą ustanowić i wdrożyć wystarczające kontrole bezpieczeństwa cybernetycznego, aby chronić prywatność danych swoich klientów. Tym samym DORA może stać się doskonałym narzędziem dla organizacji finansowych do spełnienia wymogów RODO.
Jaki jest harmonogram zgodności DORA?
Zgodnie z art. 64 rozporządzenie weszło w życie 17 stycznia 2023 r. i „stosuje się od dnia 17 stycznia 2025 r.”.
Należy również zauważyć, że art. 58 stanowi, że do dnia 17 stycznia 2026 r. Komisja Europejska dokona przeglądu „właściwości zaostrzonych wymogów dla biegłych rewidentów i firm audytorskich w zakresie cyfrowej odporności operacyjnej”.
Jakie są kolejne kroki?
Każde państwo członkowskie UE dokona transpozycji „wymaganych” aspektów rozporządzenia do prawa krajowego. Odpowiednie Europejskie Urzędy Nadzoru (ESA), w tym Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), opracują standardy techniczne, których będą przestrzegać wszystkie instytucje świadczące usługi finansowe. Odpowiednie właściwe organy krajowe będę zobowiązane do nadzorowania przestrzegania rozporządzenia i, w stosownych przypadkach, będą egzekwować jego przestrzeganie.
Co DORA oznacza dla operacji finansowych UE?
Ustawa określa standardy, normy i wytyczne, którymi powinny kierować się organizacje finansowe w zarządzaniu ryzykiem informatycznym i cybernetycznym. Podkreśla wagę, jaką organy regulacyjne UE przywiązują do sprawozdawczości, komunikacji i ocen, które muszą odbywać się często i są możliwe dzięki znormalizowanym formatom.
Wiele obowiązków określonych w rozporządzeniu DORA, takich jak te dotyczące zarządzania ryzykiem ICT, jest również uwzględnionych w aktualnych standardach sektora finansowego, takich jak wytyczne EBA MaRisk, które są już znane organizacjom finansowym. Jednak w innych przypadkach, takich jak monitorowanie i nadzór nad dostawcami usług ICT lub audyt systemów ICT, obowiązki DORA wykraczają poza to, co jest obecnie obowiązujące.
Zgodność z DORA jest podzielona na pięć filarów obejmujących różne aspekty IT i bezpieczeństwa cybernetycznego, dając pomiotom finansowym gruntowną podstawę dla budowania odporności cyfrowej.
- Zarządzanie ryzykiem ICT: wewnętrzne procesy zarządzania i kontroli zapewniają skuteczne i rozsądne zarządzanie ryzykiem ICT.
- Zarządzanie, klasyfikacja i raportowanie incydentów związanych z ICT: wykrywanie, zarządzanie i ostrzeganie o incydentach związanych z ICT poprzez zdefiniowanie, ustanowienie i wdrożenie procesu reagowania na incydenty związane z cyberbezpieczeństwem i zarządzania nimi.
- Cyfrowe testy odporności operacyjnej: oceń gotowość do zarządzania incydentami związanymi z cyberbezpieczeństwem, wykrywaj wady, niedociągnięcia i luki w cyfrowej odporności operacyjnej oraz szybko wdrażaj środki naprawcze.
- Zarządzanie ryzykiem stron trzecich ICT: jest to integralny element ryzyka cyberbezpieczeństwa w ramach zarządzania ryzykiem ICT.
- Udostępnianie informacji: wymieniaj informacje i dane wywiadowcze dotyczące zagrożeń cybernetycznych, w tym wskaźniki narażenia na ataki, taktyki, techniki i procedury (TTP) oraz alerty bezpieczeństwa cybernetycznego, aby zwiększyć odporność podmiotów finansowych.
Jak przygotować się do zgodności z DORA?
Chociaż opracowanie standardów technicznych może zająć trochę czasu, podmioty finansowe nie muszą bezczynnie czekać. Organizacje powinny ocenić i określić działania, które mogą podjąć, aby przygotować się do przyjęcia nowych zasad.
Poniższe zalecenia są dobrym punktem wyjścia:
- Zarządzanie ryzykiem ICT: ocena obecnych technik zarządzania i zarządzania ryzykiem. Ponadto rozważ zwiększenie funduszy na programy wspomagające wykrywanie zagrożeń i incydentów oraz wzmocnienie inicjatyw szkoleniowych w zakresie świadomości cyberbezpieczeństwa w całym przedsiębiorstwie.
- Zgłaszanie incydentów: oceń dojrzałość zarządzania incydentami i raportowania, aby zrozumieć obecne możliwości i ocenić znajomość różnych standardów zgłaszania incydentów związanych z cyberbezpieczeństwem, odpowiednich dla branży usług finansowych. Powinno się także sprawdzić zdolność rozpoznawania sytuacji grożących atakiem.
- Świadomość na poziomie zarządu: ważne jest, aby wcześnie włączyć członków zarządu do rozmów dotyczących zgodności. Jeśli zrozumieją, dlaczego potrzebna jest zmiana procesu i jak planujesz ją wdrożyć, masz większe szanse na uzyskanie ich akceptacji.
- Testy odporności: rozpoznaj talenty potrzebne do zaprojektowania i przeprowadzenia testów odporności, w tym sesji szkoleniowych dla członków zarządu na temat stosowanych technik i ich wpływu na naprawę.
- Zarządzanie ryzykiem stron trzecich: aby pomóc w stworzeniu planu ograniczania ryzyka, skoncentruj się na ulepszaniu mapowania umów i ocenie słabych punktów stron trzecich. Rozpoznaj usługi, które są niezbędne do realizacji podstawowych procesów biznesowych. Sprawdź, czy wdrożono architekturę odporną na awarie, aby zmniejszyć wpływ krytycznych zakłóceń funkcjonowania dostawcy.
Twoim zaufanym partnerem w spełnianiu wymagań zgodności z DORA może stać się firma Fortra. Producent ten dostarcza rozwiązania do ochrony infrastruktury, które mogą pomóc w zbudowaniu odpornej postawy bezpieczeństwa każdego elementu Twojej organizacji. Dzięki rozwiązaniom obejmującym: szkolenia w zakresie świadomości bezpieczeństwa, ochronę przed phishingiem i oprogramowaniem ransomware, a także kontrolowane wykrywanie i reagowanie na zagrożenia, możesz wyprzedzić cyberprzestępców, a ponadto dostosować się do aktualnych przepisów oraz przygotować się do przyszłych wymagań prawnych, w tym do rozporządzania DORA.
Kliknij tutaj, aby dowiedzieć się więcej o rozwiązaniach Fortra.
Źródło: https://www.fortra.com/blog/what-dora-and-how-can-you-achieve-compliance