DORA – to hasło, które od roku wzbudza uzasadnione zainteresowanie, zarówno w branży finansowej, jak i wśród ekspertów ds. cyberbezpieczeństwa. Oznacza ono bowiem nadejście „nowej ery” w zakresie zapewnienia bezpieczeństwa sieci i systemów informatycznych – w pierwszej kolejności adresowane do instytucji finansowych. Skrót DORA oznacza Rozporządzenie w Sprawie Cyfrowej Odporności Operacyjnej (ang. Digital Operational Resilience Act), dotyczące całego obszaru Unii Europejskiej i ustalające jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT. Co więcej, tak długo, jak organizacja finansowa działa w jakimkolwiek charakterze na rynku UE, będzie musiała przestrzegać DORA, podobnie jak jej zewnętrzni dostawcy i dotyczy to także firm z siedzibą poza obszarem Unii. Mówiąc o „organizacjach finansowych” mamy na myśli przede wszystkim banki i firmy ubezpieczeniowe, ale również dostawców usług płatniczych, fundusze emerytalne i inwestycyjne, a nawet firmy kryptowalutowe (i być może jest to jedno z najważniejszych – z punktu widzenia bezpieczeństwa – ogniw całego łańcucha obrotu finansowego w skali globalnej). Łącznie mowa o ponad 22 tysiącach podmiotów (i niezliczonej rzeszy poddostawców produktów i usług dla omawianej grupy).
PIĘĆ FILARÓW DORA:
- Zarządzanie ryzykiem ICT
Proaktywna ochrona wrażliwych danych poprzez solidne systemy zarządzania cyberbezpieczeństwem.Chodzi nie tylko o zapobieganie, ale też o wykrywanie, powstrzymywanie, odzyskiwanie i naprawianie.
Potrzeba ciągłego monitorowania i kontroli narzędzi bezpieczeństwa ICT. Wymóg ten podkreśla znaczenie przyjęcia zaawansowanych rozwiązań ochrony przed utratą danych (DLP), które oferują zautomatyzowane wykrywanie incydentów i możliwości oceny ryzyka.
Dekoncentracja ryzyka. DORA zabrania organizacjom opierania się na pojedynczym dostawcy usług i zabezpieczeń w zakresie krytycznych procesów. W razie sytuacji kryzysowej, ryzyko dla organizacji finansowej zostaje rozłożone i zredukowane do minimum.
- Zgłaszanie incydentów ICT
Zobowiązanie do szybkiego (a więc skuteczniejszego) zgłaszania właściwym organom poważnych incydentów i cyberzagrożeń. Należy też zgłaszać incydenty, które mają wpływ na dostawców usług ICT współpracujących z danymi instytucjami. W ten sposób wszyscy stają się świadomi potencjalnych zagrożeń, mogących rozprzestrzeniać się w całym systemie finansowym.
- Testy operacyjnej odporności cyfrowej
Coroczne testy mają zapewnić, że podmioty finansowe będą w stanie wytrzymać, reagować i odzyskiwać sprawność po wystąpieniu zakłóceń i zagrożeń teleinformatycznych. Konieczna będzie również współpraca z dostawcami zewnętrznymi przy okresowych testach penetracyjnych. Wszystkie strony będą musiały wyeliminować wszelkie luki w zabezpieczeniach wykryte przez te testy.
- Zarządzanie ryzykiem ICT zewnętrznych dostawców usług
Odpowiedzialność za zarządzanie i ograniczanie ryzyka stron trzecich. Oznacza to np. przeprowadzanie ocen ryzyka dla umów outsourcingowych lub zapewnienie, że umowy z zewnętrznymi dostawcami ICT zawierają wszystkie niezbędne szczegóły i wiążące warunki dotyczące monitorowania i dostępności.
- Udostępnianie informacji
DORA zachęca podmioty i organy finansowe do dzielenia się informacjami i danymi na temat cyberzagrożeń i podatności. Dzięki temu będą mogły one lepiej reagować na nowe zagrożenia. Podmioty finansowe będą musiały utworzyć systemy do przeglądu i działania na podstawie udostępnionych informacji.
ZASADA PROPORCJONALNOŚCI
DORA dopuszcza stosowanie zasady proporcjonalności na etapie wdrażania wymogów. Poszczególne podmioty mogą brać pod uwagę wielkość, profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji. Tak więc, mimo że ogólne zalecenia DORA dotyczą wszystkich, mniejsze firmy nie muszą wdrażać dokładnie tych samych rozwiązań co np. duże międzynarodowe banki. Mogą wybrać zabezpieczenia prostsze lub procedury mniej kosztowne, ale dostosowane do ich profilu ryzyka.
DORA wskazuje, że wielkość instytucji nie jest jedynym kryterium, którym należy się kierować przy wyborze rozwiązań. W przypadku kontroli instytucje finansowe będą musiały wykazać przed organem nadzorczym, że przyjęte rozwiązania są adekwatne do ryzyka działalności, rodzaju oferowanych usług, profilu klientów czy skali operacji.
DORA nakłada na organ nadzorczy obowiązek monitorowania sposobu wdrażania zasady proporcjonalności i tego, czy rozwiązania przyjmowane przez poszczególne instytucje są spójne ze sobą, stwarzając szansę na wypracowywanie i przyjmowanie jednolitych branżowych standardów, a jednocześnie pozwalają regulatorowi identyfikować te instytucje, których rozwiązania znacząco odbiegają „średniej rynkowej”.
KALENDARZ
28.11.2022: Rada Europejska przyjęła DORA
16.01.2023: Decyzja o wejściu DORA w życie po 24-miesięcznym okresie przygotowawczym
2023: Europejski Urzędy Nadzoru (ESA) opracowują pierwsze standardy techniczne
17.01.2024: ESA opublikowały pierwszy zestaw ostatecznych projektów standardów technicznych na mocy rozporządzenia o cyfrowej odporności operacyjnej (DORA).
17.01. 2025: Wymogi DORA stają się egzekwowalne
2025: Początek testów penetracyjnych
IBM, jako czołowy dostawca całej gamy rozwiązań w zakresie cybersecurity proponuje swym klientom konkretną kolejność działań w celu prawidłowego zrozumienia i wdrożenia rozporządzenia DORA, oferując szereg usług pomagających podmiotom finansowym w określeniu ilościowego ryzyka oraz zastosowaniu procedur nadzoru i kontroli. Rozwiązania programowe IBM skracają czas automatyzacji odkrywania danych i zarządzania nimi nawet o 90%, pomagając w zapewnianiu zgodności i raportowaniu. IBM Data Security pomaga chronić dane i automatyzować audyty zgodności.
Więcej o zastosowaniu rozwiązań IBM przy implementacji rozporządzenia DORA: https://www.ibm.com/reports/dora-action-guide
Powyższy tekst powstał przy wykorzystaniu następujących źródeł:
https://safetica.pl/blog/news/czym-jest-dora-i-czego-sie-spodziewac