Blog

  1. AZ Frame
  2. /
  3. Bez kategorii
  4. /
  5. DORA – Nowy standard
DORA – Nowy standard cyberbezpieczeństwa
08.02.2024 | Ewa Suszek

DORA – to hasło, które od roku wzbudza uzasadnione zainteresowanie, zarówno w branży finansowej, jak i wśród ekspertów ds. cyberbezpieczeństwa. Oznacza ono bowiem nadejście „nowej ery” w zakresie zapewnienia bezpieczeństwa sieci i systemów informatycznych – w pierwszej kolejności adresowane do instytucji finansowych. Skrót DORA oznacza Rozporządzenie w Sprawie Cyfrowej Odporności Operacyjnej (ang. Digital Operational Resilience Act), dotyczące całego obszaru Unii Europejskiej i ustalające jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT. Co więcej, tak długo, jak organizacja finansowa działa w jakimkolwiek charakterze na rynku UE, będzie musiała przestrzegać DORA, podobnie jak jej zewnętrzni dostawcy i dotyczy to także firm z siedzibą poza obszarem Unii. Mówiąc o „organizacjach finansowych” mamy na myśli przede wszystkim banki i firmy ubezpieczeniowe, ale również dostawców usług płatniczych, fundusze emerytalne i inwestycyjne, a nawet firmy kryptowalutowe (i być może jest to jedno z najważniejszych – z punktu widzenia bezpieczeństwa – ogniw całego łańcucha obrotu finansowego w skali globalnej). Łącznie mowa o ponad 22 tysiącach podmiotów (i niezliczonej rzeszy poddostawców produktów i usług dla omawianej grupy).

 

PIĘĆ FILARÓW DORA:

  1. Zarządzanie ryzykiem ICT 

Proaktywna ochrona wrażliwych danych poprzez solidne systemy zarządzania cyberbezpieczeństwem.Chodzi nie tylko o zapobieganie, ale też o wykrywanie, powstrzymywanie, odzyskiwanie i naprawianie.

Potrzeba ciągłego monitorowania i kontroli narzędzi bezpieczeństwa ICT. Wymóg ten podkreśla znaczenie przyjęcia zaawansowanych rozwiązań ochrony przed utratą danych (DLP), które oferują zautomatyzowane wykrywanie incydentów i możliwości oceny ryzyka.

Dekoncentracja ryzyka. DORA zabrania organizacjom opierania się na pojedynczym dostawcy usług i zabezpieczeń w zakresie krytycznych procesów. W razie sytuacji kryzysowej, ryzyko dla organizacji finansowej zostaje rozłożone i zredukowane do minimum.

 

  1. Zgłaszanie incydentów ICT 

Zobowiązanie do szybkiego (a więc skuteczniejszego) zgłaszania właściwym organom poważnych incydentów i cyberzagrożeń.  Należy też zgłaszać incydenty, które mają wpływ na dostawców usług ICT współpracujących z danymi instytucjami. W ten sposób wszyscy stają się świadomi potencjalnych zagrożeń, mogących rozprzestrzeniać się w całym systemie finansowym.

 

  1. Testy operacyjnej odporności cyfrowej 

Coroczne testy mają zapewnić, że podmioty finansowe będą w stanie wytrzymać, reagować i odzyskiwać sprawność po wystąpieniu zakłóceń i zagrożeń teleinformatycznych. Konieczna będzie również współpraca z dostawcami zewnętrznymi przy okresowych testach penetracyjnych. Wszystkie strony będą musiały wyeliminować wszelkie luki w zabezpieczeniach wykryte przez te testy.

 

  1. Zarządzanie ryzykiem ICT zewnętrznych dostawców usług 

Odpowiedzialność za zarządzanie i ograniczanie ryzyka stron trzecich. Oznacza to np. przeprowadzanie ocen ryzyka dla umów outsourcingowych lub zapewnienie, że umowy z zewnętrznymi dostawcami ICT zawierają wszystkie niezbędne szczegóły i wiążące warunki dotyczące monitorowania i dostępności.

 

  1. Udostępnianie informacji

DORA zachęca podmioty i organy finansowe do dzielenia się informacjami i danymi na temat cyberzagrożeń i podatności. Dzięki temu będą mogły one lepiej reagować na nowe zagrożenia. Podmioty finansowe będą musiały utworzyć systemy do przeglądu i działania na podstawie udostępnionych informacji.

 

ZASADA PROPORCJONALNOŚCI

DORA dopuszcza stosowanie zasady proporcjonalności na etapie wdrażania wymogów. Poszczególne podmioty mogą brać pod uwagę wielkość, profil ryzyka oraz charakter, skalę i stopień złożoności swoich usług, działań i operacji. Tak więc, mimo że ogólne zalecenia DORA dotyczą wszystkich, mniejsze firmy nie muszą wdrażać dokładnie tych samych rozwiązań co np. duże międzynarodowe banki. Mogą wybrać zabezpieczenia prostsze lub procedury mniej kosztowne, ale dostosowane do ich profilu ryzyka.

DORA wskazuje, że wielkość instytucji nie jest jedynym kryterium, którym należy się kierować przy wyborze rozwiązań. W przypadku kontroli instytucje finansowe będą musiały wykazać przed organem nadzorczym, że przyjęte rozwiązania są adekwatne do ryzyka działalności, rodzaju oferowanych usług, profilu klientów czy skali operacji.

DORA nakłada na organ nadzorczy obowiązek monitorowania sposobu wdrażania zasady proporcjonalności i tego, czy rozwiązania przyjmowane przez poszczególne instytucje są spójne ze sobą, stwarzając szansę na wypracowywanie i przyjmowanie jednolitych branżowych standardów, a jednocześnie pozwalają regulatorowi identyfikować te instytucje, których rozwiązania znacząco odbiegają „średniej rynkowej”.

 

KALENDARZ

28.11.2022: Rada Europejska przyjęła DORA

16.01.2023: Decyzja o wejściu DORA w życie po 24-miesięcznym okresie przygotowawczym

2023: Europejski Urzędy Nadzoru (ESA) opracowują pierwsze standardy techniczne

17.01.2024: ESA opublikowały pierwszy zestaw ostatecznych projektów standardów technicznych na mocy rozporządzenia o cyfrowej odporności operacyjnej (DORA).

17.01. 2025: Wymogi DORA stają się egzekwowalne

2025: Początek testów penetracyjnych

 

IBM, jako czołowy dostawca całej gamy rozwiązań w zakresie cybersecurity proponuje swym klientom konkretną kolejność działań w celu prawidłowego zrozumienia i wdrożenia rozporządzenia DORA, oferując szereg usług pomagających podmiotom finansowym w określeniu ilościowego ryzyka oraz zastosowaniu procedur nadzoru i kontroli. Rozwiązania programowe IBM skracają czas automatyzacji odkrywania danych i zarządzania nimi nawet o 90%, pomagając w zapewnianiu zgodności i raportowaniu. IBM Data Security pomaga chronić dane i automatyzować audyty zgodności.

Więcej o zastosowaniu rozwiązań IBM przy implementacji rozporządzenia DORA: https://www.ibm.com/reports/dora-action-guide

 

 

Powyższy tekst powstał przy wykorzystaniu następujących źródeł:

https://safetica.pl/blog/news/czym-jest-dora-i-czego-sie-spodziewac

https://www.kozminski.edu.pl/pl/review/dora-rewolucja-ewolucja-czy-dobre-praktyki-ujete-w-ramy-prawne

https://www.digital-operational-resilience-act.com/

Need help icon

Potrzebujesz wsparcia? Jesteśmy zawsze po Twojej stronie

Chętnie odpowiemy na nurtujące Cię pytania. Naszą największą domeną jest doświadczenie i wiedza, dlatego pomożemy Ci w wielu obszarach.

skontaktuj się