18 października 2023

Wszystko co powinieneś wiedzieć o DORA

Unia Europejska, dostrzegając zachodzące zmiany technologiczne w sektorze finansowym. W konsekwencji opublikowała we wrześniu 2020 r. unijną strategię finansów cyfrowych, czyli pięcioletni plan mający na celu przekształcenie usług finansowych w UE w kompleksowo zintegrowany jednolity rynek cyfrowy. Wśród kilku inicjatyw regulacyjnych znalazła się tzw. DORA (Digital Operational Resilience Act), czyli projekt rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego. Czym tak właściwie jest i jakie zmiany dla branży oznacza?

Czym jest ustawa o cyfrowej odporności operacyjnej (DORA)?

Digital Operational Resilience Act (DORA), czyli rozporządzenie (UE) 2022/2554, wypełnia kluczową lukę w regulacjach finansowych Unii Europejskiej. DORA wymaga kompleksowych protokołów dotyczących incydentów związanych z ICT (Information and communication technologies), obejmujących zarządzanie ryzykiem, zgłaszanie incydentów, testowanie odporności i monitorowanie ryzyka przez strony trzecie. Uznaje, że nawet przy wystarczającym kapitale incydenty ICT i niewystarczająca odporność operacyjna mogą zdestabilizować system finansowy. DORA to kluczowy akt prawny Unii Europejskiej, który koncentruje się na zwiększeniu bezpieczeństwa i niezawodności sektora finansowego.

Wszystkie firmy z sektora finansowego muszą działać szybko i zapewnić zgodność z nowym rozporządzeniem Unii Europejskiej DORA

Stefan Thelberg,
CEO w Holm Security

Kluczowe cechy DORA:

  • Kompleksowe zarządzanie: Instytucje finansowe muszą nadzorować pełen zakres środków bezpieczeństwa. Obejmują one strategie ochrony, wykrywania, odzyskiwania i naprawiania kwestii związanych z technologią.
  • Ustrukturyzowane wytyczne: DORA zapewnia jasne zasady dotyczące:
    • Zarządzania ryzykiem technologicznym
    • Szybkiego zgłaszania incydentów
    • Testowania odporności operacji
    • Monitorowania ryzyka związanego z usługami technologicznymi stron trzecich

Mówiąc prościej, DORA zaświadcza, że organizacje finansowe są dobrze przygotowane do radzenia sobie z kwestiami związanymi z technologią, co pomaga utrzymać stabilność systemu finansowego. DORA podkreśla znaczenie zarządzania ryzykiem i zachęca firmy do proaktywnego identyfikowania i zarządzania potencjalnymi kwestiami, które mogą zakłócać podstawowe usługi. Zrozumienie możliwych zagrożeń, identyfikacja słabych obszarów i ocena ich potencjalnego wpływu na działalność wzmacnia obronę przed cyberzagrożeniami oraz zmniejsza ryzyko i dotkliwość zaburzeń w świadczeniu usług.

Pozostając na bieżąco ze zgłaszaniem incydentów i ustanawiając solidne ramy zarządzania ryzykiem, organizacje mogą zwiększyć swoją odporność operacyjną. Połączenie tego z nadzorem właściwych organów umożliwia proaktywne, skoordynowane reagowanie na zakłócenia. Dzięki temu dana organizacja może stworzyć bardziej odporny ekosystem cyfrowy, wspierający zaufanie, stabilność i ciągłość świadczonych usług.

Główne założenia DORA

W ramach projektu rozporządzenia DORA wyróżnia się 5 filarów, które mają na celu wzmocnić cyfrową odporność operacyjną wśród podmiotów finansowych. Wśród nich wymienia się:

  • zarządzanie ryzykiem ICT – organy zarządzające podmiotami finansowymi obarczone są odpowiedzialnością za zarządzanie ryzykiem związanym z technologią cyfrowo-informacyjną, a także jego monitoringiem, kontrolą i wykrywaniem wszelkich potencjalnie niebezpiecznych zdarzeń
  • zgłaszanie incydentów teleinformatycznych – jakiekolwiek nieprawidłowości związane z wykorzystaniem nowych technologii powinny monitorowane, odpowiednio sklasyfikowane, a następnie zgłaszane zgodnie z procedurami opracowanymi przez Europejskie Urzędy Nadzoru
  • cyfrowe testy odporności operacyjnej – organizacje finansowe mają obowiązek przeprowadzania okresowego przeglądu rozwiązań i systemów stosowanych w zakresie cyberbezpieczeństwa
  • udostępnienie informacji i danych wywiadowczych – by zwiększyć skuteczność obrony cyfrowej odporności operacyjnej, podmioty finansowe są zobligowane do wymienienia się między sobą informacjami na temat metod ochrony przed cyberatakami

Ramy czasowe: Stopniowe wdrażanie

Ramy DORA zostały sfinalizowane w styczniu 2023 r. i obejmują 24-miesięczny okres na wdrożenie. Oznacza to, że instytucje finansowe i inne organizacje, do których ma zastosowanie DORA, muszą być w pełni zgodne z jej postanowieniami nie później niż w styczniu 2025 roku. To stopniowe wdrażanie daje organizacjom wystarczająco dużo czasu na opracowanie i wdrożenie niezbędnych strategii, systemów i procesów w celu spełnienia rygorystycznych wymogów rozporządzenia.

Korzyści płynące z przyjęcia DORA

Budowanie zaufania, stabilności i pewności
W dzisiejszym cyfrowym krajobrazie zaufanie jest wszystkim. Stosując się do środków odporności DORA, organizacje wysyłają jasny komunikat do swojej bazy klientów, że bezpieczeństwo i dostępność danych nie są tylko modnymi hasłami, ale praktycznymi wskaźnikami. Nie tylko poprawia to reputację organizacji, ale także podnosi standard dla całego rynku cyfrowego, wspierając środowisko biznesowe zdefiniowane przez stabilność i zaufanie.

Kultywowanie kultury świadomości i odpowiedzialności za ryzyko
Stawiając przejrzystość i odpowiedzialność na pierwszym planie, DORA nie tylko wzmacnia odporność operacyjną, ale także pielęgnuje zaufanie interesariuszy. Badanie McKinsey z 2020 r. wykazało, że firmy z silnymi protokołami odporności operacyjnej mają trzykrotnie większe szanse na wyjście z kryzysów silniejsze.

DORA i zarządzanie podatnością na zagrożenia
Związek między DORA (Digital Operational Resilience Act) i Vulnerability Management jest nieodłączny i oparty na współpracy. Oba mają na celu zwiększenie odporności operacyjnej organizacji poprzez wskazanie i wyeliminowanie jej słabych punktów, w szczególności w infrastrukturze cyfrowej. Zasadniczo DORA zapewnia plan holistycznej strategii zarządzania podatnością na zagrożenia, mającej na celu wzmocnienie odporności operacji, a ostatecznie szerszego ekosystemu cyfrowego. Jego znaczenie dla firmy to nie tylko zgodność z przepisami; chodzi o budowanie bezpieczniejszej, solidniejszej i bardziej odpornej infrastruktury cyfrowej.

Jednym z kluczowych aspektów, jakie wytyczne DORA wnoszą do zarządzania podatnościami, jest nacisk na spójność. Nieregularne lub doraźne podejście do monitorowania może łatwo przeoczyć kluczowe podatności, prowadząc do potencjalnych awarii systemu lub naruszenia danych.

W celu zapewnienia kompleksowej ochrony potrzeba zaangażowania znacznych zasobów - zarówno ludzkich, jak i technologicznych. Wiąże się to nie tylko z jednorazową inwestycją, ale także z ciągłym zaangażowaniem w zaawansowane narzędzia monitorowania, szkolenia pracowników i częste audyty.

Biorąc pod uwagę te wyzwania, najskuteczniejszą drogą do zapewnienia zgodności i odporności operacyjnej jest przyjęcie specjalistycznej platformy zarządzania podatnościami. Taka platforma może usprawnić skomplikowane procesy ciągłego monitorowania, oceny podatności i terminowego zarządzania poprawkami. Działa jako scentralizowane rozwiązanie, które nie tylko jest zgodne z wytycznymi DORA, ale także znacznie zmniejsza ręczny wysiłek i złożoność związaną z utrzymaniem zgodności. Wybierając odpowiednią platformę do zarządzania podatnościami, organizacja może uprościć drogę do zgodności z przepisami DORA, jednocześnie zwiększając swoje bezpieczeństwo cyfrowe i operacyjne.

Chcesz wiedzieć więcej o DORA? Sprawdź

Autorem tekstu jest Joanna Świerczyńska

Patryk Ćwięczek
junior product manager Holm Security

Masz pytania?
Skontaktuj się ze mną:
cwieczek.p@dagma.pl