Rozporządzenie DORA - Rekomendacje dla placówek finansowych

Czym jest DORA?   

Digital Operational Resilience Act (DORA) to ważne rozporządzenie, które obejmuje całą Unię Europejską. Ustala jednolite wymagania w zakresie bezpieczeństwa sieci i systemów informatycznych w sektorze finansowym oraz dostawców kluczowych usług ICT, którzy świadczą usługi ICT. Dotychczasowe regulacje ICT były kierowane wyłącznie do podmiotów finansowych. Praktyka nadzorcza i rynkowa pokazała jednak, że brak bezpośredniego nadzoru nad dostawcami ICT uniemożliwia efektywne zapewnienie cyberbezpieczeństwa w sektorze finansowym.  

DORA niesie ze sobą obowiązki dla dostawców kluczowych usług ICT. Od ścisłego zarządzania ryzykiem z dostawcami zewnętrznymi po ciągłe monitorowanie systemów bezpieczeństwa danych i rozkładanie ryzyka związanego z ICT. Ponadto rozporządzenie DORA określa rozbudowane kompetencje nadzorcze, które będą realizowane głównie przez Wiodący Organ Nadzorczy. Wdrożenie DORA to zupełnie nowy poziom wysiłku i zaangażowania wymagany do zachowania zgodności z przepisami.  

Oś czasu DORA w skrócie:  
• 28 listopada 2022 r.: Rada Europejska przyjęła DORA   
• 16 stycznia 2023 r.: DORA wchodzi w życie po 24-miesięcznym okresie przygotowawczym   
• 2023 r.: Europejskie Urzędy Nadzoru (ESA) opracują pierwsze standardy techniczne   
• 2024 r.: ESA poinformuje o standardach i przekaże wytyczne zainteresowanym podmiotom finansowym   
• 17 stycznia 2025 r.: Wymogi DORA stają się egzekwowalne   
• 2025 r.: Rozpoczną się testy penetracyjne  

Jaki jest cel programu DORA?   

Celem DORA jest wzmocnienie odporności cyfrowej w Unii Europejskiej, a tym samym ochronę wrażliwych danych dostępnych dla instytucji finansowych i ich dostawców ICT przed złymi ludźmi w cyberświecie.   

DORA tworzy zestaw zasad dla każdego w branży finansowej, mając nadzieję na zharmonizowanie wysiłków na rzecz cyberbezpieczeństwa danych w państwach członkowskich UE, wypełniając luki i naprawiając niespójności w obecnych przepisach UE. 

Jaki jest zakres dyrektywy DORA? 

DORA ma zastosowanie do podmiotów finansowych zaangażowanych w system finansowy UE oraz dostawców usług ICT, którzy je wspierają. Tak długo, jak organizacja finansowa działa w jakimkolwiek charakterze na rynku UE, będzie musiała przestrzegać DORA, podobnie jak jej zewnętrzni dostawcy. Dotyczy to nawet firm z siedzibą poza UE.   

Jakich organizacji finansowych dotyczy DORA?   

Wszystkich! Na przykład:  

• banki  
• dostawcy usług płatniczych   
• firmy kryptowalutowe   
• firmy inwestycyjne   
• fundusze emerytalne   
• firmy ubezpieczeniowe   

Zakres DORA wykracza poza instytucje finansowe i obejmuje również zewnętrznych dostawców usług, niezależnie od ich lokalizacji. Dlaczego? Ponieważ logicznie rzecz biorąc, nawet jeśli instytucja finansowa jest w pełni zaangażowana w środki ochrony danych, nie może wpływać na to, co robią jej dostawcy.  

Warto zauważyć, że DORA nie ogranicza swoich ram regulacyjnych wyłącznie do podmiotów z siedzibą w UE. Obejmuje również podmioty finansowe spoza UE działające na rynku UE. Oznacza to, że nawet jeśli podmiot finansowy ma siedzibę poza UE, ale działa w jej granicach, nadal podlega przepisom określonym w DORA.   

Jakie są kluczowe cele DORA?  

Przeanalizujmy najważniejsze cele DORA, aby lepiej zrozumieć rozporządzenie. 

Oto pięć kluczowych filarów DORA:   

1. Zarządzanie ryzykiem ICT   
   DORA chce, aby organizacje proaktywnie chroniły wrażliwe dane za pomocą solidnych systemów zarządzania cyberbezpieczeństwem. Podmioty finansowe będą musiały skupić się nie tylko na zapobieganiu, ale także na wykrywaniu, powstrzymywaniu, odzyskiwaniu i naprawianiu. Polityka bezpieczeństwa oparta na ryzyku będzie obowiązkowa.  Ten przepis DORA podkreśla potrzebę ciągłego monitorowania i kontroli narzędzi bezpieczeństwa ICT. Wymóg ten podkreśla znaczenie przyjęcia zaawansowanych rozwiązań ochrony przed utratą danych (DLP), które oferują zautomatyzowane wykrywanie incydentów i możliwości oceny ryzyka.  Kolejną kwestią jest koncentracja ryzyka. DORA zabrania organizacjom polegania na jednym dostawcy usług w zakresie krytycznych procesów, preferując szereg dostawców zabezpieczeń. W ten sposób, gdy jeden system lub dostawca zostanie dotknięty, ryzyko dla organizacji finansowej jest rozłożone i zminimalizowane.   
   
   
2. Zgłaszanie incydentów  
   ICT  Podmioty finansowe są zobowiązane do zgłaszania właściwym organom poważnych incydentów związanych z ICT i istotnych cyberzagrożeń. Celem jest poprawa przejrzystości i koordynacji w odniesieniu do cyberincydentów. Szybka reakcja to skuteczniejsza reakcja. Oznacza to, że jeśli coś pójdzie nie tak z ich systemami cyfrowymi, muszą natychmiast powiadomić o tym władze.  Ponadto należy również zgłaszać incydenty, które mają wpływ na dostawców usług ICT, na których polegają organizacje finansowe. W ten sposób wszyscy mogą być świadomi wszelkich potencjalnych zagrożeń, które mogą rozprzestrzeniać się w połączonym ekosystemie finansowym.   
   
   
3. Testy operacyjnej odporności cyfrowej   
   Te coroczne zaawansowane testy zapewniają, że podmioty finansowe są w stanie wytrzymać, reagować i odzyskać sprawność po różnych zakłóceniach i zagrożeniach teleinformatycznych. Dostawcy zewnętrzni będą również musieli współpracować przy okresowych testach penetracyjnych. Wszystkie strony będą następnie musiały wyeliminować wszelkie luki w zabezpieczeniach wykryte przez te testy.   
   
   
4. Zarządzanie ryzykiem ICT zewnętrznych dostawców usług   
   Podmioty finansowe będą odpowiedzialne za zarządzanie i ograniczanie ryzyka stron trzecich. Oznacza to na przykład przeprowadzanie ocen ryzyka dla umów outsourcingowych lub zapewnienie, że umowy z zewnętrznymi dostawcami ICT zawierają wszystkie niezbędne szczegóły dotyczące monitorowania i dostępności, a także wiążące warunki umowne.   
   
   
5. Udostępnianie informacji  
   DORA zachęca podmioty i organy finansowe do dzielenia się informacjami i danymi wywiadowczymi na temat cyberzagrożeń i podatności. Dzięki współpracy mogą one lepiej reagować na nowe zagrożenia. Podmioty finansowe będą musiały utworzyć systemy do przeglądu i działania na podstawie udostępnionych informacji. 

 
Jak organizacje mogą rozpocząć przygotowania do DORA już teraz?   

Chociaż ESA nie opracuje w pełni i nie przekaże standardów technicznych oraz wymagań DORA do przyszłego roku, istnieją kroki, które instytucje finansowe mogą podjąć, aby zapewnić płynniejszą zgodność z DORA, gdy nadejdzie czas.   

Najważniejszym krokiem będzie ocena luk, podczas której instytucje finansowe mogą odnieść się do innych istniejących przepisów i upewnić się, że są na bieżąco z obecnymi oczekiwaniami dotyczącymi bezpieczeństwa. Zakłada się, że DORA obejmie większość istniejących standardów i zasad, więc jest to podstawowy krok, jaki organizacje mogą podjąć, aby upewnić się, że nie są zbyt daleko w tyle, gdy określone zostaną implikacje DORA.   

Jednym z takich przepisów jest NIS2, dyrektywa UE w sprawie bezpieczeństwa sieci i informacji. Instytucje mogą również dokonać przeglądu swojego systemu zarządzania bezpieczeństwem informacji przy użyciu międzynarodowego standardu ISO 27001. Istotne jest, aby instytucje utrzymywały swoje polityki bezpieczeństwa danych na tyle elastyczne, aby móc wdrożyć wszelkie dodatkowe implikacje, jakie będzie miała DORA.