DORA je nové nařízení, které ovlivní desetitisíce organizací poskytujících finanční služby v EU. To ale není všechno – do hry vstupují i poskytovatelé informačních a komunikačních technologií (ICT) z řad třetích stran, takže úsilí o bezpečnost dat ve finančním sektoru je teď větší než kdy dřív.
Hodiny už začaly tikat na 24měsíčním přípravném období, takže je čas se začít připravovat hned.
Digital Operational Resilience Act, neboli DORA, je významné nařízení, které se šíří napříč Evropskou unií, aby zajistilo, že finanční instituce a jejich technologičtí partneři posunou svou hru, pokud jde o ochranu před stále rostoucími riziky spojenými se závislostí na technologii.
Připravte se ale, protože DORA přináší vážné výzvy. Od pečlivého řízení rizik s poskytovateli třetích stran přes neustálé sledování systémů zabezpečení dat až po rozprostření rizik souvisejících s ICT — implementace DORA není procházka růžovým sadem. Jde o zcela novou úroveň úsilí a odhodlání nutného k zachování souladu.
|
28. listopadu 2022: Evropská rada přijala DORA 16. ledna 2023: DORA vstupuje v platnost s 24měsíčním přípravným obdobím 2023: Evropské orgány dohledu (ESA) vyvinou první technické standardy 2024: ESA bude komunikovat standardy a poskytovat pokyny dotčeným finančním subjektům 17. ledna 2025: Požadavky DORA se stávají vymahatelnými 2025: Začne penetrační testování |
Jaký je účel DORA?
Účelem DORA je posílit digitální odolnost v rámci Evropské unie. Jinými slovy, DORA si klade za cíl chránit citlivá data dostupná finančním institucím a jejich ICT poskytovatelům před zlými hráči v online světě.
DORA vytváří soubor pravidel pro každého ve finančním odvětví s cílem harmonizovat úsilí o bezpečnost dat napříč členskými státy EU, vyplnit mezery a opravit nekonzistence v současných předpisech EU.
Kybernetické hrozby jsou — a pravděpodobně vždy budou — na vzestupu, takže DORA chce zajistit, aby byl finanční sektor připraven na jakákoli digitální nebezpečí, která mu budou v budoucnu hozena. Uznává dříve ignorovaná nebezpečí pocházející z dodavatelského řetězce a soustředí se i na poskytovatele ICT služeb.
Stručně řečeno, DORA se vztahuje na širokou škálu finančních subjektů zapojených do finančního systému EU, a také na ICT poskytovatele služeb, kteří je podporují. Pokud finanční organizace působí jakkoliv na trhu EU, bude muset být v souladu s DORA, a stejně tak její dodavatelé třetích stran. To platí i pro společnosti se sídlem mimo EU.
|
Na všechny! Například:
|
Stojí za zmínku, že DORA neomezuje svůj regulační rámec pouze na subjekty se sídlem v EU. Pokrývá také finanční subjekty mimo EU působící na trhu EU. To znamená, že i když má finanční subjekt sídlo mimo EU, ale působí v jejích hranicích, stále podléhá pravidlům uvedeným v DORA.
Pro ilustraci si představme, že jste ICT poskytovatel se sídlem v Kanadě, který nabízí služby kanadské bance. Pokud má tato banka byť jednu pobočku nebo kancelář v EU, jak vy jako ICT poskytovatel, tak banka spadáte do rozsahu DORA.
Jak přesně tedy DORA usiluje o dosažení této celounijní digitální odolnosti? Pojďme prozkoumat její nejdůležitější cíle, abychom toto nařízení hlouběji pochopili.
Toto je pět klíčových pilířů DORA:
DORA chce, aby organizace byly proaktivní v ochraně citlivých dat pomocí robustních systémů řízení bezpečnosti. Finanční subjekty se budou muset zaměřit nejen na prevenci, ale také na detekci, kontejnment, obnovu a opravné schopnosti. Bezpečnostní politiky založené na rizicích budou povinné.
Jedno ustanovení v DORA zdůrazňuje potřebu nepřetržitého monitoringu a kontroly bezpečnostních nástrojů ICT. Tento požadavek podtrhuje důležitost přijetí pokročilých řešení prevence ztráty dat (DLP), která nabízejí automatizovanou detekci incidentů a vyhodnocení rizik.
Koncentrace rizika je dalším úvahou. DORA zakazuje organizacím spoléhat se na jednoho poskytovatele služeb pro kritické procesy a upřednostňuje řadu bezpečnostních dodavatelů. Tímto způsobem, když je jeden systém nebo dodavatel zasažen, je riziko pro finanční organizaci rozprostřeno a minimalizováno.
Finanční subjekty mají povinnost hlásit závažné incidenty související s ICT a významné kybernetické hrozby příslušným orgánům. Cílem je zlepšit transparentnost a koordinaci při kybernetických incidentech. Rychlá reakce je efektivnější reakcí. To znamená, že pokud se s jejich digitálními systémy něco pokazí, musí to neprodleně oznámit úřadům.
Navíc je třeba hlásit i incidenty, které se týkají poskytovatelů ICT služeb, na které finanční organizace spoléhají. Tímto způsobem si všichni mohou být vědomi potenciálních rizik, která by se mohla šířit propojeným finančním ekosystémem.
Toto roční pokročilé testování zajišťuje, že finanční subjekty dokážou odolat narušení a hrozbám ICT, reagovat na ně a zotavit se z nich. Poskytovatelé třetích stran budou muset spolupracovat i na pravidelném penetračním testování. Všechny strany pak budou muset odstranit veškeré zranitelnosti, které tyto testy odhalí.
Jedním z hlavních cílů DORA je, že finanční subjekty budou odpovědné za řízení a zmírnění rizik třetích stran – přinejmenším náročný úkol.
To znamená například provádění hodnocení rizik pro outsourcingové smlouvy nebo zajištění, aby smlouvy s ICT poskytovateli třetích stran zahrnovaly všechny potřebné podrobnosti o monitorování a přístupnosti, jakož i závazné smluvní podmínky.
DORA podporuje finanční subjekty a úřady ve sdílení informací a zpravodajských údajů o kybernetických hrozbách a slabinách. Společnou prací mohou lépe reagovat na nová rizika. Finanční subjekty budou muset zavést systémy pro přezkum a jednání na základě sdílených informací.
I když ESA plně nevyvine a nesdělí technické standardy a požadavky DORA až do příštího roku, finanční instituce mohou podniknout kroky k zajištění hladšího souladu s DORA, až přijde čas.
Nejdůležitějším krokem bude posouzení mezer, během kterého finanční instituce mohou odkazovat na další stávající předpisy a ujistit se, že jsou v souladu s aktuálními bezpečnostními očekáváními. Předpokládá se, že DORA bude zahrnovat většinu stávajících standardů a pravidel, takže to je základní krok, který organizace mohou podniknout, aby zajistily, že nezůstanou příliš pozadu, jakmile budou specifikovány důsledky DORA.
Jedním takovým nařízením je NIS2, směrnice EU „Network and Information Security“.
Instituce mohou také přezkoumat svůj systém řízení bezpečnosti informací s pomocí mezinárodního standardu ISO 27001.
Je životně důležité, aby instituce udržovaly své politiky bezpečnosti dat dostatečně agilní, aby byly schopny implementovat jakékoli další důsledky, které DORA přinese.
Máte pocit, že čekání, až DORA definuje regulační a implementační technické standardy, poněkud zkracuje již tak krátké přípravné období? Nemýlíte se. Mít zkušeného partnera vám může pomoci získat klid v duši. Použití robustního DLP řešení také usnadní zacházení s ochranou před ztrátou dat, učiní ji účinnější a méně časově náročnou.
Například ruční monitorování a vyhodnocování bezpečnosti ICT by bylo obrovským úkolem náchylným k přehlédnutím a zpožděním. Ale díky využívání DLP řešení, jako je to od Safetica, mohou finanční subjekty zlepšit své schopnosti řízení rizik a předbíhat vznikající hrozby efektivnějším a účelnějším způsobem.
Přijetím DLP řešení s funkcemi rychlé reakce mohou finanční subjekty posílit svou schopnost rychle identifikovat a reagovat na potenciální bezpečnostní incidenty. Díky upozorněním v reálném čase a automatizovanému vyhodnocení rizik mohou finanční subjekty rychle jednat, aby zmírnily hrozby a chránily citlivá data.
Se Safetica a jejími DLP politikami se můžete ujistit, že jste připraveni nejen na DORA, ale že jste v souladu i s dalšími předpisy, jako jsou GDPR, PCI DSS, HIPAA, CMMC a další.
Promluvme si o regulační compliance ve vaší organizaci