Rozporządzenie UE o cyfrowej odporności operacyjnej (DORA)
Digital Operational Resilience Act (rozporządzenie DORA) ma na celu zwiększenie odporności operacyjnej, zmniejszenie zagrożeń informatycznych i zwiększenie zdolności firm finansowych w UE do zapobiegania incydentom związanym z ICT i radzenia sobie z nimi. Wejdzie ona w życie 17 stycznia 2025 r. w ramach wysiłków UE na rzecz uregulowania sektora cyfrowego.
Regulacja DORA ma zastosowanie do wszystkich instytucji finansowych w UE, ale jej zakres obejmuje każdą firmę finansową, która współpracuje z klientami z UE lub prowadzi interesy z firmami finansowymi z UE. W przypadku niektórych firm będzie to wymagało dodatkowych środków bezpieczeństwa IT – nawet jeśli już przestrzegają one standardów bezpieczeństwa informacji, w tym ISO 27001 lub COBIT.
Co trzeba wiedzieć o rozporządzeniu DORA?
DORA ma zastosowanie do instytucji finansowych, w tym m.in. instytucji kredytowych i płatniczych, firm inwestycyjnych, firm ubezpieczeniowych i pośredników, funduszy emerytalnych i platform handlowych.
Rozporządzenie DORA ustanawia ramy regulacyjne dotyczące cyfrowej odporności operacyjnej, obejmujące zarządzanie ryzykiem IT, obowiązkowe zgłaszanie incydentów, dokumentację planowania testów, zarządzanie ryzykiem stron trzecich, a także szkolenia i zarządzanie personelem. Zgodność z przepisami zapewni firmom posiadanie odpowiednich systemów zarządzania, aby wytrzymać, reagować i odzyskać sprawność po wszelkiego rodzaju zakłóceniach i zagrożeniach związanych z technologiami informacyjno-komunikacyjnymi, w tym za pośrednictwem stron trzecich.
Obowiązki firm dotkniętych zmianami, wynikających z regulacji DORA, można z grubsza podzielić na pięć grup:
- (ICT) zarządzanie ryzykiem,
- testowanie cyfrowej odporności operacyjnej,
- zarządzanie bezpieczeństwem dostawców usług IT (ryzyko stron trzecich w ICT),
- (ICT) Zarządzanie incydentami (klasyfikacja i raportowanie),
- wymiana informacji (np. wymiana informacji o cyberzagrożeniach).
*Przewodnik dostępny jedynie w języku angielskim
Znaczenie zgodności z rozporządzeniem DORA dla organizacji
Chociaż DORA jest rozporządzeniem UE, ma ona również wpływ na zewnętrznych dostawców ICT. DORA zezwala firmom na zawieranie umów wyłącznie z dostawcami, którzy spełniają wymogi bezpieczeństwa informacji określone w jej ramach.
Obejmuje to dostawców usług w chmurze, usług sieciowych, usług sprzętowych i doradztwa w zakresie ICT, świadczących usługi na rzecz firm finansowych z UE.
DORA to złożone rozporządzenie, które zwiększa obowiązki wielu organizacji. Pochopne lub niedoinformowane podejście może nie tylko narazić Państwa organizację na ryzyko, ale także konsekwencje prawne i kary finansowe.
Każde naruszenie wymogów może skutkować grzywną w wysokości do 2% całkowitego rocznego światowego obrotu lub do 1% średniego dziennego obrotu firmy na całym świecie.
USŁUGI W ZAKRESIE ZGODNOŚCI Z PRZEPISAMI regulacji DORA ŚWIADCZONE PRZEZ BUREAU VERITAS
Nasi eksperci z Secura, firmy Bureau Veritas, oferują szereg usług wspierających zgodność z DORA, niezależnie od tego, gdzie znajdują się Państwo na swojej drodze do cyberbezpieczeństwa.
-
Szkolenie dla zarządu z DORA
Regulacja DORA wymaga, aby dyrektorzy przeszli odpowiedni kurs w celu wykazania skutecznego zarządzania kwestiami cyberbezpieczeństwa. Opracowane przez naszych ekspertów szkolenie w zakresie DORA, przekrojowo identyfikujące wszystkie obowiązki, które organizacje muszą zapewnić. Może ono zostać przeprowadzone w wybranej przez Państwa lokalizacji.
-
Ocena luki DORA
Nasz zespół specjalistów może przeprowadzić ocenę lub w zakresie zgodności z DORA, zapewniając szczegółowy przegląd obecnego poziomu dojrzałości i zgodności z wymaganiami rozporządzenia. Wynikiem analizy są praktyczne rekomendacje, określające krok po kroku jakie działania dostosowawcze należy podjąć.
-
Usługi wdrożeniowe DORA
Oferujemy również szereg usług, które pomogą Państwu wdrożyć wymagania DORA. Konkretny zakres naszego wsparcia zależy od wyników analizy luk przeprowadzonej w Państwa organizacji, ale może obejmować m.in takie usługi, jak praktyczne szkolenie zespołu wdrożeniowego lub opracowanie szczegółowego planu działań wdrożeniowych w zakresie dostosowania do wymagań DORA.
*Broszura dostępna jedynie w języku angielskim
Jak osiągnąć zgodność z przepisami DORA? Poradnik krok po kroku
Jeśli wiedzą już Państwo, że Państwa organizacja podlega przepisom DORA lub mają Państwo klientów z siedzibą w UE, którzy będą podlegać tym przepisom, ważne jest, aby odpowiednio wcześnie rozpocząć przygotowania do zapewnienia zgodności. Porozmawiaj z naszymi ekspertami ds. cyberbezpieczeństwa, aby dowiedzieć się więcej na temat wstępnej oceny i planowania DORA, a także jak wdrożyć strategie i rozwiązania potrzebne do zarządzania ryzykiem i osiągnięcia zgodności.
Jakie są korzyści ze zgodności z przepisami DORA?
Zgodność jest obowiązkowa dla niektórych organizacji, ale nawet gdy nie mamy takiego obowiązku, wdrożenie wymagań regulacji DORA przyniesie takie korzyści jak:
- zwiększony poziom cyberbezpieczeństwa i lepsze planowanie reakcji na zagrożenia teleinformatyczne,
- lepsze zrozumienie zagrożeń teleinformatycznych w całej organizacji,
- większa kontrola nad łańcuchami dostaw ICT,
- lepsze raportowanie incydentów i wymiana informacji.
Dlaczego warto wybrać Bureau Veritas dla swoich potrzeb w zakresie zgodności z przepisami DORA?
Doświadczony zespół z wieloletnim doświadczeniem w zakresie zarządzania ryzykiem i zgodności z przepisami.
Szereg usług opracowanych specjalnie w celu zaspokojenia Państwa potrzeb w zakresie DORA i pomocy w uzyskaniu zgodności z DORA.
Eksperci ds. cyberbezpieczeństwa w dziedzinie ludzi, procesów i technologii.
Pojedynczy punkt kontaktowy i sprawdzone podejście partnerskie.
Jasna mapa drogowa, aby stać się i pozostać zgodnym z DORA.
Wsparcie globalnej wiedzy Bureau Veritas, światowego lidera w dziedzinie testowania, inspekcji i certyfikacji.
-
W jaki sposób DORA odnosi się do istniejących norm, takich jak ISO 27001?
Istniejące ramy ryzyka, takie jak NIST i ISO 27001, zawierają wytyczne dotyczące sposobu przestrzegania różnych przepisów, poprzez procesy takie jak szkolenie personelu, przeprowadzanie audytów i testów, korzystanie z zarządzania incydentami i zarządzania ryzykiem w łańcuchu dostaw. Tego rodzaju ramy ryzyka są dobrym dodatkiem do DORA, ale zgodność z tymi standardami nie oznacza automatycznej zgodności z DORA, która jest regulacją samą w sobie.
-
Jak DORA zmieniła wymagania dotyczące reagowania na incydenty?
Zarządzanie incydentami jest kluczowym aspektem zapewnienia bezpieczeństwa i ciągłości usług.
Zgodnie z DORA, firmy muszą posiadać plany komunikacji z pracownikami, zewnętrznymi interesariuszami, mediami i klientami w przypadku wystąpienia incydentu, przestrzegając ścisłych terminów. Należy również ustanowić wewnętrzne procedury eskalacji.
Ponadto poważne incydenty muszą być zgłaszane odpowiedniemu kierownictwu wyższego szczebla i „organowi zarządzającemu”, z wyjaśnieniem wpływu, reakcji i dodatkowych działań, które należy ustanowić w wyniku incydentu. -
Jaka jest oś czasu DORA?
Rozporządzenie DORA oficjalnie weszło w życie 16 stycznia 2023 roku, jednak jego pełne stosowanie rozpocznie się 17 stycznia 2025 roku. W międzyczasie obowiązuje 24-miesięczny okres vacatio legis, który daje instytucjom finansowym czas na dostosowanie swoich działań do nowych wymogów.